AWS CDK ドキュメントの個人用メモ。最新を追従したりはしないつもりです。
前回の L1 コンストラクトに続いて、今回は L2 コンストラクトをとりあげます。L2 は L1, L3 など関連する領域が広く、説明を要することがらの多いコンストラクトですが、今回は L1 との違いや構造など基本的なことについて説明します。 L1 もリソース、L2 もリソース はじめに押さえておきたいのは、L1 も L2 も個々のリソースを表すコンストラクトであるということです。 どちらも EC2 インスタンスや S3 バケットなどを TypeScript のクラスで表現しているという点では同じなのです。 L1 と L2 で異なるのは、抽象化の度合い、具体性です。 同じリソースを表すにしても、L1 は抽象度の低いローレベル (low-level, 低水準) なコンストラクトです1。 それにくらべて L2 は抽象度の高いハイレベル (high-level, 高水準) なコンストラクトです。
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
どうもこんにちは西川です。AWS Community Builder に選ばれたからにはAWSのこともアウトプットしなきゃということで、今日は Security Hub の Central configurationの素晴らしさをお伝えしたいと思います。 Security Hub 運用の課題と Central configuration Cental configuration は re:Invent 2023 で発表された機能で、実は最近までこの機能が追加されていたことに西川は気づいておりませんでした(汗) でも、この機能はSecurity Hubを運用していくうえでは欠かせない機能で、それはなぜかというと、Automation rules では、OU単位だったり、アカウントについているタグ等を判別してルールを書くことができないのですが、AWSアカウントをOrganization管理して
大阪オフィスの川原です。 クラスメソッドのシン・大阪オフィスでの初イベント DevelopersIO OSAKA Day One -re:union- にて 『疲弊しないAWSセキュリティ統制の考え方』 というメインセッションを話しました。 ご参加いただいたみなさま、ありがとうございます! 発表で使った資料を本ブログで公開します。 当日の発表では時間の都合上話せなかった部分もいくつかありますので、 気になった方はぜひ見てください。 参考になれば幸いです。 スライド 参考資料 責任共有モデル | AWS NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST NIST Cybersecurity Framework (CSF) 2.0 Reference Tool | NIST Cyber Defense Ma
日々何気なくお世話になっている VPC 含むネットワークは、ちゃんと理解しようとすると思ったより多い情報量と、それに対するパターンの経験が必要になります。 私自身、正直ネットワークのお話は好きじゃないのですが、現行の事情を踏まえてこの辺の基本と雑学を振り返っておくと、技術力のベースが整ってよろしいのではと思って整理することにしました。 はじめに 新年度なので、学習教材シリーズです。今回はネットワーク周りで、基礎に味付けするような内容です。もしかしたらお嫌いなジャンルでしょうか、でも少しだけやりましょうそうしましょう。 関連情報としては、このあたり。 公式 ENOG81: AWSのIPv6とPublic IPv4のおはなし – Speaker Deck Amazon VPC とは? – Amazon Virtual Private Cloud 外道父の匠 AWS VPCルーティングの基本から
米ドル/円 が150円と計算しやすくなり、コスト削減の圧力が日々強まる中、皆様お宝探しと垂れ流し回収の真っ最中でございましょうか。 最近はコスト削減や予算について見ることが多いので、その中で出てきた面白げな話に雑談を加えてとりとめなく書いてみようと思います。 削減余地はある 昨年にご好評いただいた AWSコスト削減とリソース管理 | 外道父の匠 を含め色々な削減施策を試みてきましたが、サクッと成果になる箇所から泥沼に動かない所まで様々あったりします。 ただ、どんなアカウントでもトラフィックや処理負荷には波があり、それに対する余剰リソースを確保して構成しているので、その辺をキュッと絞ることまで含めればやれることは必ず一定以上存在することになります。 そういう大きなお宝ではない小さなお宝だと様々あり、古びたとか退職者が作ったとかで、ほぼ使っていない垂れ流しリソースやデータをかき集めれば、チリツ
公開日: 2023 年 12 月 6 日 (改訂履歴) このホワイトペーパーは、AWS Well-Architected フレームワークのセキュリティの柱に焦点を当てています。 AWS Well-Architected Framework.お客様が安全な AWS ワークロードの設計、配信、メンテナンスにベストプラクティスと最新の推奨事項を適用するうえで役立つガイダンスを提供します。 はじめに それらの AWS Well-Architected Framework は、AWS でワークロードを構築するための意思決定におけるトレードオフの理解に役立ちます。このフレームワークを使用すれば、信頼性、安全性、効率性、コスト効率に優れ、持続可能なワークロードを、クラウド内で設計および運用するためのアーキテクチャ上の最新のベストプラクティスを学ぶことができます。このフレームワークにより、ワークロードをベ
