こんにちは、上野です。 本記事ではGoogle Cloudの認定試験について紹介します。AWSの認定試験に関してはNRIネットコムのブログでも多く紹介されており、取得されている方も多いと思います。私自身も最初はAWSの認定資格を取得し、その後Google Cloudの認定資格を取得しています。私と同じようにAWS→Google Cloudの認定試験を受けるという順番の方もいるのかなと思いまして、AWS認定試験をよく知っている前提でその違いも含めて紹介していきたいと思います。 Google Cloudの認定資格 現時点では、以下のとおり11個の認定資格が存在します。 詳細は公式ページもご確認ください。 私自身は7個の認定を取得しています。（あと4個です。） 区分 資格名 受験料 言語 Foundational Cloud Digital Leader $99 日本語/英語 Associate

こんにちは、上野です。 この記事では、出題形式に論述式が含まれる、以下試験の勉強方法や解き方について解説します。 ITストラテジスト試験 システムアーキテクト試験 プロジェクトマネージャ試験 ITサービスマネージャ試験 システム監査技術者試験 私自身は上記の高度情報処理試験はすべて合格しています。なお、高度情報処理試験すべてで言うとエンベデッドスペシャリストだけ持っていません。社内では同期の小林さんがすべての情報処理試験区分に合格しているため、私は社内でドヤ顔できません。 論文形式の試験ですが、基本的にはどの試験も傾向と対策は似ており、ポイントを掴むとどの試験も取りやすいという特徴があります。「論文なんて難しい・・」と言うイメージのある方も是非本記事を読んでトライしてみてください。午前は簡単に私がやっていた勉強方法を共有します。難しくなってくる午後Ⅰについては解き方を紹介し、論述となる午後

本記事は 初夏のAWSアワードエンジニア祭り 3日目の記事です。 🍦 2日目 ▶▶ 本記事 ▶▶ 4日目 💻 こんにちは、上野です。 AWSアワード受賞者が対象のウィークということで、目玉のアワードであるAWS Top Engineersについて書きます。 2019年に始まった制度で、私自身は2020年からAWS Ambassadorsと同時表彰という形で4回AWS Top Engineersに選ばれています。 今年2023年は幕張で開催されたAWS Summit現地での発表もあり、かなり盛り上がっていましたね。制度の知名度もかなり上がってきているように感じます。知名度の向上に合わせて、社内外含めて「AWS Top Engineersになりたい！」という声を多く聞くようになりました。これ自体はとても素晴らしいのですが、私が思うのはAWS Top Engineersはきっかけでゴールでは

本記事は 子育てウィーク 4日目の記事です。 👶 3日目 ▶▶ 本記事 ▶▶ 5日目 🍼 こんにちは、上野です。 つい最近登場したと思っていた体操のまことお兄さんがもう卒業なんて信じられませんね！ ということで本記事は子育てウィーク４日目の記事です。 私には５歳と２歳の息子がいます。それはそれは可愛いです。平日は以下のようなスケジュールで過ごしています。他の方も書いているように、発熱による保育園呼び出し、トイレ、オムツ交換、兄弟喧嘩といった突発イベントも発生します。 ちなみに土日は以下のようなスケジュールになります。育児・家事と一括りに書いていますが、公園に行ったり映画に行ったり色々なところへ出かけています。最近は未踏の大きな公園を探すのが我が家のブームです。 自由時間に何をしているか 子供たちが寝た後が個人の時間となりますが、基本的には技術の学習をすることが多いです。最近では12月に

こんにちは、上野です。 Amazon EventBridge Schedulerと呼ばれる、従来からあるEventBridgeルール（スケジュール）のパワーアップ版のような機能が発表されました。機能概要はAWSさんのブログがわかりやすいです。 aws.amazon.com 従来のEventBridgeルールからのパワーアップしたポイントとしてあるのが、Targetsの数が大きく増えたことです。新しいEventBridge Schedulerでは、270以上のサービスの6,000以上のAPIに対応しています。AWSが用意しているAPIはほぼすべてTargetsとして指定し実行できるということですね。 これがあれば、EC2の停止処理（もちろん起動も）EventBridge Schedulerだけで実装できます。やり方を見ていきます。 従来のEC2自動停止/起動方法 Instance Sched

