Amazon AWS の IAM を使って、共有アカウントを止めよう

皆様の会社とかでもAmazon AWSを使っているかと思いますが、AWSマネジメントコンソールへのログイン時のID, Passwordをメンバー皆が知って共有状態になっていませんか? メンバーの異動や退社時にログインの制御が出来なくて困りますよね。 共有アカウントって嫌ですよね。 ってことで、各AWSのアカウントにユーザを複数登録し、ユーザごとにIDパスワードを設定できる Amazon IAM (Identity and Access Management) について紹介します。

Amazon AWSさんからの資料は http://aws.amazon.com/jp/iam/ を御覧ください。

おおよその使い方の流れは、このようになります。

  • IAMの利用開始申込み

  • グループの作成

  • 上記のグループに対する権限を設定

  • 上記のグループに含むユーザの登録。 ユーザIDはメールアドレス、パスワードは任意という具合。

  • 登録ユーザには IAM ログイン用のURLと、ユーザIDなどを伝える。

  • 登録ユーザは指定されたURLからログイン

  • すると、指定された範囲の権限で操作可能





AWS Management ConsoleからIAM に入る部分

まずはAWS マネジメントコンソールから IAM を選択します。

IAMのユーザ追加Wizard開始

ページ中のグループとユーザ追加をクリックすると、新しいグループとユーザの登録ができます。

グループ名の選択

まずはグループ名の入力。 スペースなどの文字が使えないので、その警告が表示されています。

グループの権限を設定

グループ権限の設定。 標準的に準備されているのは、 Administrator, Power User, Read only の3種類です。 例えばRead Onlyにすると、EC2のインスタンス停止などが出来ないアカウントとなります。 その他、利用できる各サービスを JSON形式で編集して、もっと細かい設定ができるようです。

ユーザの追加

このグループに追加するユーザを作成したり選択します。

IAMグループとユーザ一覧

登録などが進むと、グループとユーザ一覧が出てきます。 後の操作はここから実施すればよいでしょう。


Sign In URL

IAM 用 Sign In は通常と別ページになっています。 ここのURLをユーザに伝えてください。

Sign In URL にAliasを設定

Sign In URL の部分はアカウントの番号になっており、これに Alias を設定することも可能です。

IAM のログインページ

IAMのログインURLを開くと、このようなログインページになります。

幾つか使ってみて気づいたことは、こんな感じです。


  • グループの権限はホワイトリスト形式のようです。

  • 一人のユーザがグループAとグループBに属している場合、and/or の OR 形式で、どちらか一方または両方から与えられた権限が利用できます。

  • 私の場合、複数のAWSアカウントにログインする必要があります。 違うAWSアカウントにログインする場合には、その都度IAMのログインURLをコピペしてログインしています。

  • どのAWSアカウントにログインしているかは、AWSマネジメントコンソールの右上の部分をご確認ください。


コメント

コメントを投稿

このブログの人気の投稿

ICOM IC-7300 と RS-BA1 Version 2 でリモート操作

イメージ
ICOMのアマチュア無線機をリモートから操作するためのソフトウェアで RS-BA1 というものがある。2年ほど前に購入したが使っていなかったが、そろそろ稲取サイトに電源を引こうとしているので、リモートから操作できる無線局構築のために、真面目に使ってみることにした。 市販のソフトウェアだから簡単に動くだろうと思ったのだが、ちっともそんなに簡単につながらなかった。ということで、ハマリポイントを明示しながら、私なりの解説を書いてみる。 基本的な構成 RS-BA1を使う場合は、下記のこれらものが必要である ICOMの無線機。 今回は私が持っているIC-7300を使う。 無線機側(サーバ側) のWindows PC。 今回はちょっと古いIntel NUCにWindows 10 Proを入れて使っている。 TPMとか入っているのでBitLockerのDisk暗号化もでき、遠隔地で盗難にあってもデータ流出の危険性が少ないかなと思って。 操作側 (クライアント側) の Windows PC。 今回は手元にあるマウスコンピュータのWindows 11が入ったPC 操作側で音声を使った交信を行うならば、相応なマイクなど。 そして、リモート操作を行うソフトウェアであるRS-BA1。 RS-BA1はサーバ側・クライアント側の両方にインストールする。 私の理解した無線機からサーバPC、クライアントPCまでの流れはこの様になっている。 無線機内では、USB Hubの先にUSB SerialとUSB Audio がつながっている。USB Serialは無線機のマイコンとつながり、CI-Vでのコマンドが交換できる。USB Audioは無線機の受信音や送信時の変調音を送受信できるようになっている。 無線機とつながるサーバ側のPCのでは、Remote Utilityの制御用コマンドをUDP 50001で交換できるようになっており、USB SerialなどのSerial portで送受信するCI-Vの内容はUDP 50002で交換でき、USB Audioからの音声データはUDP 50003で送受信している。 利用者側のクライアントPCでは、Remote UtilityとRS-BA1 Remote Controlの2つのアプリで仕事を分担するようになっている。 クライアントPCのRemote Utilit...
続きを読む

