AWSアクセスキーセキュリティ意識向上委員会って何？ 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 AWS CLIだけではなく、boto3等AWS SDKを用いた開発、 Terraform等のサードパーティアプリケーションでも利用することが出来ます。 AWS VaultはIAM認証情報をOSのキーストアに保存し、認証情報の利用時

中山です ソリューションアーキテクトとして、AWS環境の利活用をお手伝いするお仕事をしています。 まれによく見るAWS環境 とりあえずこれを見てほしい。 これが絶対にだめと言いたいわけではないです。 一時的な検証環境だったり、とにかくスピード重視でサービスをデリバリーさせる必要があったり、サービスの提供者側が何ら責任を負わない・障害時のビジネスインパクトが無い（そんな状況あるのか？）という前提があったり、状況次第ではこれで十分な時もあると思います。 しかし、一般的な業務システムやサービスの場合にはいろんな意味で不十分でしょう。 では、このような環境をどのように育てていくとよいでしょうか。 この記事では、そんな育てかたの一例を紹介していきたいと思います。 なお、本記事はくっそ長いです。 ちなみに、最終的にはこうなります。 文字が小さすぎて読めない！ ちょっとそこのハ○キルーペ貸してくれーｗ

昨年12/18（日本時間では12/19）、AWS re:Invent 2020におけるのDr. Werner Vogels（ヴァーナー・ボーガス氏）のキーノートは皆さんご覧になられたでしょうか。 氏のキーノートセッションは毎回恒例ですが、例年だと開発環境や実行環境・AWSインフラについての話にフォーカスがあたっている印象でした。その中で「Everything fail, all the time」や「You build it, You run it」のような名言・格言が語られてきました。 ところが今回は「Developer Keynote」と銘打った上で、よりオペレーション段階の話に長く時間が割かれました。MLやインフラに特化したキーノートが別にあったことも要因のひとつでしょう。 どんなことが語られたのか？　個人的に気になったキーワードをひろってみました。 なお記事中の訳は基本的にぼくの解

[レポート]サーバレスアプリケーションのコツ総ざらえ！(SVS401-R Optimizing your serverless applications) #reinvent 「サーバーレスアーキテクチャのフルパワーを解き放つ便利なガイド、欲しくない？」 って言われたらそりゃ欲しいですよね！これはこのセッションの紹介文にあった一節です。この言葉に釣られて参加したセッションのレポートをお届けします。「まだre:Inventの話してるのかよ！」とツッコまれたあなた、おっしゃるとおりです。ですが二ヶ月ほど経った今でも十分有用な情報ばかりなのでぜひご一読いただければと思います。紹介文に偽りはなかったです！ セッションタイトル SVS401-R1 - [REPEAT 1] Optimizing your serverless applications セッション概要 あなたは経験豊富なサーバーレス開

本記事は、2019年8月21日に行われたmerpay社の主催するイベント、「Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~」の参加レポートです。 Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~ レポート セッションの概要 メルペイ社の認証基盤チームの担当している 外部向けに提供しているOIDCなどの認可の仕組み 内部のマイクロサービス間通信の認証の仕組み のうち、後者についてのお話を聞いてきました。セッションのスライドはこちらで公開されています。 チームがやっていること 認証基盤チームではユーザーアカウント管理とかログインはやってない 従業員の管理とかはやってない セキュリティについてはセキュリティチームと相談しながらやっている それ以外の認証認可を認証基盤チームがやっている 現状のアーキテクチャ

コンテナセキュリティについてなんとなく不安を感じている方に向けた、ドキュメントと無料ツールの紹介です！ 「コンテナセキュリティってなんか必要そうやねんけど、実際なにすんの？」 先日、我らがDevelopers.IO Cafeにおいて、クリエーションライン株式会社 (CREATIONLINE, INC.)様と共催で、以下のイベントを開催しました。 あなたのコンテナ運用大丈夫？コンテナセキュリティの考え方と対応策 - connpass 全部で3セッションで構成されているのですが、私の方では、「コンテナセキュリティ関連OSSの紹介」と題して、コンテナセキュリティこれから検討始めようという方に向けて、そのとっかかりに有用なドキュメントと無料ツールを紹介させていただきました。 ドキュメントもツールもどれも有用なものなので、コンテナセキュリティについて不安や必要性を感じている人は、これらの中から実際に

re:Invent2018のカオスエンジニアリングについてのセッション、AWSのモダンアプリケーションに対するカオスエンジニアリングにて、Gremilinというサービスについての紹介とデモがありました。 サービスについて気になったので、本記事ではドキュメントをみながらGremlinについてまとめてみます。 Gremlinの概要 Gremlinはシステムの弱点を見つけるためにシステムに障害を注入するためのサービスです。 インフラもしくはアプリケーションレベルでの障害を注入することができます。 Gremlinは、システムの弾性を得るためのカオスエンジニアリングの実践を、安全、シンプル、セキュアに提供します。 Gremlinでどんな障害を起こせるのか？ 大きく以下の3つのカテゴリがあります。 Resource Gremlins Network Gremlins State Gremlins 各攻