こんにちは、上野です。 前回のとおり、AWS Ambassador Global Summitのためシアトルに行ってきました。 Global Summitでは多くのセッションがあり、それを聞いて知識をインプットするというのが時間の割合的には多くなるのですが、私はLT（Lightning Talk）で発表、インタビュー動画の撮影というアウトプットの活動も2件やってきました。 時間の割合としてはLTもインタビュー撮影も少ないのですが、準備や緊張もあり、私の頭の中の8割くらいはこの2つのことでいっぱいだったと思います・・。 LTに至った経緯 AWS AmbassadorsはグローバルなSlackスペースがあるのですが、そこでLTやる人～？的な募集があったのでリアクションしました。 人数が多く減らしたいという話もあり、同じくリアクションしていたBTC熊谷さんと一緒にLTをすることになりました。日本

こんにちは、上野です。 AWS Support App in Slackという新機能が出ました！ブログを見る限りすごく便利そうなので、色々と動作を見てみました。ケース起票等、一部日本語は未対応です。 追記：日本語にも対応しました！！ aws.amazon.com aws.amazon.com AWS Support App in SlackはSlack経由でAWSサポートの管理が可能という機能ですが、以前からAWS Chatbotを使用したサポートケースの起票はできていました。（slack上で@aws support create-caseを実行） AWS Support App in Slackでは、AWSサポート専用の機能で、より簡単に、わかりやすくSlackからAWSサポートの管理ができるようになっています。 実際に試していきます。なお、利用にはAWSサポートプランBusiness,

こんにちは、上野です。 Infrastructure as Code (IaC) 、みなさん楽しんでおりますでしょうか。前から気になっていたcdk-nagを試してみたので、その紹介となります。 cdk-nagとは AWS Cloud Development Kit (AWS CDK) で作成する各Constructが、与えられたセキュリティ・コンプライアンスルール群に準拠しているかどうか検証してくれるツールです。CloudFormationテンプレートのセキュリティチェックツールである、cfn-nagに影響を受け作成されています。現時点では以下のルール群が提供されています。 AWS Solutions HIPAA Security NIST 800-53 rev 4 NIST 800-53 rev 5 PCI DSS 3.2.1 GitHubリポジトリで公開されており、AWS公式ブログでも

全 AWS Control Towerユーザー歓喜？のアップデートが来ました！ aws.amazon.com Control Towerのログ集約機能 Control Towerでは各アカウントのAWS CloudTrailとAWS Configを自動設定してくれます。CloudTrailは証跡、Configは設定情報の履歴をログアーカイブバケットにある共通のS3バケット上に送信するよう設定されます。 この保存期間が1年で設定され、Control Towerからは設定変更できない状態でした。 ※細かい話ですが、Control TowerからはマネジメントアカウントのConfigレコーダーは設定されません。 S3バケットのライフサイクルポリシー状態は以下のようになっています。 ここが変更できるようになりました。 AWSのアップデート文を見ると、アップデート前もカスタマイズすれば変えれたように

こんにちは、上野です。 AWS Control TowerのLanding Zone 3.0がリリースされました。 変更内容が多いですが、ざっくりまとめると以下のとおりです。 組織レベルのAWS CloudTrail証跡が設定可能になった CloudTrailの設定をControl Towerからオプトアウト可能になった（オプトアウトした場合は独自で設定する必要あり） CloudTrailで各アカウントに出力されていたCloudWatch logsは、マネジメントアカウントに集約される CloudTrailアップデートに伴い、Control Towerが管理するIAMポリシーAWSControlTowerServiceRolePolicyの内容変更 AWS Config のグローバルリソースの記録がホームリージョンのみに変更 リージョン拒否ガードレールの変更（許可対象グローバルサービスの追

