IAMアイデンティティセンター(IIC)のList Assignment APIを確認しました
やりたいことは、IAMアイデンティティセンター(IIC)のユーザー名をキーにして、アクセス可能なアカウントとアプリケーションをさくっと知りたいです。
AWS への従業員のアクセスを可視化するための AWS IAM アイデンティティセンター API を発表で対象とされているAPIはどうやら次の2つのようです。
たしかにプリンシパルをキーにして、許可されているAWSアカウントと権限セットとアプリケーションが取得できるのは便利ですね。
こちらを取得するには、PrincipalIdとPrincipalType(GROUP, USER)が必要です。
ですのでやることを整理します。
ユーザー名は問い合わせ時に知っていることとしています。
- ユーザー名をキーにユーザーのPrincipalIdを取得
Identity Store – GetUserId -
ユーザーのPrincipalIdからグループのPrincipalIdを取得
Identity Store – ListGroupMembershipsForMember -
ユーザーとグループのPrincipalIdからAWSアカウントと権限セットを取得
IAM Identity Center – ListAccountAssignmentsForPrincipal -
ユーザーとグループのPrincipalIdからアプリケーションを取得
IAM Identity Center – ListApplicationAssignmentsForPrincipal -
アカウントと権限セット、アプリケーションの一覧を返す
Lambdaで実行できるようにPythonでコードを書いてみました。
yamamanx/IIC-ListAssignmentForUserName
返ってきました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
{ "statusCode": 200, "body": { "UserId": "95671e5d28-c1a056fa-5d16-40ed-9160-4a01965356f6", "GroupIds": [ "27148ae8-b031-7017-6af1-4ce41e2245b4" ], "AccountAssignments": [ { "AccountId": "123456789012", "PermissionSetName": "CodeCommitDeveloperAccess" }, { "AccountId": "123456789012", "PermissionSetName": "AWSAdministratorAccess" }, { "AccountId": "987654321098", "PermissionSetName": "AWSAdministratorAccess" } ], "ApplicationAssignments": [ { "ApplicationName": "Salesforce" } { "ApplicationName": "Cybozu.com" } ] } } |
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。


開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
IAMセッションポリシーの利用(GetFederationToken)
GetFederationTokenでのセッションポリシーは、呼び出し元のIAM …
-
-
Amazon Location Service入門ワークショップの前提環境準備
Amazon Location Service入門ワークショップの前提環境を構築 …
-
-
JAWS-UG 大阪 関西女子合同 Amazon Personalizeハンズオンやってみました
久しぶりに大阪でJAWS-UGに参加です。 Amazon Personalize …
-
-
Projectタグを強制するSCPでアクションやリソースを限定しないとき成り立つのか
ふと疑問に思ったので試しました。 予想は、拒否されてしまう、です。 [crayo …
-
-
EC2にSystems MangerからCloudWatchエージェントをインストール
CloudWatchエージェント EC2の標準メトリクスでは収集できないメモリの …
-
-
Aurora Serverless Data APIを有効にしてLambdaからクエリを実行
Aurora Serverless作成 MySQLを作成しました。 作成時にDa …
-
-
Amazon CloudWatch Anomaly Detectionをダッシュボードに設定
Amazon CloudWatch クロスリージョンクロスアカウントダッシュボー …
-
-
リザーブドインスタンス推奨事項を確認した
マネジメントコンソールで[AWSコスト管理]カテゴリの[AWS Cost Exp …
-
-
AWS BatchでPandocコンテナイメージを実行する
「ECR(Amazon Elastic Container Registry)に …
-
-
IAMユーザーにパスワード変更とMFA設定を許可する
組織管理のIAMで、ユーザーにMFAを使ってサインインしない限り操作は許可しない …