なぜセキュリティグループで0.0.0.0/0からのインバウンドトラフィックを許可することが危険なのか? はじめに こんにちは!AWS事業本部コンサルティング部の和田響です。 この記事では「なぜセキュリティグループで0.0.0.0/0からのインバウンドトラフィックを許可することが危険なのか?」について説明し、具体的な対策と検知の方法について記載します。 0.0.0.0/0からのトラフィックとは? 0.0.0.0/0は、IPアドレスの範囲を指定するCIDR(Classless Inter-Domain Routing)表記の一つで、IPv4アドレス空間におけるすべてのIPアドレスを意味します。 つまり「0.0.0.0/0からのトラフィック」とはすべてのIPからの通信であり、インターネットのあらゆる場所からの通信と言い換えることもできます。(IPv6の場合は::/0と表記します。) なぜ危険なの
Finch¶ Finch is an open source tool for local container development. Finch aims to help promote innovative upstream container projects (including Lima, nerdctl, containerd and BuildKit) by making it easy to install and use them. Finch provides a simple native client to tie it all together. Today, Finch is available for developers using macOS on Intel and Apple Silicon, and we plan to make it avail
帰省していた妻と子供を迎えに羽田空港まで行ったのに、下の子がまったく嬉しそうじゃなくてガッカリな中村です、こんにちは。 今日は、S3にMavenインハウスリポジトリを構築して、3つのビルドツール(Maven/Gradle/sbt)から扱うための設定を紹介します。 S3にリポジトリ構築するに至った背景 まず、実際の設定内容を紹介する前に、なぜS3上にリポジトリ構築しようとしたのかと、そのメリットを簡単に説明します。 MavenもしくはJavaベースの言語を利用していた場合、インハウスリポジトリを構築すると色々便利だということは、WEB+DB PRESS Vol.39の記事中でも紹介しています。私達も、今までは社内サーバ上にMavenリポジトリを構築していましたのですが、社内サーバのメンテナンスコストも馬鹿にならなくなり、もっとメンテナンスコストを減らせるものに移行しようと決断しました。 メン
はじめに 今回はAWS Copilot CLI(以下Copilotと呼ぶ)をおすすめしていきたいと思います。 Copilotは、その名の通りCLIでAWSにコンテナアプリケーションを構築するためのツールです。 Copilotを使って作成されたリソースは、ほとんどがymlファイルで管理されているため、簡易的なIaCとしても役立ちます。 既にAWSに深い知識がある方は、Copilotを使わなくてもTerraformやCloudFormationを使って、簡単に同じことができるかもしれません。 しかし、Copilotは最低限のAWSの知識で簡単にインフラ環境を構築することができるため、初心者の方やスタートアップで素早く環境を作りたい、という方にはとてもおすすめです! 対象の読者 Copilotを使うか迷っている人 Copilotでどんなことができるのかを知りたい方 Copilotをうまく使うため
こんにちは。SREチームの吉澤です。2023年3月にアンドパッドに入社し、最近は主にセキュリティ関係の改善に取り組んでいます。 SREの経験としては、アンドパッドへの入社前からSREとして働いており、雑誌に寄稿したり、個人ブログを書いたり、SREの勉強会に運営スタッフとして長年参加したりしてきました。9/29(金)開催のSRE NEXT 2023にも、運営スタッフとして参加しています。SRE NEXT 2023には、アンドパッドもブロンズスポンサーとして参加しています! そこで今回は、SRE NEXT 2023のCFPに応募したネタ(今回、競争率すごく高かったんですよね……)を育てて、1つ記事を書いてみました。CFP落選供養スペシャルです。 背景 AWS Security Hubとは アンドパッドでのSecurity Hubの活用 目的 実現方法 課題 Security Hubのコントロー
