はてなブックマーク

はじめに クラスメソッドメンバーズのAWSアカウントをご利用の場合、セキュリティ強化とメンバーズサービスの提供を目的として、複数のAWSサービスが自動的に有効化され、関連リソースが作成されます。 その一環として、cm-access-analyzerという名前のAWS IAM Access Analyzerが自動的に全リージョンで作成されます。このIAM Access Analyzerの信頼ゾーンはアカウント単位で設定されています。 以下の記事で解説されているように、マルチアカウント構成では、通常、管理アカウントのみに組織タイプのIAM Access Analyzerを作成し、メンバーアカウントにはIAM Access Analyzerを作成しないケースが多く見られます。 そのため、以前、メンバーアカウントのIAM Access Analyzerを削除するように、全メンバーアカウントにおける

お疲れさまです。とーちです。 MacOSでDockerを使用するために、Rancher Desktopを使っている方は多いのではないでしょうか？ 私も長らくRancher Desktopを使っていたのですが、つい最近、この記事でColimaというツールを知り「これは良さそう」と思ったので実際に試してみることにしました。 今回は、軽量なコンテナランタイムとして注目されている「Colima」への移行について、実際に試してみた経験を共有したいと思います。 とりあえずまとめ Colimaは軽量でシンプルなコンテナランタイム環境を提供 DockerCLIは別途インストールする必要あり Kubernetes環境も必要に応じて簡単に構築可能 そもそもなぜコンテナランタイムが必要なのか？ まず、MacOSでDockerを使用する際になぜコンテナランタイムが必要なんでしょうか？私は雰囲気でRancher D

はじめに 皆様こんにちは、 クラウド事業本部コンサルティング部のあかいけです。 突然ですが、弊社では業務用PCとしてMac or Windows が支給されます。 私は前職でMacを使っていたので、なんとなくMacを選びましたが、 過去設定した際の手順を残しておらず、今回も検索しながら丸々設定する羽目になりました...。(自業自得) というわけで今後新しいMacをGetした方の手間を軽減するために、 個人的におすすめの設定をまとめておきます。 ※筆者の環境は以下の通りです 機種 - MacBook Pro OS -macOS Sequoia 15.3 基本設定 画面の表示やキーボード、マウスの挙動などMacを使うにあたり、 ちょっとだけ便利になる設定達です。 なおmacOSのバージョンによって設定画面が若干変わることがあるので、 今回はできる限りコマンドで設定してみます。 ソフトウェア ア

org-mode は Emacs メジャーモードの1つです。 アウトライナーとしての機能だけでなく、 タスク管理や表計算、文芸的プログラミングなど 何でもできるツール として知られています。 私は Emacs org-mode が大好きで、今も愛用しています。 過去にも以下にある「仕事の進め方」ブログを書いていました。 そこからだいぶを時間も経ちました。 改めて自分の整理も兼ねて、org-mode を仕事でどう活用しているかをまとめてみます。 前提(実行環境) MacBook Pro (Apple M1 Max) macOS Sequoia 15.3 GNU Emacs 29.4 Org-mode 9.6.15 ディレクトリ/ファイル構成 org-modeではorgファイル( 拡張子 .org )を取り扱います。 orgファイル内にて専用の文法(Org Syntax)で文章を構築します。

ClientErrorのハンドリングを共通化したい boto3 を使った開発していると、実行する API ごとにエラーハンドリングするコードが増えてきました。 例えば以下のような実行したリージョンやアカウント ID の情報を合わせて出力したいケースです。 import boto3 from aws_lambda_powertools.utilities.typing import LambdaContext from mypy_boto3_ec2.type_defs import DescribeVpcsResultTypeDef class VPCManager: def __init__(self, region: str) -> None: self.client = boto3.client("ec2", region_name=region) self.account_id =

もっと簡単にStack間のリソースの移動を行いたい こんにちは、のんピ(@non____97)です。 皆さんはCloudFormationやAWS CDKを使っていて「もっと簡単にStack間のリソースの移動をしたい」や「論理IDを変更したい」と思ったことはありますか? 私はあります。 従来はそのような対応をする場合、以下のようなステップが必要でした。 Deletion PolicyでRetainを設定して、Stack上で削除されても、リソースを削除されないようにする Stack上からリソースを削除する 別のStack or 別の論理IDとしてリソースをインポート どうしても手間が掛かりますし、非常に神経を使います。 今回アップデートによって、 CloudFormationのStack間のリソースの移動や論理IDの変更を簡単に行えるようになりました。 AWS Blogsにも投稿されています

