IAMアイデンティティセンター(IIC)のList Assignment APIを確認しました
やりたいことは、IAMアイデンティティセンター(IIC)のユーザー名をキーにして、アクセス可能なアカウントとアプリケーションをさくっと知りたいです。
AWS への従業員のアクセスを可視化するための AWS IAM アイデンティティセンター API を発表で対象とされているAPIはどうやら次の2つのようです。
たしかにプリンシパルをキーにして、許可されているAWSアカウントと権限セットとアプリケーションが取得できるのは便利ですね。
こちらを取得するには、PrincipalIdとPrincipalType(GROUP, USER)が必要です。
ですのでやることを整理します。
ユーザー名は問い合わせ時に知っていることとしています。
- ユーザー名をキーにユーザーのPrincipalIdを取得
Identity Store – GetUserId -
ユーザーのPrincipalIdからグループのPrincipalIdを取得
Identity Store – ListGroupMembershipsForMember -
ユーザーとグループのPrincipalIdからAWSアカウントと権限セットを取得
IAM Identity Center – ListAccountAssignmentsForPrincipal -
ユーザーとグループのPrincipalIdからアプリケーションを取得
IAM Identity Center – ListApplicationAssignmentsForPrincipal -
アカウントと権限セット、アプリケーションの一覧を返す
Lambdaで実行できるようにPythonでコードを書いてみました。
yamamanx/IIC-ListAssignmentForUserName
返ってきました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
{ "statusCode": 200, "body": { "UserId": "95671e5d28-c1a056fa-5d16-40ed-9160-4a01965356f6", "GroupIds": [ "27148ae8-b031-7017-6af1-4ce41e2245b4" ], "AccountAssignments": [ { "AccountId": "123456789012", "PermissionSetName": "CodeCommitDeveloperAccess" }, { "AccountId": "123456789012", "PermissionSetName": "AWSAdministratorAccess" }, { "AccountId": "987654321098", "PermissionSetName": "AWSAdministratorAccess" } ], "ApplicationAssignments": [ { "ApplicationName": "Salesforce" } { "ApplicationName": "Cybozu.com" } ] } } |
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第2版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
RDSスナップショットをS3にエクスポートする新機能を試そうかと思った
やったこと RDSスナップショットをS3にエクスポートできる、という新機能が追加 …
-
RDSスナップショットのS3エクスポート結果確認
RDSのスナップショットをS3へエクスポートが日本語マネジメントコンソールでもで …
-
AWS LambdaのSQSへの自前ポーリングをやめてSQSイベントソーストリガーに変更した
以前は、LambdaがSQSからメッセージを受信するには、キューをポーリングして …
-
Lambda関数からAWS Systems Managerパラメータストアの値を取得して更新する
Lambda関数で自分自身の環境変数を更新する だと、Lambdaのエイリアスと …
-
S3イベントのAWS Lambdaのテスト設定
S3イベントのLambda関数でよく使うのはこんなテスト設定です。 なので覚書で …
-
Amazon S3オブエジェクトへのリクエストをCloudTrail, Athenaで識別
こちらCloudTrail を使用した Amazon S3 リクエストの識別に書 …
-
Amazon Auroraのスナップショットの暗号化とリージョン間コピーを改めて試しました
Amazon Auroraデータベースを暗号化して、スナップショットを作成、クロ …
-
東京リージョンの1つのAZ(apne1-az2)でt3.nanoスポットインスタンスが拒否されちゃいました
拒否されちゃいました ちょっとした検証をしようとしてて、t3.nanoのスポット …
-
Amazon API GatewayをLambda(Python)で削除する
やりたいこと 特定のAWSアカウント、特定のリージョン内のAPI Gateway …
-
kintoneに登録されたアカウントの電話番号にGoogleカレンダーの予定をAmazon Pollyが読み上げてTwilioから電話でお知らせする(AWS Lambda Python)
Google Calendar Twilio Reminder Googleカレ …