growing hard days.

IAMアイデンティティセンター(IIC)のList Assignment APIを確認しました

2024/04/14

やりたいことは、IAMアイデンティティセンター(IIC)のユーザー名をキーにして、アクセス可能なアカウントとアプリケーションをさくっと知りたいです。

AWS への従業員のアクセスを可視化するための AWS IAM アイデンティティセンター API を発表で対象とされているAPIはどうやら次の2つのようです。

たしかにプリンシパルをキーにして、許可されているAWSアカウントと権限セットとアプリケーションが取得できるのは便利ですね。

こちらを取得するには、PrincipalIdとPrincipalType(GROUP, USER)が必要です。
ですのでやることを整理します。
ユーザー名は問い合わせ時に知っていることとしています。

ユーザー名をキーにユーザーのPrincipalIdを取得
Identity Store – GetUserId
ユーザーのPrincipalIdからグループのPrincipalIdを取得
Identity Store – ListGroupMembershipsForMember
ユーザーとグループのPrincipalIdからAWSアカウントと権限セットを取得
IAM Identity Center – ListAccountAssignmentsForPrincipal
ユーザーとグループのPrincipalIdからアプリケーションを取得
IAM Identity Center – ListApplicationAssignmentsForPrincipal
アカウントと権限セット、アプリケーションの一覧を返す

Lambdaで実行できるようにPythonでコードを書いてみました。
yamamanx/IIC-ListAssignmentForUserName

返ってきました。

{
  "statusCode": 200,
  "body": {
        "UserId": "95671e5d28-c1a056fa-5d16-40ed-9160-4a01965356f6", 
        "GroupIds": [
            "27148ae8-b031-7017-6af1-4ce41e2245b4"
        ], 
        "AccountAssignments": [
            {
                "AccountId": "123456789012", 
                "PermissionSetName": "CodeCommitDeveloperAccess"
            }, 
            {
                "AccountId": "123456789012", 
                "PermissionSetName": "AWSAdministratorAccess"
            },
            {
                "AccountId": "987654321098", 
                "PermissionSetName": "AWSAdministratorAccess"
            }
        ], 
        "ApplicationAssignments": [
            {
                "ApplicationName": "Salesforce"
            }
            {
                "ApplicationName": "Cybozu.com"
            }
        ]
    }
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

{

"statusCode": 200,

"body": {

"UserId": "95671e5d28-c1a056fa-5d16-40ed-9160-4a01965356f6",

"GroupIds": [

"27148ae8-b031-7017-6af1-4ce41e2245b4"

],

"AccountAssignments": [

{

"AccountId": "123456789012",

"PermissionSetName": "CodeCommitDeveloperAccess"

},

{

"AccountId": "123456789012",

"PermissionSetName": "AWSAdministratorAccess"

},

{

"AccountId": "987654321098",

"PermissionSetName": "AWSAdministratorAccess"

}

],

"ApplicationAssignments": [

{

"ApplicationName": "Salesforce"

}

{

"ApplicationName": "Cybozu.com"

}

]

}

}

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第2版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

Tweet

関連記事

: RDSスナップショットをS3にエクスポートする新機能を試そうかと思った

やったこと RDSスナップショットをS3にエクスポートできる、という新機能が追加 …

: RDSスナップショットのS3エクスポート結果確認

RDSのスナップショットをS3へエクスポートが日本語マネジメントコンソールでもで …

: AWS LambdaのSQSへの自前ポーリングをやめてSQSイベントソーストリガーに変更した

以前は、LambdaがSQSからメッセージを受信するには、キューをポーリングして …

: Lambda関数からAWS Systems Managerパラメータストアの値を取得して更新する

Lambda関数で自分自身の環境変数を更新するだと、Lambdaのエイリアスと …

: S3イベントのAWS Lambdaのテスト設定

S3イベントのLambda関数でよく使うのはこんなテスト設定です。なので覚書で …

: Amazon S3オブエジェクトへのリクエストをCloudTrail, Athenaで識別

こちらCloudTrail を使用した Amazon S3 リクエストの識別に書 …

: Amazon Auroraのスナップショットの暗号化とリージョン間コピーを改めて試しました

Amazon Auroraデータベースを暗号化して、スナップショットを作成、クロ …

: 東京リージョンの1つのAZ(apne1-az2)でt3.nanoスポットインスタンスが拒否されちゃいました

拒否されちゃいましたちょっとした検証をしようとしてて、t3.nanoのスポット …

: Amazon API GatewayをLambda(Python)で削除する

やりたいこと特定のAWSアカウント、特定のリージョン内のAPI Gateway …

: kintoneに登録されたアカウントの電話番号にGoogleカレンダーの予定をAmazon Pollyが読み上げてTwilioから電話でお知らせする(AWS Lambda Python)

Google Calendar Twilio Reminder Googleカレ …

PREV: 「Serverless Days Tokyo 2023 サーバーレスアーキテクチャを使って、小さく作って大きくする取り組み」を見ました