個人アカウントに AWS Control Tower を設定したので、その際の流れをメモしておきます。少し前で恐縮ですが、画面ショット自体は 2022/3/29 時点の情報です。Control Tower そのものや関連するサービス自体の説明はしていません。 セットアップの流れ Control Tower コンソールに移動し、ランディングゾーンの設定に進みます。 最初に Control Tower を設定するホームリージョンを指定します。ランディングゾーンの作成中に一部のリソースがホームリージョンでプロビジョニングされます。ランディングゾーンの作成後、ホームリージョンは変更できませんのでご注意ください。 2021/11/30 のアップデートでリージョン拒否ガードレールを設定できるようになりました。リージョン拒否設定を有効にすると、Control Tower の管理対象外とするリージョンに対

AWS Cost Explorer コンソールでも同等の CSV をダウンロードできますが、日次で自動取得する方法について紹介します。 API リクエストの例 AWS Lambda を使用して当月の日別請求額を取得する最小限の例です。 import datetime import boto3 def lambda_handler(event, context): today = datetime.date.today() start = today.replace(day=1).strftime('%Y-%m-%d') end = today.strftime('%Y-%m-%d') ce = boto3.client('ce') response = ce.get_cost_and_usage( TimePeriod={ 'Start': start, 'End' : end, }, G

子供もすくすく大きくなって。 奥さんとも仲良くすごせてて。 仕事たくさんあるけど、順調で。 でも、休みがないんだよね。 起きたら子供の世話しながら朝の準備して。 保育園に送って仕事行って。仕事して帰ってきて。 子供の夜のタスクがあるから定時で帰るから仕事の消化率は上がらなくて。 家事も頑張ってるけど、奥さんも仕事あるし、引き受けれるところは引き受けないといけないし。 休日は子供と目一杯遊びたいし。動物園行ったり、公園行ったり。一緒にyoutube見て歌ったり。 家のことやってると休日終わるし。 昔は処理できてた仕事のはみ出し分の片づけすらできなくて。 最近は仕事も回らなくなってきた。 ひとりで息をつく暇もなくなってしまったな。 休みがない以外の不満はないんだよね。お金は困りはしてないし、子供はかわいいし、奥さんとも仲良しだし。 でも、なんか疲れちゃったな。 明日はずる休みして明後日から頑張

はじめに 2022/4/6 から利用可能になった Lambda function URLs (関数 URL) はリクエストの認証タイプに AWS_IAM を選択できます。AWS_IAM では IAM エンティティのポリシーと AWS Lambda のリソースベースポリシーに基づいてリクエストが認証されます。 リソースベースポリシーによる制御パターンについていくつか検証してみました。 結論 できたこと クロスアカウントの呼び出しを許可するポリシーステートメントの設定 PrincipalOrgID を指定した、組織内からの呼び出しを許可するポリシーステートメントの設定 コンソールからは設定できないため、AWS CLI/SDK での AddPermission API の実行が必要 できなかったこと AWS グローバル条件コンテキストキー を使用した IP 制限などの細やかなアクセス制御 AWS

はじめに ついに AWS Organizations で CloseAccount API が利用できるようになりました！🎉🎉🎉 AWS Organizations を使用してマルチアカウント管理を行っていると、サンドボックスや一時的な開発用途などでもアカウントを発行できます。その一方でアカウント閉鎖はアカウント毎にルートユーザーでサインインし、手動で行う必要があったため、管理者にとっては運用負荷が高い作業でした。 CloseAccount API により、AWS Organizations でアカウント削除運用の自動化を実現できます。 また AWS Organizations コンソールからもアカウントをクローズできるようになっています。 API からクローズ Request Syntax はめちゃくちゃシンプルですね！迷いようがありません。 今回は AWS CLI で試してみます

モチベーション 2022 年 2 月 1 日以降、AWS Inc. に代わり AWS Japan が日本国内の AWS サービスの契約当事者となりました。(請求書払いアカウントは 2021 年 11 月 1 日 以降) そのためほとんどのサービス利用料については現在 AWS Japan が請求元になっているのですが、AWS Marketplace および、Amazon SES, SNS, Connect などの AMCS LLC が販売する一部のサービスについては引き続き請求元は AWS Inc. となっています。 Cost Explorer API を使用してアカウントおよび、請求元の法人 (サービスプロバイダ) 毎に請求額を取得し、以下のような CSV で出力する機会がありましたので紹介します。 Account Id Account Name Legal Entity Amount (

はじめに Microsoft Defender for Cloud は Ignite 2021 で発表された 旧 Azure Security Center と Azure Defender が統合されたサービスです。Microsoft Defender for Cloud はマルチクラウドの CSPM (Cloud Security Posture Management) に対応しており、2022/2/28 現在で AWS と GCP をサポートしています。(ともに Preview 中) AWS 環境のセキュリティチェックと言えば AWS Security Hub ですが、 Microsoft Defender for Cloud は Security Hub に依存せずに独自のチェックを行っています。基本的にはドキュメント通りに簡単に設定できるのですが、どのような仕組みでチェックが行わ