Aurora MySQL 5.6が2023年2月にEOLを迎える事に伴い、5.7へのアップグレードが必要になりました。 Parameter groupsも5.7用に新しく作ることになりますが、5.6->5.7でデフォルト値は変更があるのでしょうか? Webコンソールで比較するのは無理があるので、AWS CLIを使って差分を洗い出してみました。 Parameter groups describe-db-parameters で取得できます。 リージョンやパラメータ名はご自身の環境に合わせてください。 $ aws rds describe-db-parameters --region ap-northeast-1 --db-parameter-group-name db-param-56 | jq '.[][] | [.ParameterName,.ParameterValue] | @csv
AWS の IPv6化について調査は済んだけど、書き始めるのに非常にドンヨリしております。図を書いて少しでも楽しくいきましょそうしましょ。 皆様も読んだらドンヨリするかもしれませんが、できるだけ丁寧に書いてみますので、PublicIP 有料化に抗いたい人は頑張って追ってみてください:-) 目次 また長いです。でもひきかえさないほうがいいかもしれない。 はじめに 前提知識 目的 IPv6 の設計 従来のプライベート IPv4 IPv6 の割り当て Gateway と Routing VPC SecurityGroup Network ACL Subnet Egress Only G/W NAT64 RouteTable Public Private インスタンスで動作確認 IPv6 アドレスの確認 IPv6用の設定 疎通確認 IPv6リソースの配置 既存リソースの入れ替え アプリケーションの
セキュリティインシデントは発生時の対応だけではなく、準備や継続的な改善が重要です。AWS が公開しているガイドから学んでみましょう。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 今回は AWS セキュリティインシデント対応ガイドを要約しています。 AWS 内でのセキュリティインシデントに対する準備、対応、事後対応の基本事項を説明したドキュメントです。 なんと 2023年1月1日にドキュメント更新するというオシャレなドキュメントだったので取り上げてみます。 序章 AWS には共有責任モデルがあり、お客様はクラウド内のセキュリティに責任を負います。 お客様は AWS 上で実行されるアプリケーションのセキュリティベースラインを確立し、そこから逸脱した場合には対応して調査する必要があります。 セキュリティの
ご機嫌いかがでしょうか、豊崎です。 S3のストレージクラスは現在6つあります。どういったユースケースでどのS3のストレージクラスを選択したら良いのか、整理したかったので、チャートを作ってみました。 それではまずはS3の種類からです。 S3の種類と特徴 執筆時点でS3には以下6つのストレージクラスが存在します。(正確にはAmazon S3低冗長化ストレージ(RSS)を含めると7種類ですが、推奨されていないため、除外し6種類と記載しています。) S3 Standard S3 Standard-IA S3 Intelligent-Tiering S3 One Zone-IA S3 Glacier S3 Glacier Deep Archive 6つのS3ストレージクラス 特徴 それぞれ以下のような特徴があります。 S3 Standard 頻繁にアクセスされるデータ向け S3 Standard-I
CX事業本部@大阪の岩田です。 一般的にアンチパターンとされているLambdaとRDS(もしくはもう少し対象範囲を広げてRDB)の組み合わせですが、VPC Lambdaの改善やRDS Proxyの登場によって採用しても問題ないケースが増えました。ここ数年でLambda × RDSというアーキテクチャが選定されることも増えたように感じています。その一方で、RDS Proxyのメリット・デメリットをよく精査せずに、Lamba × RDSだから...という理由だけでRDS Proxyを導入し、あまりRDS Proxyのメリットを享受できないような構成も目にする機会が増えました。 このブログではRDS Proxyのメリットが薄くなる構成の具体例を紹介しつつ、RDS Proxy導入の手助けができればと思います。RDS Proxyというサービスの概要やメリット・デメリットについては既に色々な記事が出て
このパートで学ぶこと今回は、以前レッスン2で作成したS3バケットにCloudFront経由でアクセスするように設定して、キャッシュを保存させます。前パートで学んだように、エッジサーバーにキャッシュを保存させ、S3バケットへのアクセス無しにS3の中にあるHTMLファイルの内容を閲覧可能にするのが目的です。 このパートでは、CloudFront経由でアクセスするための設定方法と、出てくる用語について学びながら実際に手を動かしていきます! この先の作業は、 (1)S3とCloudFrontの結び付け(2)ドメインの取得・設定とACMによる証明書の取得(3)CloudFrontへの証明書の紐付けと動作確認の順序で進めていきます。 S3の動作確認まずは、以前作成したS3バケットが正常に動作しているか確認しましょう。もし削除など、バケットがない場合はレッスン2の内容を見返しながら、再度作成してください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く