はじめに 本記事ではDevinに安全にAWS環境を使ってもらうには、どのような環境を与えるべきか考えてみました。 他の記事で試しているともしかするとDevinが思ってたより色々できるのでは？という感覚があったので、今回実際にAWS環境に触ってもらおうと思い記事を書きました。ただ無尽蔵にAWSのAdministrator相当権限を与えると、恐ろしい課金が発生する可能性があるので攻めすぎず守りすぎずで権限設計を考えました。 コンソールからの操作はDevinとの親和性が低いかもしれないと考えたので、今回はIaC(CDK)を使ってAWS環境のリソースを操作することを想定します。 権限設計について 最小権限の原則に則って可能な限り権限を制限したいですが、現実問題権限をAction単位で個別に有効化しているとDevinに手放しでタスクを頼んでいくのが難しくなります。人間がゲートキーパーのように振る舞う

お疲れさまです。とーちです。 Terraformを使っていて「今のState fileの状態を簡単に確認したいな」と思うことはないでしょうか？私は稀にあります。 今回は、そんな悩みを解決してくれる「terraform-tui」というOSSツールをご紹介したいと思います。 とりあえずまとめ Terraform Stateをグラフィカルに可視化できる リソースの検索や詳細表示が直感的に可能 Plan/Applyもツール上から実行可能 terraform-tuiの主要機能 1. State管理の可視化 Terraform stateツリーの完全な可視化 リソース状態の詳細表示と簡単なナビゲーション ツリー構造での直感的な状態把握 2. 検索・操作機能 stateツリーとリソース定義の検索 リソースの単一/複数選択 リソースの削除機能 3. Plan/Apply機能 terraform-tuiから

2025/2/8 何点か加筆しました。 「1資格どれくらい時間をかけたほうが良い？」を追加 「勉強方法/4. AWS サービス別資料を活用する」を追加 「勉強方法/5. 書籍やUdemyなどを活用する」を追加 「終わりに」に補足を追加 こんにちは。まると(@MaruDevG)です。 少し時間が経ってしまいましたが、2025/1/30に現在受験可能なAWS 認定資格を全て合格しました。 個人の考え且つポエム寄りの記事となりますが、振り返っていきたいと思います。 中の人について AWS 認定資格は、クラスメソッドに入社する前から個人的な学習も兼ねて6つほど取得しました。 2024/9にクラスメソッドに入社後、残りの6つも取りました。 ずっとAWSを触ってきたのかというとそうでもなく、前職はオンプレミスのソフトウェアエンジニアだったこともあり、クラスメソッド入社前までは個人学習で触れるのが中心で

Google Cloud データエンジニアのはんざわです。 先日の BigQuery のアップデートで BY NAME と CORRESPONDING の構文が GA になりました。 You can now use the BY NAME and CORRESPONDING modifiers with set operations to match columns by name instead of by position. This feature is generally available (GA). February 03, 2025 これまで UNION などの集合演算子を使う場合、カラムの位置を合わせる必要がありました。しかし、新しく追加された BY NAME と CORRESPONDING を使うことで、カラム名に基づいて自動的にマッチングできるようになりました。 個人的

はじめに 管理アカウントから組織内のアンマネージド/マネージド（SSM管理対象/非管理対象）EC2インスタンスを横断的に確認する方法をいくつかまとめました。 委任管理アカウントから容易にセットアップできる方法のみを紹介します。 組織内のアンマネージド/マネージドインスタンスを横断的に確認する方法として、以下の3つが考えられます。 AWS Systems Manager統合コンソール(SSM統合コンソール) AWS Resource Explorer AWS Security Hub のコントロール[SSM.2] それぞれ解説します。 1. SSM統合コンソール SSM統合コンソールを利用することで、委任管理アカウントから、組織内のすべてのEC2インスタンスの管理状態（マネージド/アンマネージド）を一元的に把握することが可能です。 また、アンマネージドインスタンスの原因を確認し、是正すること

EC2インスタンスが停止状態であっても、SSMエージェントが正しくインストールされている場合は、マネージドインスタンスとして評価されます。 マネージドインスタンス化には、以下のようなメリットがあります。 セキュアなリモートアクセス セッションマネージャーを使用し、Webブラウザから直接OSに接続できます 踏み台サーバーの構築・運用が不要になります 一元的なパッチ管理 パッチマネージャーでOSやアプリケーションのパッチを統合管理できます パッチの適用状況を一括で把握・制御できます 運用管理の効率化 State Managerで定常的なタスクを自動化できます Run Commandで複数のEC2インスタンスに対して一括でコマンドを実行できます 本番環境においては、セキュリティやオペレーションの観点から、SSMによる一元管理を推奨します。 修復手順 1 コントロールの確認方法 AWSマネージメン