「あぁ、この人たち、すっごい楽しそうにマニアックな話するなぁ」 このイベントに参加しながら、ハマコーずっとそんなことを考えてました。 Container Build Meetup #1 - connpass Docker Buildだけがテーマという、すげぇフォーカスを絞りまくった勉強会だったんですが、絞り方が絶妙だったのか、参加者の熱もアツく質疑応答も盛況だったので、そのレポートをお届けいたします。技術的にも、旬のDocker界隈の話がてんこ盛りで参考になりました。 container buildきたか…!! ( ﾟдﾟ)　ｶﾞﾀｯ /　　 ヾ ＿_L| /￣￣￣/＿ ＼/　　　/ 登壇者一覧 タイトル スピーカー Better Docker Image 登壇者はおりさの(@orisano)さん。 良いDockerイメージを作るには２つのアプローチがある。 どのように速くするか どのよう

「DevOpsってアプリの話ばっかりな気がするけど、DBもアプリ以上に変更入るよなぁ」 データベースの変更をいかにノーダウンタイムで本番リリースするか？ステート（データ）を持つという宿命上、そう簡単にいかないことは皆さん想像つくかと思いますが、その制約の中でも工夫次第では停止時間を極小化する方法が有るんだなぁと気付かされました。 AWS Dev Day Tokyo 2018 | AWS、「DevOps with Database on AWS」のセッションレポートです。 （祭） ∧ ∧ Y　 ( ﾟДﾟ) Φ[_ｿ__ｙ_l〉     無停止DBﾘﾘｰｽﾀﾞﾜｯｼｮｲ |_|＿| し'´Ｊ セッション内容 タイトルは「DevOps with Database on AWS」 DevOps のアプローチでシステム開発に取り組む上で、データベースに対する変更をどのように扱うかは難しい問題です。

Testing in ProductionとMonitoring Driven Developmentについて調べたまとめ サーバーレス開発部の阿部です。 今日はサーバーレス開発のテストにつきまとう課題について調べていたらたどり着いた言葉であるTesting in ProductionとMonitoring Driven Developmentを取り上げてみようと思います。 【背景】サーバーレス開発のテストにつきまとう課題 以前、Serverless ArchitectureとMicroservice Architectureの違いに触れた時に、Serverless Architectureの特徴としてマネージドサービスを使い倒すことをあげました。 マネージドサービスは便利なのですが、使い倒すという観点になるとこれがなかなかに曲者です。以前サーバーレス開発部の和田もこのような記事を書いてお

はじめに 皆さまがシステムを運用にするあたり、様々な不安を抱えていらっしゃると思います。 そういったよくある「不安」を書き出し、解消するための対策や参考ページなども記載しましたので、本記事をご覧いただいている皆さまには抱えている不安を淡々と潰していただければと思います。 【ケース1】大量のアクセスによる高負荷への不安 近日中に Web サイトの広告を出す予定だが、現状のままで増加するアクセスに対応できるのか不安がある 以下のような対策が考えられます ELB（Elastic Load Balancing）を使用し、Webサーバー（Amazon EC2）の複数台構成にする アクセス数や負荷に応じて自動で Webサーバー（Amazon EC2）の台数を増やす（スケールアウト）、減らす（スケールイン）ために AWS Auto Scaling を使用する ELB の暖機申請（予め AWS へ連絡して

こんにちは、坂巻です。 Tenable.ioを利用した脆弱性診断に関するエントリです。 AWSの適正利用規約では、許可のない脆弱性診断等は禁止されており、事前に申請が必要となります。AWSへ申請を行ってから、許可まで時間がかかりますので余裕をもった対応が必要となります。 時間をかけずに脆弱性診断を行いたいと思った事はありませんか？ AWS Marketplaceに公開されているNessusScannerを利用すれば、AWS事前承認済みのため、すぐに脆弱性診断を行うことができます！ 本エントリは15分位で試せると思いますのでTenable.ioに触ったことがない方はぜひやってみてください。 スキャン結果はTenable.ioにアップロードされ、そちらから確認することになりますので、Tenable.ioのアカウントが必要になります。アカウントがない場合はこちらよりトライアルアカウントを作成して

Trusted Advisor AWS Trusted Advisorは、コスト、パフォーマンス、セキュリティ、耐障害性、サービスの制限について、アドバイスしてくれるサービスです。 サポートプランによって、チェック項目が異なります。 セキュリティについては、セキュリティグループの無制限アクセス、S3バケット許可などをチェックしてくれます。 セキュリティについては、赤の指摘項目は0にしましょう。 insightwatch insightwatchは、弊社が提供するサービスです。 AWSアカウントが、ガイドラインに沿ったセキュリティのベストプラクティスで運用されているかチェックします。 複数アカウントをチェックしやすいため、たくさんのアカウントを運用されているかたに特にお勧めします。 どなたでも無料でご利用いただけます。 IAMの見直し、定義 IAM のベストプラクティスに基づいた見直しを行い