Windows 11 で Win10Pcap のアンインストール方法

Windows 11 の Windowsセキュリティで、コア分離によるメモリ整合性のセキュリティの設定をしようとしたところ、一部の古いデバイスドライバが入っているとコア分離ができないとのことでした。私の環境では、パケットキャプチャなどで利用する Win10Pcap.sys が入っているためにコア分離ができないとエラーが出ておりました。 アンインストールのプログラムなどを走らせてもアンインストールできなかったので、どのように実行すればよいのか調べながら実施しました。結論としては pnputil というコマンドを用いればよかったです。  まずは管理者権限でTerminalを実行します。 Windows terminal をインストールした環境でしたので、PowerShellが起動しました。  適当なファイルに、現在インストールされているドライバを書き出す。  pnputil /enum-drivers > inf.txt # 上記のファイルから win10pcap を探し出す notepad.exe inf.txt 下記のよう場所があったので、ここから公開名が oem131.inf であるとわかりました。 公開名: oem131.inf 元の名前: win10pcap.inf プロバイダー名: Win10Pcap Native x64 クラス名: NetTrans クラス GUID: {4d36e975-e325-11ce-bfc1-08002be10318} ドライバー バージョン: 10/08/2015 10.2.0.5002 署名者名: Microsoft Windows Hardware Compatibility Publisher 今回の場合は oem131.inf が win10pcap に該当するので、これを削除する。 pnputil /delete-driver oem131.inf 以上でアンインストールができました。
続きを読む

APRSの複数周波数・モードでのBeaconを、RTL−SDRでまとめて受信する

TL;DR rtl_fm ではスケルチ機能を組み合わせて複数周波数の同時待機をします。 DirewolfはAFSK 1200bpsとGMSK 9600bpsの2個を立ち上げます。 1個のrtm_fmからの標準出力を2個のDirewolfの標準入力に渡すため、tee などを使います。 コマンドはこのようになりました。 #!/bin/bash thisdir="$(dirname $0)" direwolf_conf="$thisdir/direwolf.conf" ( rtl_fm -M fm -f 144.64M -f 144.66M -f 431.04M -p 36 -s 48000 -l 20 - | \ tee >(direwolf -c "$direwolf_conf" -r 48000 -D 1 -t 0 -B 1200 - | logger -t direwolf1)| \ direwolf -c "$direwolf_conf" -r 48000 -D 1 -t 0 -B 9600 - | logger -t direwolf9) & 同じディレクトリにおいてある direwolf.conf の中身は、このようになっています。 ADEVICE null null CHANNEL 0 MYCALL コールサイン-10 IGSERVER asia.aprs2.net IGLOGIN コールサイン Passcode PBEACON sendto=IG DELAY=0:30 EVERY=90:00 SYMBOL="igate" overlay=R lat=34^46.02 long=139^02 alt=in_meter comment="Inatori 144.640MHz, 144.660MHz, 431.040MHz Receive-only GW 1200bps+9600bps" SDRドングルを使ったAPRS I-Gateについて アマチュア無線で位置情報を送受信するAPRSでは、複数の周波数帯で複数のモードが使われております。最近ですと受信機にはUSBのSDR受信ドングルを用いて、PCやRa...
続きを読む