みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

CloudFormationサービスロールの概要と注意点 - 365歩のテック
背景 serverless frameworkではCloudFormationのサービスロールをdeploymentRoleというオプションで指定するのですが、そこら辺の記事を書こうとした際にそもそもCloudFormationのサービスロールとは何かということを書いてみたらすごく長くなったので、別記事に切り出しました…
CloudFormationサービスロールの概要と注意点 - 365歩のテック
https://go-to-k.hatenablog.com/entry/2021/08/09/000812
CloudFormationサービスロールの概要と注意点 - 365歩のテック
AWS CloudFormation権限 AWS CloudFormationのデフォルトでは、実行者権限でリソースを作成。安全ではない?
CloudFormationのサービスロールに関する要点は以下の通りです:
  1. サービスロールの目的:
      • 実行者の権限を分離:CloudFormationスタックの作成時に、実行者のIAMユーザー権限ではなく、指定されたサービスロールの権限で操作を行う。これにより、スタック作成に必要な権限を特定のロールに委譲する。
  1. 問題点
      • IAM権限の管理の煩雑さ:開発環境で複数のユーザーがスタックを管理する場合、各ユーザーに適切なIAMポリシーを割り当てる必要があり、これが不統一になると権限エラーや管理の乱れが発生する。
      • 過剰権限の付与:開発者にスタック作成に必要な権限を付与すると、CloudFormationを通じてのみリソース操作を制限したい場合でも、コンソールやCLIを通じてリソースの変更・削除が可能になり、意図しない操作が行われるリスクがある。
  1. 解決策
      • サービスロールを使用:スタック作成時に専用のIAMサービスロールを指定し、リソース作成や変更をそのロールに委譲することで、実行者の権限を限定し、過剰な権限を与えないようにする。
  1. 本番環境での重要性
      • 権限の制限:特に本番環境では、CloudFormationを通じてのみリソースを操作できるようにし、他の手段(コンソールやCLIなど)で不適切に操作されないようにすることが重要。
 
 

実践

 
CloudFormation で使用するサービスロールの作成方法を教えてください | DevelopersIO
この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2021のカレンダー | Advent Calendar 2021 - Qiita 21日目の記事です。
CloudFormation で使用するサービスロールの作成方法を教えてください | DevelopersIO
https://dev.classmethod.jp/articles/tsnote-cloudformation-create-servicerole-001/?utm_source=chatgpt.com
CloudFormation で使用するサービスロールの作成方法を教えてください | DevelopersIO

一問道場

問題 #74
ある企業が単一のAWSアカウントでいくつかのワークロードを実行しています。新しい企業ポリシーにより、エンジニアは承認されたリソースのみをプロビジョニングでき、またエンジニアはAWS CloudFormationを使用してこれらのリソースをプロビジョニングする必要があります。ソリューションアーキテクトは、この新しい制限をエンジニアが使用するIAMロールに強制するソリューションを作成する必要があります。
ソリューションアーキテクトは、どのようにこの制限を強制すべきですか?
選択肢:
A.
承認されたリソースを含むAWS CloudFormationテンプレートをAmazon S3バケットにアップロードする。
エンジニアのIAMロールのIAMポリシーを更新して、Amazon S3とAWS CloudFormationへのアクセスのみを許可する。
AWS CloudFormationテンプレートを使用してリソースをプロビジョニングする。
解説
IAMポリシーを使って、エンジニアがアクセスできるサービスを制限します。これにより、エンジニアはAWS CloudFormationを使用してリソースをプロビジョニングできますが、S3バケットに格納されたテンプレートに基づいてのみリソースを作成できます。
B.
エンジニアのIAMロールのIAMポリシーを更新して、承認されたリソースとAWS CloudFormationのみをプロビジョニングできるようにする。
AWS CloudFormationテンプレートを使用して、承認されたリソースでスタックを作成する。
解説
IAMポリシーの更新で、承認されたリソースのプロビジョニングのみを許可するということですが、この方法だけでは他の手段(例えば直接AWSコンソールやCLIなど)を使って承認されたリソースを作成できる可能性があります。つまり、CloudFormationを通さずに承認されたリソースを作成できてしまうため、この選択肢は要件を完全に満たしません。
C.
エンジニアのIAMロールのIAMポリシーを更新して、AWS CloudFormationのアクションのみを許可する。
承認されたリソースをプロビジョニングするための権限を持つ新しいIAMポリシーを作成し、そのポリシーを新しいIAMサービスロールに割り当てる。
AWS CloudFormationのスタック作成時にこのIAMサービスロールを割り当てる。
解説
正解
D.
AWS CloudFormationスタックでリソースをプロビジョニングする。
エンジニアのIAMロールのIAMポリシーを更新して、エンジニア自身のAWS CloudFormationスタックへのアクセスのみを許可する。
 
 
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
075-AWS SAP AWS 「理論・実践・一問道場」DynamoDB TTL073-AWS SAP AWS 「理論・実践・一問道場」AWS IoT Core
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%