大事だけど AWS 構成図では省略してしまうことが多いサービスについて - サーバーワークスエンジニアブログ
コーヒーが好きな木谷映見です。 今回は小ネタです。AWS 構成図を書く際、省略してしまうことが多いサービスについて思いを馳せました。 よくある?構成図 リージョン アベイラビリティゾーン ルートテーブル AWS IAM インスタンスプロファイル Amazon EBS Elastic IP Elastic network interface(ENI) セキュリティグループ セッションマネージャーする時のエンドポイント 最終構成図 終わりに よくある?構成図 よくあると思われる構成図を描いてみました。 AWS になじみがある方から見ると、 「ふむ、パブリックサブネットとプライベートサブネットに 1 台ずつ EC2 インスタンスがあって、プライベートサブネットのインスタンスにはセッションマネージャーでログインするのかな?S3 バケットもあるな」 くらいの想像ができるかもしれません。 リージョン
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
【AWS】Amazon S3 Object Lambdaを試してみた(その1) - echo("備忘録");
はじめに 3/19(金)に「Amazon S3 Object Lambda」というS3の新機能がGAになりました。 aws.amazon.com これは上記公式サイトにも 「S3 から取得したデータをアプリケーションに返す前に独自のコードを追加して処理できる新機能」 とあるように、例えばS3バケットのキーをgetObjectする際に、あらかじめ何かの処理(フィルタリングやマスキングなど)を実施した値になっているため、getObject()を呼び出すLambdaでの変換処理が不要になります。 というわけで、今回はこのS3OLについて試してみた話です。 TL;DR S3OLの概要 TypeScriptで実装してみた ハマった点など S3OLの仕組み S3OLの仕組みとしては、公式サイトの下の画像の通りです。 概要としては、こんな感じです。 S3OLアクセスポイント経由でS3バケットにアクセスす
IAM の評価論理をやんわり押さえるセッション「やんわり押さえよう IAM の評価論理」で登壇しました #devio2021 | DevelopersIO
【やんわり】(副詞) ━ものやわらかであるさま。おだやかなさま。 (デジタル大辞泉より) コンバンハ、千葉(幸)です。 皆さんは IAM の評価論理って難しいと思っていませんか? 実は…… … …… ……… その通り、難しいんです。 やれアインディティベースポリシーとリソースベースポリシーだの、アカウントをまたぐまたがないだの、ガードレールがどうだの、暗黙的だの明示的だの、覚えることがたくさんあって難しいです。 詳細な内容は必要に迫られたときに考えるとして、「だいたいこういうことでしょ」とやんわり理解する状態を本セッションでは目指していきます。 セッションの雰囲気 これが…… こうなる感じ雰囲気のセッションです。 セッションで学べること 章ごとにサマリを描きます。 1. IAM JSON ポリシー IAM のポリシータイプは 6 つあること IAM JSON ポリシーの構成要素として Ef
codedeploy-agentのキャッシュを削除したら - Qiita
codedeployを使っている場合、ソースコードのキャッシュが /opt/codedeploy-agent/deployment-root/[デプロイグループID]/ というディレクトリに溜まっていきます。 このディレクトリは5世代まで?保持されますが、インスタンスのディスク容量を圧迫するので、やむを得ず消さなければならない場合があります。 しかし、無闇に削除すると次回以降のデプロイが以下のようなエラーで失敗するようになります。 No such file or directory - /opt/codedeploy-agent/deployment-root/[デプロイグループID]/[デプロイID]/deployment-archive/appspec.yml これは、codedeploy-agentが直前のリビジョン(デプロイID)を探すためですが、前回のデプロイ情報は /opt/c
LightsailにSSMエージェントを導入する。 - Qiita
はじめに LightsailにSSMエージェントを入れてセッションマネージャーで接続できるようにしてみました。 ちょっとつまづいたところもあったのでそこら辺の流れも一緒に記載してます。 環境 一応、今回対応した環境情報を記載しておきます。 AWS:Lightsail インスタンスイメージ:Redmine Bitnami 認定 4.0.5 OS:Ubuntu 16.04.6 LTS IAMサービスロールの作成 まずは以下の内容で信頼ポリシーを作成しテキストファイルに保存します。ファイル保存時は、必ずファイル拡張子 (.json) を付けることを忘れずに。 ちなみにここでは SSMService-Trust.json というファイルにしています。 { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal":
秘密鍵の共有「Secret Manager」 - Qiita