「死にそうな事故 → トレーナー → エンジニア」 という経歴で活動する私の思いを語りました。（事故画像は少し過激なためご注意ください） 筋肉エンジニアのLT会で登壇 弊社のAWSコンサルチームに所属している 佐藤雅樹さん のご紹介のもと、「筋肉エンジニアのLT会」に参加してきました。 IT業界で働く筋肉エンジニアたちが、自分の学びたい技術や語学をモクモクと勉強する真面目な会であり、その一環として、今回のようなLTを行っているようです。 登壇資料 登壇内容の要約 0. 結論 今回伝えたいことは活躍するための武器は至る所に転がっているということです。過去の経験は武器であり、考え方によりいくらでも今の環境（職場,趣味..etc）に活用できます。それが私にとっては事故と筋トレです。 1. 俺は事故筋トレ系Google Cloudエンジニア トレーナーからほぼ実務未経験で、クラスメソッドでGoog

[アップデート] 全 AWS サービスが送信するイベント一式を確認できる EventBridge ドキュメント「AWS Events Reference」が登場したので確認してみた いわさです。 今朝、Amazon EventBridge に関する以下のアップデートがアナウンスされていました。 その中で「AWS Events Reference」という、全 AWS サービスがサポートするイベント一式を網羅するドキュメントが新しくリリースされていることが確認できました。 これは結構嬉しいかもしれない。 また、アナウンスのメインはこちらのようなのですが、コンソール上で利用可能なすべてのイベントソースと詳細タイプが選択できるようになったみたいです。 後者については少しわかりにくいアップデートですが、上記 2 点について確認してみたので紹介します。 AWS Events Reference ドキュ

こんにちは！クラウド事業本部コンサルティング部のたかくに（@takakuni_）です。 少し前ですが、AWS Client VPN が同時接続をサポートしました。 アップデート内容 今まで AWS Client VPN を利用する場合、クライアントは一度に 1 つの VPN プロファイルにしか接続できませんでした。そのため、別のネットワークへアクセスしたくなった場合は、一度既存の VPN 接続を遮断して、別の VPN プロファイルへ接続し直す必要がありました。 今回のアップデートで、複数の VPN プロファイルへの同時接続をサポートしたため、再接続の手間が省けました。シンプルに便利ですね。 やってみる 今回は、先ほどの構成でクライアント VPN を複数接続してみます。PRD は 10.0.0.0/16、 DEV は 10.1.0.0/16 とします。証明書ベースの認証を利用し、VPC やク

お疲れさまです。とーちです。 何番煎じか分からないくらいのネタではあるのですが、Amazon ECS（以後ECS）のAWS Fargate（以後Fargate）で踏み台（Bastion）を作ってみました。そもそも踏み台とはというところについては以下の記事をご参照いただければと思います。 今回踏み台を作成した理由は、プライベートサブネット上のWebサーバへのアクセスです。具体的には、ブラウザを使用してインターネット経由でアクセスする必要がありました。 要件 作成するにあたって自分の中での要件としては以下のあたりでした Terraformで作る（単にTerraformが好きだから） コンテナイメージのビルドとかしたくない（ビルドがからむと構築時に面倒だから） 止め忘れた時のために数時間経ったら勝手に止まってほしい（コスト節約のため） シェルスクリプト一発でECSタスクの起動からAWS Syst

Introduction 現在当たり前になったOpenAI/Anthropic/Google等のLLMですが、ビジネスからプライベートまで どこでも活用されるようになってきました。ChatGPTの登場以降、AIとの対話が当たり前になり、 (私は)LLMがないと仕事ができないほどの状況になっています。 そんな中、先日ニュースになったのが、中国のAIスタートアップ「DeepSeek」が開発したモデル「DeepSeek-R1」です。 これはOpenAIのo1と同等性能を持つといわれており、OSS(MITライセンス)で公開しています。 本稿はDeepSeek-R1モデルをローカル（EC2)で動かしてみた作業ログです。 Local LLM 私の場合、ChatGPTやClaudeをWebブラウザやアプリ、APIを通じて利用しています。 これらのサービスは非常に手軽ですが、セキュリティ面での懸念や利用コ

.NET 9は非LTSバージョンのためPowerShell 7.5も非LTSとなります。 サポート終了日も現在のLTSバージョンである7.4より短いのでご留意ください。 なお、PowerShell 7.4以前のバージョンは全てサポート終了済みなので古いバージョンをお使いの方は適宜バージョンアップをしてください。 PowerShell 7.5の入手方法、更新方法 PowerShell 7.5の入手方法やアップデート方法はPowerShell 7 ～ 7.4の時と基本的に同じです。 GitHubリポジトリおよび各種パッケージマネージャからインストール可能です。 詳細な手順はGitHubにある手順をご覧ください。 Get PowerShell ちなみにですが、PowerShell 7.5からarm版Windows環境向けのMSIインストーラー(win-arm64.msi)が提供されています。 (

