AWS re:Postを使用することにより、以下に同意したことになります 利用規約

セキュリティ、アイデンティティ、コンプライアンス

利用可能な最も柔軟で安全なクラウドコンピューティング環境を使用して、ビジネスを安全に運営します。AWS のデータセンターと、情報、アプリケーション、デバイスを保護するように設計されたネットワークからメリットを得られます。包括的なサービスと機能により、データの局所性、保護、機密性などの主要なセキュリティ要件を満たします。

最近の質問

すべてを表示
1/14

AWS Certificate Manager(ACM)にて証明書の発行ができない(時間がかかる)

■背景 - route53にてドメインを購入した。 - albやcloudfrontにてSSL証明書を使用したかったので、acmにて証明書の発行を試みた。 - 詳細手順 1. acmの画面に移動し、「証明書一覧」をクリック 2. 「リクエスト」をクリック 3. 「パブリック証明書をリクエスト」を選択し「次へ」をクリック 4. 「完全修飾ドメイン名」に購入したドメインと「*.{ドメイン}」の2つを入力 5. 「DNS 検証 - 推奨」と「RSA 2048」を選択し、リクエストをクリック 6. route53のレコードリクエスを実施 ■結果 - 上記の操作を試しても証明書がいつまで経っても認証されない(6hは経過している) ■補足情報 - 他のawsアカウントで所有しているドメインでは、同様の手順で30s程度で証明書が発行できた。 - 該当ドメインはドメインとホストゾーンの移管をおこなった(元のホストゾーンはまだ48h経過していないので削除していない) ■推察 - ドメイン移管の影響もあると思うが、ドメインを移管していないドメインでも証明書の発行に時間がかかっている。 - 素早く発行できるドメインがあるので、何か他でacm発行を妨げる設定などが残っていたりするのではないかと推察している。 - ただ、何を見直せば良いのかがわからない。 ■質問 - AWS Certificate Manager(ACM)にて証明書の発行ができない(時間がかかる)が、見直すべき項目や参考になる情報はないか?
0
回答
0
投票
19
ビュー
質問済み 8日前

証明書が削除できません

arn:aws:acm:ap-northeast-1:711654492709:certificate/f770f5fd-01b8-4c03-bab2-669c9b50e2f4 の証明書が削除できず困っております。 以下の関連リソースがあるために削除できてないというエラーが出ておりますが、心当たりのあった本証明書と関連付けしているAPI Gateway のカスタムドメインは削除済みです。 arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-1/d37eccc02f34cfd8 arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-11/c25b90f68bbbee0f arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-12/ec57f13c70054cc4 arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-13/523d098e8c4e0a4d arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-15/95fa113bca7aae81 arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-16/1bf3e212e28786ce arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-17/1dd2bbb869378041 arn:aws:elasticloadbalancing:ap-northeast-1:969236854626:loadbalancer/app/prod-nrt-1-cdws-9/69d6e6bd6b23b8e1 もしこちら必要な手順などございましたらご教示いただければと思います。 お手数をおかけしますがご確認いただきますようよろしくお願いいたします。
1
回答
0
投票
18
ビュー
質問済み 2年前

タグ情報を使用したIAMポリシー制御

特定のタグ情報(キーと値)が付与されたリソース(EC2インスタンス、S3バケット)の操作が可能となる制御をポリシーで実装したいと考えております。 「ec2:ResourceTag」や「s3:ResourceTag」を使用することで実現できると想定しており、以下のポリシーを適用したところ、マネジメントコンソール上から全てのEC2インスタンス、S3バケットが表示されない状態となってしまいます。 エラーメッセージは「インスタンスデータ You are not authorized to perform this operation. の取得中にエラーが発生しました。」と表示されます。 IAMポリシーにて特定のタグ情報が付与されたリソースのみ操作可能とする制御の実現可否及び実現可能な場合、ポリシーの例をご教示頂けませんでしょうか。 なお、ポリシーは可能な限り簡素化して作成したく、Actionを細かく設定することは避けたいと考えております。 ■適用したポリシー { "Version": "2012-10-17", "Statement": \[ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/tag-key": "tag-value" } } }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "s3:*", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/tag-key": "tag-value" } } } ] }
4
回答
0
投票
7
ビュー
質問済み 2年前