モチベーション AWS Cost Explorer は 日次や月次レベルで AWS のコストと使用量の可視化、把握、管理を行うことができるサービスです。コンソールから利用できますが、API が用意されているため、プログラムから定期的に目的のコストを状況を抽出して通知するなどといった自動化が可能です。 CloudWatch の Billing メトリクスでも各アカウントの概算費用は取得できますが、アカウント ID の情報しか持っていません。そのためシステム単位等の特定のアカウント郡のコストだけを抽出することは CloudWatch メトリクスの機能だけでは実現できません。 AWS Billing and Cost Management にはコストカテゴリという機能があり、特定のルールでコストのグループを作成できます。Cost Explorer ではコストカテゴリでフィルターした料金を抽出でき

事象 AWS SSO で AWS Organizations の管理アカウントにユーザーやグループの割り当てを行うと以下のように AccessDenied が発生してしまうケースがある。 Access denied by IAM. Please check your policy, or wait for role propagation to complete. IAM Error: User: arn:aws:sts::123456789012:assumed-role/AWSReservedSSO_DelegatedAdmin_xxxxxxxxxxxxxxxx/user@example.com is not authorized to perform: iam:GetSAMLProvider on resource: arn:aws:iam::123456789012:saml-pr

2022/2/13 時点のコンソールで操作した場合の情報です。今後仕様が変わる可能性がありますのでご注意ください。 事象 新しい UI の VPC コンソールでその他のエンドポイントサービス用の VPC エンドポイントを作成しようとすると、以下のようなエラーが発生する。 Private DNS can only be enabled after the endpoint connection is accepted by the owner of com.amazonaws.vpce.<region>.vpce-svc-xxxxxxxxxxxxxxxxx 原因と対応 新しい UI の場合、追加設定の「DNS 名を有効化」にデフォルトでチェックが入っているため。 接続先の VPC エンドポイントサービスが以下のいずれかに当てはまる場合、このチェックを外してエンドポイントを作成する必要がある。

はじめに AWS Organizations でマルチアカウント管理していると、アカウントの一覧を定期的に取得したいときはありませんか？ アカウント情報だけではなく、所属する OU の情報も一緒に出力する方法を紹介します。 実はコンソールから csv をダウンロードできる コンソール上でも通知が出ているように、最近組織内のアカウントリストを csv 出力することができるようになりました。アクションから「アカウントリストをエクスポート」でダウンロード可能です。 これはこれでとても便利なのですが、2022年1月時点では以下の問題があります。 コンソールからしかダウンロードできない AWS CLI や SDK 経由でダウンロードができないため、定期的に取得したいといったケースでは自動化が困難です。以下のドキュメントに記載があります。 The only way to export the .csv

この記事は AWS Advent Calendar 2021 13日目の記事です。 はじめに AWS re:Invent 2021 で 脆弱性管理サービス Amazon Inspector のリニューアルが発表され、新たに Amazon ECR に格納されたコンテナイメージに対するスキャンをサポートしました。Inspector によるイメージスキャン機能の提供により、 ECR のスキャン機能は基本スキャン (Basic scanning)、Inspector によるスキャン機能は拡張スキャン (Enhanced scanning) という名称になりました。 2019年に AWS Lambda を使用して 基本スキャンの結果を Slack に通知する方法について投稿したのですが、拡張スキャンの通知には対応していません。 本記事では 2021年12月時点で各スキャン結果を Slack 通知する

脆弱性の検知対象 基本スキャンはオープンソースの Clair プロジェクトの CVE データベースを使用したスキャンを提供します。脆弱性の検知対象は OS パッケージのみです。 拡張スキャンは OS パッケージに加え、プログラミング言語パッケージの脆弱性を検知することが可能です。対応するプログラミング言語は以下のとおりです。 C# Golang Java JavaScript PHP Python Ruby Rust 脆弱性の検知タイミング 基本スキャンはイメージが Push された際にスキャンを起動する (Scan on push) か、手動でスキャンを開始することができます。そのため脆弱性を検知できるタイミングもそのどちらかになります。手動スキャンの実行は各イメージごとに24時間に1回に制限されます。 拡張スキャンではリポジトリに対し連続スキャンを利用することができます。連続スキャンは

Amazon ECRのPull through cacheでECR PublicからDocker公式イメージをpullするAWSDockercontainerECRreInvent2021 この記事は セゾン情報システムズ Advent Calendar 2021 1日目の記事です。 記事のタイトルは一体何を言っているんだ AWS re:Invent 2021 の Day 1 で Amazon ECR に関連する2つのアップデートがありました。 これらを合わせて使用することで Private な ECR Repository のみを使いつつ、Docker Hub のオフィシャルイメージを透過的に pull できるようになります。 Amazon ECR の Pull through cache って? 対応するパブリックコンテナイメージレジストリ上のイメージを、ECR の Private リ

