AWS セキュリティ - Qiita
3.責任共有モデル AWSではデータセンター、ネットワークには高度なセキュリティに対応する柔軟なアーキテクチャーを採用しています。その一方で固有のデータは自身で管理する必要があります。 クラウドのセキュリティ:AWSの責任範囲 クラウド内のセキュリティ:ユーザの責任範囲 4.AWS Service Catalog 仮想マシンイメージ、サーバー、ソフトウェア、データベースといったAWS上のサービスの中でIT部門が使用を承認した作成・管理することができます。 デプロイされた IT サービスを集中管理でき、コンプライアンス要件を満たすと同時に、ユーザーは必要な承認済みの IT サービスのみをすばやくデプロイできます。 5.アカウントルートユーザーとAWS IAM 最初にAWSのアカウントを作成した場合は、すべてのAWSアカウントへアクセス可能なアカウントルートユーザーが作成されます。 なので、↓
AWS Health Dashboard起点のイベント駆動を考える - Qiita
はじめに この記事はDevOps on AWS大全の一部です。 DevOps on AWS大全の一覧はこちら。 この記事ではAWS Health Dashboardに関連する内容を超詳細にまとめています。 具体的には以下流れで説明します。 AWS Health Dashboardとは AWS Health Dashboardの活用 AWS Health Dashboardのベストプラクティス AWSの区分でいう「Level 200:トピックの入門知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル」の内容です。 この記事を読んでほしい人 AWS Health Dashboardがどういうサービスか説明できるようになりたい人 AWS Health Dashboardを採用するときのベストプラクティスを説明できるようになりたい人 AWS Certified DevOp
[アップデート] EC2インスタンスに対しデフォルトでSSMを有効にするDefault Host Management Configurationが追加されました | DevelopersIO
[アップデート] EC2インスタンスに対しデフォルトでSSMを有効にするDefault Host Management Configurationが追加されました しばたです。 本日AWSより以下のアナウンスがあり、EC2インスタンスに対しデフォルトでSSMを利用可能にするための権限を設定可能になりました。 すこし注意点のある仕組みなので本記事で解説していきます。 どういうことか? 今回の更新でAWS Systems Manager(以後SSM)に新しいDefault Host Management Configuration (DHMC。日本語だと「デフォルトのホスト管理設定」) という設定が追加されました。 このDHMCはSSMのフリートマネージャーで所定の権限(IAMロール)を指定する形で設定します。 そしてSSM Agentがインスタンスプロファイルの代わりにDHMCに設定されたロ
![[アップデート] EC2インスタンスに対しデフォルトでSSMを有効にするDefault Host Management Configurationが追加されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f981e165894739037001528c4edff725975526c2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-systems-manager.png)
Amazon Auroraの障害テストを試してみた。 | DevelopersIO
こんばんは、城内です。 最近、3歳半になる娘が『ちいさなプリンセス ソフィア』を観るようになって、急に妙なリーダーシップを発揮するようになりました。 両親共にそんな気質は持ち合わせていないので、どんな成長を遂げるのかちょっと不安です。。 といったどうでもいいプライベートな近況報告を織り交ぜながら、引き続き先日東京リージョンに上陸したAmazon Auroraを触っていきたいと思います。 はじめに 今回は、Auroraの障害テストを実施してみたいと思います。Auroraでシミュレーションできる障害は以下の4つです。 インスタンスのクラッシュ レプリカの障害 ディスクの障害 ディスクの輻輳 上記の内、インスタンスとレプリカ、ディスクの障害テストを試してみたいと思います。 (ディスクの輻輳は、ディスクの障害をやるからまいっか的なノリで外しましたw) 試してみる では、早速1つずつどんな挙動をする