AssumeRoleWithWebIdentity を実行するための IAM ポリシー

ユーザフェデレーションを行うために python で lambda によるサービスを開発しようとしています。 この lambda はまず GetOpenIdTokenForDeveloperIdentity を呼び出して AWS 上の ID プールからトークンを取得し、それから AssumeRoleWithWebIdentity を呼び出します。しかしながら、lambda が AssumeRoleWithWebIdentity を呼び出そうと試みるとエラーになります。 ``` "An error occurred (AccessDenied) when calling the AssumeRoleWithWebIdentity operation: Not authorized to perform sts:AssumeRoleWithWebIdentity ``` lambda のロールに付けられている信頼関係とポリシーは以下の通りです。 ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com", "Federated": "cognito-identity.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:AssumeRoleWithWebIdentity" ] } ] } ``` ``` { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "cognito-identity:GetOpenIdTokenForDeveloperIdentity", "sts:AssumeRoleWithWebIdentity" ], "Resource": "*", "Effect": "Allow" } ] } ``` これで AssumeRoleWithWebIdentity を呼び出すのに十分なポリシーと信頼関係が付けられているのか分かりますでしょうか。些細なことでもご教授いただけましたら幸甚です。 念の為、以下が lambda のコードの断片になります。 ``` # 'provider_name' is a custom provider name set in an identity pool in AWS cog_cli = boto3.client('cognito-identity') cog_id_res = cog_cli.get_open_id_token_for_developer_identity( IdentityPoolId=os.environ['IDENTITY_POOL_ID'], Logins={ provider_name: user_id } ) sts_cli = boto3.client("sts") sts_res = sts_cli.assume_role_with_web_identity( RoleArn=os.environ['TARGET_ROLE_ARN'], RoleSessionName=user_id, WebIdentityToken=cog_id_res['Token'] ) ```
1
回答
0
投票
2
ビュー
質問済み 3年前

Cloud9からクロスアカウントのCodeCommitアクセスについて

クロスアカウント環境において、 accountA に構築したCloud9から accountBに構築したCodeCommitへ統合を行いたいと考えています。 以下のドキュメントを参考にしているのですが、 "AWS Cloud9 と AWS CodeCommit を統合する"はシングルアカウントでの設定であり、 "AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する"はローカルクライアントからの設定方法であり、Cloud9では利用できないようでした。 AWS Cloud9 と AWS CodeCommit を統合する https://docs.aws.amazon.com/ja_jp/codecommit/latest/userguide/setting-up-ide-c9.html AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する https://docs.aws.amazon.com/ja_jp/codecommit/latest/userguide/cross-account.html 実際に、"AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する" を参考にローカルのWindows環境からは、CodeCommitにアクセスができたのですが、 同じユーザで作成、ログインしたCloud9からクロスアカウントのリポジトリにアクセスができず、 not foundとエラーが返ってきてしまいます。 !# Do not modify this file, if this file is modified it will not be updated. If the file is deleted, it will be recreated on Thu Aug 29 2019 07:59:46 GMT+0000 (UTC). と書かれている、 ~/.aws/credentials に "AWS CodeCommit リポジトリにクロスアカウントアクセスを設定する" の role_arn =を追記してもだめでした。 何か方法はありますでしょうか。
1
回答
0
投票
3
ビュー
qryuu
質問済み 3年前

I AM内の各ページや他サービスへのアクセス権限を復活させられません

昨日(10/10)、I AMを使い始めました。 設定の際に一番最初に作成したグループやユーザー、ポリシーを消去してしまったことが原因なのか、 その後I AM内の各ページをクリックするもアクセス権限がないとエラーが出てしまいました。 ダッシュボードでは以下のエラー文です。 「リクエストの処理中に次のエラーが発生しました: User: arn:aws:iam::アカウント番号:user/ユーザー名 is not authorized to perform: iam:GetAccountSummary on resource: * User: arn:aws:iam::アカウント番号:user/ユーザー名 is not authorized to perform: iam:ListAccountAliases on resource: *」 ポリシーを再設定しようにも以下のエラー文です。 「アクセス権限が必要です このオペレーションを実行するための必要なアクセス権限がありません。管理者にアクセス権限を追加するよう依頼してください。 詳細はこちら。 User: arn:aws:iam::アカウント番号:user/ユーザー名 is not authorized to perform: iam:ListPolicies on resource: policy path /」と出てしまい、編集できません。 その他のページ、cloud9やS3にもアクセスできません。アカウントの削除すらできないため非常困っています。 ちなみに私はAWSのルートユーザーです。 個別案件のため、本来ならばAWSサポートに連絡すべきなのでしょうが、サポートページでも権限が無くサービスリストが選べないことで連絡できずにいます。英語版のForumも含め、丸一日調べても解決しなかったためここで相談させてください。 よろしくお願いいたします。
1
回答
0
投票
1
ビュー
質問済み 4年前

人気ユーザー

すべてを表示
1/18