※ io2 Block Express は R5b インスタンスで io2 ボリュームを使用した場合のみ、自動で有効化されます。 汎用 SSD (gp2, gp3) 選択時の考慮点 gp2 の I/O クレジットおよびバーストパフォーマンスの考え方 gp2 の I/O 性能はボリュームの割当サイズにより変動します。ベースラインパフォーマンスは 1 GiB あたり 3 IOPS で、最小値は 100 IOPS、最大値は 16000 IOPS です。例えば 100 GiB のボリュームでは 300 IOPS がベースライン (最低保障) 性能となります。 1000 GiB 未満の汎用 (SSD) ボリュームでは、最大で 3000 IOPS までバースト可能です。gp2 ボリュームには I/O クレジットという概念があり、これを消費することで少ない割当のボリュームであっても、最大 30分間は 3

はじめに 2021/9/28 のアップデートで NLB のターゲットグループに ALB を指定できるようになりました これにより AWS が提供する機能だけを使用して、ALB 配下にある Lambda 関数を PrivateLink 経由で呼び出すこともできるはずです。ALB ターゲットタイプの使い方や注意点等は他の記事に譲るとして、本記事では以下の構成を試してみます。 ALB ターゲットタイプの何が嬉しいのか そもそも NLB のターゲットに ALB を指定できると何が嬉しいのでしょうか。 ALB の IP アドレスを固定したい ALB の仕様として IP アドレスが動的に変化します。ALB を使用しつつ、静的IP を設定したい場合は ALB の前段に AWS Global Accelerator を配置するか、NLB を配置する必要がありました。 どちらの方式も制限事項があり、Glob

新型コロナに家族全員感染したので、知見をまとめます。何ぶん個人差の大きいものではありますが、これが地震や台風のような一つの災害の例として、家族で備えるための一助となればと思います。 経緯小学校低学年の子供が高熱、通っている学童で既に陽性者有（小学校で陽性があったと発熱の前日にお知らせが来たが、同じ学童の子だという事は熱を出して学童を休む連絡をした時に知った）。検査して陽性。 2 日後私が高熱、検査して陽性。 夫はその翌日微熱、濃厚接触者として保健所から検査を手配後。陽性確認。 自宅療養約 1 週間の後、私と子供はホテル療養。 やっていた感染対策夫婦共に40代前半、在宅勤務、基礎疾患なし、外食・会食・旅行はここ 1 年半以上なし、手洗い・消毒、マスク（不織布）、出かけたのは近所の小規模なショッピング施設での買い物、人のいない近所のマイナーな公園だけ。とても感染に気をつけていたというよりは、単

Amazon EBS ボリュームはホスト側のメンテナンスにより変更操作ができないタイミングがあります。 エラー内容 EBS のボリューム変更操作を行うと以下のようなメッセージで変更操作に失敗する場合があります。 AWS 側の障害かな？と思いましたが、Service Health Dashboard では特に異常は報告されていません。 原因 エラー発生後に、Personal Health Dashboard で以下の通知を受け取りました。 Your volume can’t be modified at present due to an operational activity that is being performed on the systems hosting your volume. Your volume is in a healthy state. The operatio

最近夜や休日に自分の勉強や開発をできなくなった。 夜や休日にそんなことせずに業務時間内でやるべきでしょという意見もあると思うが、自分の場合は以前は苦もなく自然とやれていた。それが今はできていない。 理由は明確で、自分が集中できていないからである。背景には育児家事の話はもちろんあるが、時間が取れていないわけではない。 息子は睡眠エリートで毎日2~3時間昼寝をするし夜20時半には寝ている。寝ている時間に何かをすればよいのだが、手が付かない。イメージとしては、1日のMPを使い果たしている感じ。こういう感覚は育児に関係なく経験していて、集中できなくなってしまう時期はあった。 なので「育児家事で時間が取れない」というのは正確ではなくて、「自分が集中できていない」というのが正しい気がする。これは自分の考えであって、家庭にもよるとは思う。家事育児の事情は本当に家庭によって全然違う。子どもが生まれたことで

はじめに 2021/7/26 のアップデートで S3 アクセスポイントに対してバケットスタイルのエイリアスが自動生成されるようになりました。S3 バケット名のかわりにエイリアスを使用してアクセスポイント経由のデータ操作を行うことができます。 新規のアクセスポイントだけではなく既存のアクセスポイントに対しても払い出されています。 AWS CLI の例 通常の S3 バケットのように高レベルコマンドを使用してアクセスポイントを使用できます。 エイリアスを使わない場合は API レベルコマンドを使用する必要がある aws s3api get-object --key test.txt --bucket arn:aws:s3:ap-northeast-1:123456789012:accesspoint/access-point-test test.txt S3 アクセスポイントとは 1つの S3