こんにちは、上野です。 前回に引き続き、Google Cloudのセキュリティ設定第２弾です。今回は監査ログ（Cloud Audit Logs）です。 監査ログは「誰が、いつ、どこで、何をしたか」を残すログで、AWSだとCloudTrailですね。目的はAWSと同じなのですが、設定方法や見え方がけっこう異なるので、概要を掴みつつ追加の保存設定を見ていきます。 Google Cloudの監査ログ 監査ログには、管理アクティビティ監査ログ、データアクセス監査ログ、システムイベント監査ログ、ポリシー拒否監査ログの4種類存在します。 管理アクティビティ監査ログ ユーザーが VM インスタンスを作成したときや IAM権限を変更したときに記録されるログで、いわゆる一般的な監査ログです。デフォルト有効で、無効にできません。 データアクセス監査ログ BigQueryやCloud Storageなど、データ

本記事は わた推し～AWSアワードエンジニア編～ 1日目の記事です。 💻 イベント告知 ▶▶ 本記事 ▶▶ 2日目 💻 こんにちは、上野です。 NRIネットコム、2022 Japan APN Ambassadors / Top Engineers / ALL Certificate Engineers による推しテクシリーズです。 私が紹介するのはAWS Single Sign-On (AWS SSO)です。最高のサービスです。 AWS SSOの概要 AWS SSOを有効にすると、一元管理された（一つの）ユーザー名/パスワードでログインすることにより、複数のAWSアカウントへログインできるようになります。 ↓はログイン画面です。 ログインすると・・権限があるAWSアカウントが一覧で表示され、各AWSアカウントへログインできます。 便利ですね。 AWS SSOの仕組み AWS SSOで重

こんにちは、上野です。 みなさん、AWSアカウントの初期セットアップはどうやっていますでしょうか。私も以下のような記事を書きましたが、いざすべてのAWSアカウントで毎回やるとなると大変ですよね。 tech.nri-net.com AWS Cloud Development Kit (CDK) を使用してAWSアカウントの初期セットアップができるBaseline Environment on AWS(BLEA) を使ってみたのでその紹介となります。 BLEAとは？ シングルアカウントでセットアップする Chatbotの準備 認証情報の準備 初期設定 デプロイ 作成されたリソースの動作確認 カスタマイズしてみる 通知するConfigルールを増やす エントリポイントの修正 まとめ BLEAとは？ 以下GitHubより Baseline Environment on AWS(BLEA) は 単独の

こんにちは、上野です。 Lambda関数をワンクリックでURL公開できる機能が出ました！ aws.amazon.com 今までのLambda Lambda関数を（AWS認証無しの）HTTPS経由で実行するには、Lambdaの前段にAmazon API Gatewayを設置する必要がありました。 API Gatewayは便利で高機能なのですが、設定項目も多く、初めて触る方には難しい部分もあるかと思います。 今回の機能で、Lambdaのメニューから機能をONにするだけHTTPS公開できるようになりました。 やってみる Lambdaの作成画面に、「関数URLを有効化」のメニューが追加されているので、これをONにします。 初期状態では認証が必要なAWS_IAMが選択されていますが、今回はまずどれだけ簡単に公開できるかを試すため、NONEを選択します。 ※画面のとおり、URLを使用して全世界からLa

こんにちは、上野です。 2021年のre:Inventで発表されたAWS Backupの新機能紹介です。 AWS Backupとは Amazon EC2、Amazon EBS、Amazon RDSなどの複数のAWSサービスのバックアップを、AWS Backupという1つのサービスで一元管理できるサービスです。バックアップの定期実行やリージョン間コピーなどの処理が、AWSマネージドで実行できます。 今回検証する新機能 AWS BackupにAmazon S3がサポート対象として追加されたので、それを試してみます。 2021年11月にオレゴンリージョン限定でプレビューとして公開され、 aws.amazon.com 2022年2月に東京リージョンを含む複数のリージョンで一般公開されました。 aws.amazon.com そもそもS3のバックアップは必要なのか？ 最初にこれが疑問に出てくるかもしれ