クロスアカウントVPCピアリングを CloudFormation でやってみた | DevelopersIO
こんにちは、森田です。 この記事では、VPCピアリングをクロスアカウントで行う方法を図を使ってまとめてみました。 VPC ピアリング 通常 Amazon VPC では、その内部のみでしか通信を行うことができません。 他の Amazon VPC と通信する方法としていつかの方法がありますが、その1つにVPC ピアリングがあります。(詳しくは以下をご参照ください) VPC ピアリング接続は、プライベート IPv4 アドレスまたは IPv6 アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。VPC ピアリング接続は、お客様の VPC 間や、他の AWS アカウントの VPC との間に作成できます。VPC は複数の異なるリージョンに存在でき
AWS CLIで自アカウントのAZ名とAZ IDのマッピングを確認する | DevelopersIO
普段目にしているAZ名がどのAZとマッピングされているのかはAWSアカウントによってまちまちです。一意に識別できる情報はAZ IDとなります。今回はAWS CLIを利用して、AZ名とAZ IDのマッピングを確認する方法を紹介します。 こんにちは。サービスグループの武田です。 先日、AWSの東京リージョンで障害が発生しました。詳細は公式のアナウンスを参照してください。 Summary of the Amazon EC2 Issues in the Asia Pacific (Tokyo) Region (AP-NORTHEAST-1) 当日はリアルタイムでAWSから情報が発信され、それを確認しながら対応されていた方も多いのではないでしょうか。その情報の中に a single Availability Zone in the AP-NORTHEAST-1 Region という一文がありました。
LambdaのProvisioned Concurrencyの価格を調べてみた - Qiita
この記事は、ハンズラボ Advent Calendar 2019 12日目の記事です はじめに ハンズラボのPOSチームでテックリードをしている @zizi4n5 です ようやく消費税の増税・軽減税率対応なども落ち着いて、先週はラスベガスで開催された AWS re:Invent 2019 に参加してきたのですが、その会場で発表された Lambdaの新機能 Provisioned Concurrency が非常に気になっています。 今まではLambdaの起動時間を早くする(コールドスタートさせない)対策として、定期的にLambdaの実行を行なっているサービスありますよね。 私が担当しているサービスでも、serverless-plugin-warmup を導入してLambdaのwarmupを行なっています。 それが今後は、自前での定期実行やpluginを導せずに素早くLambdaを実行できるよ
AWS Client VPN を使ってみた
こんにちは!エンジニアのよっしーです。 AWS や Google Cloud (GCP) などのクラウドサービスを利用するとき、作成した VM に ssh でアクセスしたり、データベースにコマンドレベルでアクセスしたり、あるいはファイルを転送したりという作業は必須ですよね。通常はセキュリティ確保のため、グローバル IP アドレスを持つ「踏み台 VM」を作成し、外部から踏み台 VM を経由してグローバル IP アドレスを持たない内部の VM やデータベースにアクセスすることが多いと思います。 また、AWS であれば ”Session Manager” を利用して、グローバル IP アドレスを持たない VM に外部から直接アクセスできるサービスもありますが、データベースへの直接アクセスやファイル転送を外部から ”Session Manager” を利用して実行するにはひと工夫必要だったりします
RDS ProxyはSecrets ManagerのSecretsをどのように利用しているのか | DevelopersIO
MAD事業部@大阪の岩田です。 先日社内のチャットで以下のような質問がありました。 この質問に対する回答をせっかくなのでブログにまとめてみました。 環境 今回検証に使用した環境です。 エディション:Amazon RDS for PostgreSQL エンジンバージョン: Postgresql 13.6 インスタンスクラス:db.m6g.large IAM認証は無効 DBユーザーはマスターユーザーとは別にuser01というユーザーを作成し、クライアントからRDS Proxyに接続する際はuser01というユーザーを利用します。またuser01がアクセス可能なdb1というデータベースも事前に作成しています。 各種設定値については分析しやすいようにログ関連の設定だけ以下のように設定しています。 log_statement = 'all' に設定 log_connections = 1 に設定 R