AWS が公開している「アーキテクチャに関するベストプラクティス」、Well-Architected (W-A) フレームワークには、運用（オペレーション）に関する記述も当然あります。 AWS Well-Architected – 安全で効率的なクラウド対応アプリケーション 「運用上の優秀性（Operational Excellence）」と銘打たれているそれは、フレームワークを支える5つの柱のうちのひとつであり、「ビジネス価値を提供するためのシステムの実行とモニタリング、および継続的にプロセスと手順を改善することに焦点を当て」たものと説明されています。AWS を利用している組織の運用担当者であれば、いちどは目を通しておきたいものです。 ・・・なのですが、 少々残念なことに、この「運用上の優秀性についてのホワイトペーパー」は、'18/06 時点で英語版しかありません。A4 25ページにわた

はじめに こんにちは、クラスメソッド最年少らしい黒澤です。 先日、『きれいなcommit, pull requestを知りたい/作りたい方のためのgit勉強会』 というものに参加してきましたので情報を共有します。 情報 日時 : 3月27日（火）20:00-21:30 場所 : 東京都渋谷区道玄坂1-9-5 渋谷スクエアA 11F 【勉強会】きれいなcommit, pull requestを知りたい/作りたい方のためのgit勉強会 スライド @imaizume さんに講師をしていただきました。 この勉強会ではタイトル通り、きれいな commit, pull request というテーマについてお話をいただき、 そのためのテクニックなどもご紹介いただきました。 きれいな commit を積む目的 commit : 変更の塊 変更には必ず意図がある。commit に含まれる変更の意図は見えるべ

こんにちは、バージョンアップおじさんをやっている齋藤です。 今日は自分が担当しているソフトウェアのJava9のバージョンアップをしてみました。 基本は下のヌーラボさんが書かれている記事に沿っています。 ヌーラボのアカウント基盤を Java 9 にマイグレーションして起きた問題と解決法 この記事では上記の記事には書かれなかった、gradle周りで起きた、他の内容について記載していこうと思います。 Javaのバージョンアップ Gradleのバージョンアップ Gradleで使っているpmdのバージョンアップ Lombokのバージョンアップおよびビルドに必要なJAXBなどの依存関係を追加 JVMの起動パラメータの変更 Gradleで使っているfindbugsからspotbugsへの移行 Dockerで使っているランタイムのイメージを変更 なお、Spring Boot側の問題は特に発生していないので

はじめに 本記事はAWS re:Invent 2017のセッション「ARC321 - Models of Availability」のレポートです。 本セッションはすでに動画、スライドが公開されています。 動画 スライド 概要 When engineering teams take on a new project, they often optimize for performance, availability, or fault tolerance. More experienced teams can optimize for these variables simultaneously. Netflix adds an additional variable: feature velocity. Most companies try to optimize for feature

はじめに 小室です。2017年も最後の日になりました。 ここ最近は読書によるインプットが少なくなったことによって、文章の質が自ら目を背けたくなる程度に低下していたため、仕事納めから数日はひたすら本を読む生活をしていました。まだまだインプットが足りていないので充電が完了していないのですが、年末恒例になったエントリーを書かないことが自分の中でモヤモヤとして残っていたので、重い腰を上げて文章を書いてみようと思います。 ここ数年は珍しく1つのプロジェクトにつきっきりで設計／実装から運用までを通して担当しています。 *1特に運用を担当するようになって多くを学んだ一年でした。もはや設計・実装者が一人も残っていないアプリケーションのメンテナンス、改修に関わったり、インフラ側とアプリケーション側の狭間を埋めるように動くためにAWSのサービスについて本格的に勉強をしたりするなど、1アプリケーションエンジニア

よく訓練されたアップル信者、都元です。暑いっすね。 先週は Developers.IO 2017 イベントで登壇いたしました。ご来場頂きましたみなさま、感謝感激ありがとうございました。 さて突然ですが、Gradle で管理する Java ライブラリのプロジェクトがあるとします。 Gradleプロジェクトには version というプロパティがあり、その値は「そのビルド時点でのバージョン番号」とするのが一般的です。 よくある Gradle プロジェクトの version の指定 たいていは gradle.properties 等に値を定義しておいて… currentVersion = 1.0-SNAPSHOT build.gradle の中で値を参照したりして、プロパティにセットしたりしていることでしょう。 ... version = currentVersion ... そして、リリースタ

クラスメソッドが運営するIT系技術ブログDevelopers.IOのカンファレンスイベントDevelopers.IO 2017にて、セッション「EC2+RDSを基本から」で発表してました。そのレポートです。 発表スライド EC2 EC2の歴史を振り返って、これからAWSを始める人が？なところを補足できれば、、、と思ったのですが、初心者向けとしてはチャレンジングな内容になってしまいました。 EC2のインスタンスタイプ EC2のAMI EC2の歴史 EC2で利用できるOS EC2の初期設定 RDS 少し時間が押してしまったので、かなり駆け足になりました。リレーショナルデータベースを使うならRDSを使うと幸せになれます。 RDSの基本、特徴 RDSの機能制限 オンプレからのデータ移行 まとめ セッション内でもお伝えしましたが、ぜひ遠慮なくご意見いただければ幸いです。ちょっと初心者向けにしては挑戦