プレビュー ではありますが、昨年 AWS Verified Access の非 HTTPS(S) プロトコルがサポートされました。 本エントリでは、Verified Accessを使用して、プライベートサブネット上にある EC2 にリモートデスクトップ接続する方法を紹介します。 以下のブログを参考に設定しました。いつもありがとうございます。 やってみた 検証環境 検証環境の構成図は以下のとおりです。 IAM Identity Center で認証されたユーザーであれば、インターネットから Verified Access を経由し、プライベートサブネット上の EC2 にリモートデスクトップ接続できます。 Verified Access 信頼プロバイダーの作成 Verified Access 信頼プロバイダーを作成します。 ポリシー参照名は 32 文字以内であることと、ハイフンをサポートしてい

はじめに 通常、異なるOSに対してAWS Systems Manager オートメーションでコマンドを実行する場合、OSごとに個別のSSMドキュメントを作成します。 しかし、1つのSSMドキュメントでOS別のコマンドを実行する方が、以下の利点があります。 一度の実行で完了 EC2インスタンスを指定する場合、タグの管理が1つで済ませられる 本記事では、1つのSSMドキュメント（以降、オートメーションランブック）で、複数OSのEC2インスタンスに対してOS別のコマンドを実行する方法を紹介します。 オートメーションランブックを作成 各OSに対して実行するオートメーションランブックを作成します。 SSMドキュメントに遷移し、[ドキュメントの作成]から[オートメーション]を選択します。 以下のコードを貼り付けます。 schemaVersion: '0.3' description: Check OS

データ事業本部のueharaです。 今回は、「オンプレとAWSをDirect Connectで接続したい」と言われたときに検討しなければならない事項について、その第一歩となるような内容を記載したいと思います。 はじめに オンプレとAWS間の接続について、大きくは以下の3つの選択肢があるかと思います。 AWS Client VPN AWS Site-to-Site VPN AWS Direct Connect 今回は特に「AWS Direct Connect」について焦点を当て、その検討事項について紹介したいと思います。 検討事項 接続方式 まず、最初に考えなければならないのは接続方式です。 AWS Direct Connectは大きく分けて「専用接続（占有型）」と「ホスト型接続（共有型）」があります。 引用元 AWS Direct Connectの専用接続は、AWS Direct Conn

はじめに AWS Organizations のマルチアカウント環境では、セキュリティ強化の観点からSCP（Service Control Policy）によってリージョンを制限することがあります。 本記事では、SCPでリージョンを制限している環境下において、AWS Configを有効化すべきか否かの判断基準について、個人的な見解をまとめます。 まず、AWS Configについて説明します。AWS Configは、AWSリソースの設定変更を継続的に記録し、それらの設定がベストプラクティスや組織のポリシーに準拠しているかを評価するサービスです。 記録された情報は、トラブルシューティング、セキュリティ監査、およびコンプライアンス確認などの目的で活用できます。 AWSは、すべてのリージョンでのAWS Config有効化をベストプラクティスとして推奨しています。 結論から言いますと、この推奨事項は

クラウド事業本部コンサルティング部の石川です。AWS re:Invent 2024で発表された Amazon S3 Tablesが東京リージョンで利用可能になりました！記念して、現時点でどこまでできるのかを振り返ります。 なお、東京リージョンの他に、欧州 (フランクフルト)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (ストックホルム)も同時に利用可能になりました。 Amazon S3 Tables とは Amazon S3 Tablesは、Apache Iceberg形式に最適化されたクラウドオブジェクトストアです。大規模な表形式データの保存を簡素化し、分析ワークロードに特化した設計によって、従来のS3と比較して大幅なパフォーマンス向上を実現します。継続的なテーブル最適化により、クエリ速度が最大3倍、トランザクション処理が最大10倍高速化されます。さらに、データ最適化やコンパクショ

コーヒーが好きな emi です。 RDS Performance Insights は RDS の性能が出ない場合やエラーの原因を調査する際に大活躍するイチオシのサービスです。 データベースの負荷が問題になるケースは多くお問い合わせも多くいただきますが、いざ原因調査の際に Performance Insights をすぐに使いこなせないと困ります。 本記事では RDS Performance Insights の見方が非常に分かりやすく案内されているおすすめの動画のご紹介と、データベースの負荷が高い時に参考になるリンクをまとめました。 「そもそもデータベースの負荷とは？」というところも、動画を参考に要点をまとめております。 動画 AWS Summit 2019 のセッション動画です。とても分かりやすく、大変おすすめです。 「こんなログが出ていたらどのように負荷を判断すればいいか？」という実