前置き 基本、秘密鍵の共有はよろしくないので、そちらを許容できる方のみ対応ください。 EC2のキーペアのプライベートキーの管理をどのように共有するかを模索していた段階でしたが、AWS Secret Managerで実現できそうなので、検証してみました。 AWS Secret Manager 【AWS公式】AWS Secrets Manager アプリケーション、サービス、IT リソースへのアクセスに必要なシークレットの保護 データベースの認証情報、API キー、その他のシークレットをそのライフサイクルを通して容易にローテーション、管理、取得できるようにします。 秘匿情報の管理をこいつはやってくれます。 秘密鍵をバイナリデータで登録 ※バイナリデータの登録・参照・取り出しは、AWSマネジメントコンソールではサポートされておらず、AWS CLIやSDKを使う必要があります。 登録用のシェル #
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
AWS タグの活用方法と命名ルールを考える | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きなネクストモード株式会社 の吉井です。 今回はタグ付けの活用方法を考えてみます。 タグとは そもそもタグとは何でしょうか? AWS リソースを識別および整理するためのメタデータとして使用される単語やフレーズです。 タグはキーと 1 つのオプションの値で構成されています。 以下はタグ付けの例です。 タグ活用パターン タグを活用する主なパターンを洗い出してみました。 AWS リソースを識別/グルーピングする IAM ポリシーのアクセス制御として コストのグルーピング AWS リソースを識別/グルーピングする 例えば EC2 が10台起動しているとします。 どの EC2 が自分のプロジェクトのものなのか、一覧できると便利です。 そうしたい際には以下のようなタグ付けを行います。 (
July Tech Festa 2020 に「プロジェクトチームで取り組む実践的なクラウドコスト最適化」というテーマでオンライン登壇しました - Sansan Tech Blog
Cloud Cost Optimization Engineer の大澤です。ルンバをレンタルして一昨日から我が家で稼働し始めました。半信半疑だった妻もキレイになった我が家を見て納得してくれました。レンタルなのでランニングコストしかかからないのがいいですね。1年ぐらいしたら返却しようと思います。 本題です。7月25日に開催された July Tech Festa 2020 に登壇してきました。カンファレンスなどのセッション登壇するのは昨年7月の CloudNative Days Tokyo 2019 以来です。 今回も会社から登壇依頼されたものではなく、個人として CfP(Call for Proposals)に応募した結果、採択されて登壇しました。登壇する理由については上のリンク先に書いていますので時間があればお読みください。 セッション概要 AWSなどのパブリッククラウドにおいてコスト管
AWS Chatbotを触ってみた - アクトインディ開発者ブログ
morishitaです。 AWSで様々なサービスを使っていて、常々不便に思っていたことがあります。 それは Slackに通知できない ということです。 もちろん、Lambda を使って Slack にメッセージを送るのは、難しくないしすぐできます。実際、Cloud Watch Alert の重要なものは SNS(Simple Notification Service) + Lambda で Slack に通知していたりします。 先日、紹介した Amplify Console はメール通知機能を備えており、ビルド、デプロイの成否をメールで通知してくれます。Amplify Consoleの様に開発プロセスの一部に組み込まれるサービスにとって通知のニーズが必要とはAWSもわかっているなぁと感心しました。 しかし、一方で「その手段がメールだけって…」と軽い失望を覚えました。 tech.actind
AWS システム構築 非機能要件ヒアリングシートを公開してみた | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きなネクストモード株式会社の吉井 亮です。 日本国内においても多くのシステムがクラウド上で稼働していることと思います。 俊敏性、拡張性、従量課金、IaS、セキュリティなどクラウドのメリットを享受しやすい所謂 SoE で多くの実績があるように感じます。 ここ1~2年は、社内基幹システム・情報システム、SoR 系のシステムのクラウド移行が本格化してきたというのが肌感覚であります。 クラウドでのシステムインフラ構築は従来のようにゼロから非機能要件定義を行っていくものではなく、ベストプラクティスをまず実装して少しずつ微調整を行っていくものと考えています。とはいえ、システムごとの要件は予め明らかにしておくことがインフラ構築においても重要になります。 クラウド上では出来ること出来ないこと
「はじめてのAWS設計でやりがちな失敗パターンまとめ」について発表しました #devio2020 | DevelopersIO