こんにちは、永続的なクレデンシャルを使いたくない上野です。 自分のPCでAWS関連の開発をしたい場合、みなさんどうしていますでしょうか？ AWS SSOを使用すると、次のように簡単に一時的なクレデンシャルを発行できます。 （デフォルトでは1時間で有効期限切れとなります。） 私もこの機能がめちゃくちゃ好きでよく使うのですが、AWS SSOを使う場合はAWS Organizationsの使用が前提となります。AWS Organizationsが使用できない場合や、Organizations経由で発行されたアカウントのみを使用する場合、AWS SSOは使用できません。 ということで、AWS SSOを使用しないで、一時的なクレデンシャルを使用する1つの方法を紹介します。 ※もっと良いやり方を知っている方がいれば教えていただきたいです！ 実装する構成 IAMユーザーとIAMロールを使用します。IAM

Amazon Web Services (以下AWS)の利用開始時にやるべき設定作業を解説します。AWSの利用開始とは、AWSアカウントの開設を意味しますが、より安全に利用するため、AWSアカウント開設直後にやるべき設定がいくつかあります。この連載ではその設定内容を説明します。 AWS Organizationsを使用することで、複数のアカウントに自動的にこういった初期設定を行うことも可能ですが、この連載では新規で1アカウントを作成した場合を前提とします。複数アカウントの場合も、基本的な考え方は同じになります。 設定作業は全１９個あり、作業内容の難しさや必要性に応じて以下３つに分類しています。 少なくともMUSTの作業については実施するようにしましょう。 MUST ：アカウント開設後に必ず実施すべき作業 SHOULD ：設定内容の検討または利用方法を決定のうえ、可能な限り実施すべき作業 B

こんにちは、上野です。 Japan APN Ambassador 2020に選ばれ、AWS中心としたクラウド関連の業務に取り組んでおります。 AWS関連で悩みがあれば一度ご相談ください！ www.nri-net.com 今回は初投稿ということもあり、具体的なサービスの深掘りではなく、クラウド設計時のおおまかな考え方について私の考えを書いていきます。 私がオンプレミス環境のインフラ構築・運用を過去にやっていたこともあり、クラウド環境で「ここって全然考え方がオンプレミスと違うな～」と思うポイントがいくつかあるのでそれらをまとめます。AWSを前提に記載していますが、他のパブリッククラウドでも考え方は基本的に同じとなります。 クラウド設計時のポイント まずは一覧で。後ほど深掘りしていきます。 責任共有モデル 認証・認可（IAM） コスト管理 拡張性 新規機能の追加 責任共有モデル AWSも公式で提

こんにちは、上野です。 前回は、AWS Control Towerを触ってセットアップするところまで紹介しました。今回はセットアップ後の運用操作について見ていきます。 AWSアカウントの新規追加（プロビジョニング） 前回の状態では、利用者独自のAWSアカウントを追加できるCustom OUは空の状態でした。 ここにアカウントを追加します。アカウントの追加は、AWS Service Catalogというサービスが使用されます。AWS Service Catalogは、各アカウントの設定やネットワーク設定をテンプレート化して展開するサービスです。 ※追加アカウント用の新規メールアドレスが必要です。 AWS SSOのログインを行い、今回はAdministratorAccess権限でアクセスします。 ※アカウント追加用のAWSServiceCatalogEndUserAccess権限でも、AWS

こんにちは、上野です。 みなさんAmazon GuardDutyで不正検知してますか？ONにするだけで使用できるGuardDuty、便利ですよね。 ただ、ONにするだけでは利用者にイベントが通知されるわけではないので、いち早く気づいて状況確認および対策できるよう、通知設定まで行うのが通常多いかと思います。 通知設定まで行い、検知後の状況確認、対策フローも決めて、AWSアカウントのリスクを減らす活動ができてこそGuardDutyの本領発揮というところですね。 通知設定 Amazon EventBridgeを使用するのが鉄板でしょう。通知先は、情報が見やすいAWS Chatbot（Slack）を使用することが私は多いです。 すべての結果を通知する場合、EventBridgeのルールは以下のようにシンプルになります。 { "source": ["aws.guardduty"], "detail-