西澤です。クラスメソッドに入社してからおよそ5年間クラウドの推進やAWS技術に関する支援をさせていただいております。この経験を何か形にしたいと思い、少し遅れてしまったのですが、Developers.IOイベントに乗じてまとめさせていただきました。 発表資料 資料はこちらにアップロードしております。 夜間に録音したので覇気が無い感じになってしまいましたが、動画はこちらです。 まとめ 「AWS設計でやりがちな失敗パターン」というタイトルで考え始めたのですが、もっともお伝えしたい点は、AWSを利用されるお客さまのマインドセットを変え、クラウドを活用できる組織に変わって欲しい、というところに集約できるかなと思います。技術的な問題以上に、考え方を変えられないこと、組織を変えられないことが、クラウド活用を阻害するアンチパターンになっていると思いました。 どこかの誰かのお役に経てば嬉しいです。
Amazon Linux 2 のインスタンスを作成する時に必ずやっておきたい事 | DevelopersIO
はじめに こんばんは、菅野です。 Amazon Linux 2 への移行は終わりましたか? Amazon Linux 2 へ移行するには新しいインスタンスを作成する必要がありますが、その時におすすめしたい設定があります。 ※2020-07-08に「注意点 その2」を追記しました。 おすすめの設定 セッションマネージャーを利用できるようにすること メモリ使用率とディスク使用率を CloudWatch で見れるようにすること これらを設定しておくと、今後の運用が楽になります。 セッションマネージャーを使うメリット メリットとしては、SSH 接続をしなくても EC2 のコマンドが実行できるようになりますので、セキュリティグループで SSH を解放する必要が無くなりセキュリティの向上につながります。 この画像はマネジメントコンソールから EC2 にログインした時のものですが、AWS Systems
AWSマネジメントコンソールで役に立つChrome拡張機能のご紹介 | DevelopersIO
ご挨拶 皆さんこんにちは!「弘基」って書いてホンギです。 本日はクラスメソッドの創立記念日です!そして皆でブログを書く日でもあります。 ということで本日は自分がAWSマネジメントコンソールでサービスを操作する時、利用しているChromeの拡張機能をいくつかご紹介させていただきたいと思います! Chrome拡張機能とは グーグルクローム拡張プログラム(Google Chrome Extension)は、グーグルクロームブラウザを修正するブラウザ拡張プログラムです。 このような拡張は、HTML、JavaScriptおよびCSSのようなウェブ技術を基盤に使用して作成されます。 おすすめのAWS向けの拡張機能 AWS Favicon Update AWS Favicon Updateは、ブラウザタブのAWSのFaviconをAWSリソースイメージに変更してくれる拡張機能です。 たまに多くのタブを開
AWS CloudFormationのテンプレートを細かく分けて確認してみた | DevelopersIO
AWS CloudFormationのテンプレート、長!となったのは私だけでしょうか。同志の皆さん、一緒にテンプレートを少しずつ確認して、テンプレート職人を目指しましょう。こちらを読む際、是非テンプレートも横に開きながら、読んでみてくださいね! みなさんどうも、新卒エンジニアのたいがーです。 今年も半年が過ぎましたね。早いものです。 それぞれのリソースの立ち上げはマネジメントコンソールやAWS CLIでやってみたけど、そろそろInfrastructure as Codeを触ってみたい!!Cloud Formationを使ってみよう!!という気持ちになっていらっしゃる方はいませんか? 私です。 しかし、実際のAWS CloudFormatinのテンプレートを見てみるも、長いな…どこから始めたらいいんだ…となってしまった方はいませんか? そうです、私です。 そんな今回は、CloudFormat
PythonでSSHトンネル経由でMySQLに接続してクエリ結果をスプレッドシートに展開する - Qiita
DBのデータを自動でスプレッドシートに展開したいが、セキュリティの都合上DBに直接続できないのでSSHトンネル経由で接続してから展開するという方法をやってみた記録。 事前準備 Google Sheets APIの設定を行い、JSON形式のシークレットキーを取得してサーバーに設置しておくことが必要。 環境 CentOS Linux release 7.4.1708 (Core) Python 3.6.5 接続確認済み (2018/10/24) - さくらのレンタルサーバー - Amazon RDS コード # CSV import io as StringIO import csv from pprint import pprint # Google Spreadsheet import argparse from apiclient import discovery import oaut
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「義務教育で教えて欲しい」AWSの『技術的なお問い合わせに関するガイドライン』は職業を問わず全人類が読むべき
AWS/Azure/Google Cloudサービス比較 2023.12 - Qiita
boto3 で デフォルトprofile以外を使う - Qiita