RDS Proxy を使って、AWS Lambda から接続してみた - Qiita
はじめに AWS Lambda が良く語られますが、予測不可能なリクエストが来た時に、多くのインスタンスを横に並べてリクエストを捌く構成があります。AWS Lambda の場合は、1リクエスト1インスタンスとなるので、需要が高まったときには必然的に多くのインスタンスが立ち上がる構成になります。この時、インスタンス が RDS のコネクションを取得している場合、多くのデータベースコネクションを取得することにより、データベース側の負荷が高まってしまう課題がありました。 こういった問題を解決するための選択肢の一つとして、RDS Proxy と呼ばれるデータベースのコネクションをプールしてくれる機能があります。Amazon RDS に備わっている機能となっており、複数のインスタンス間でデータベースコネクションをプールしてくれます。 RDS Proxy を利用するメリットは次の通りです。 アプリケー
Amazon Auroraとは?特徴、RDSとの違い、料金計算方法を解説【Amazon Aurora入門】
Amazon Auroraとは?特徴、RDSとの違い、料金計算方法を解説【Amazon Aurora入門】 本コラムでは、Amazon Auroraの基本的な内容である特徴やRDSとの違い、料金について解説します。 公開日:2022年4月1日 執筆者:株式会社アシスト 伊東 清音 Amazon Auroraは、AWSのみで利用することができるマネージド・データベースサービスです。 データベースの実行環境はオンプレミスからクラウドへと変わりつつあります。運用面からみてもマネージドサービスを利用することで、本当に必要なタスクに比重を置く考えが強くなってきています。 しかしデータベースの変更には、接続方法の見直しやSQL改修などのリスクがあり、移行工数が膨大になった例も少なくありません。アプリケーションやソフトウェア担当からすると、データベースに対して実行する処理は変えたくないという思いがあるの
AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本
2020.05.26 | Writer:ふくちゃん AWSリソースの設定変更履歴を管理する「AWS Config」とは?実際に使用してみた AWSリソースの設定を「いつ」、「だれが」、「どのように」変更したのか確認したいタイミングがあります。 そんなときに使用したいのがAWS Configです。 AWS Configを利用することで、AWSリソースの設定を記録し、設定の変更や他のリソースとの依存関係が時間経過とともに確認できます。 当コラムではAWS Configの簡単な説明と、実際の利用例を紹介します。 こちらのコラム「AWS Config でAWSリソースやソフトウェアの設定履歴を保存し、コンプライアンス対策やセキュリティの強化を!」ではAWS Configの活用方法を紹介しています。 是非ご確認ください。 AWS Configとは? AWS ConfigはEC2、EBS、セキュリティ
AWSへSAML認証でサインイン - Qiita
業務でSAMLが必要になりそうだったので、勉強のためにAWSにSAML認証でサインインするための手順を実施しました。備忘録としてまとめておきます。 使用するIdPとサービスプロバイダー IdP トラスト・ログイン(旧SKUID)を使用します。法人向けサービスですが、無料プランなら個人でも使えます。SAMLの検証くらいなら無料プランで大丈夫です。 https://trustlogin.com/ サービスプロバイダー 冒頭に記載の通り、AWSを利用します。SAMLできて個人でも触れるサービスって意外とない。 IdP側の設定(1) TrustLoginの管理ページにアクセスし、「アプリ」⇒「SAMLアプリ登録」をクリック。 適当にアプリケーション名を決め、メタデータをダウンロードをクリックします。ダウンロードしたメタデータはAWS側で使用します。このページには後で戻ってくるので、閉じないようにし
AWS IoT Core の認証プロバイダを使って IoT デバイスからセキュアに AWS サービスを利用する | Amazon Web Services
Amazon Web Services ブログ AWS IoT Core の認証プロバイダを使って IoT デバイスからセキュアに AWS サービスを利用する こんにちは、プロトタイピングソリューションアーキテクトの市川です。 現在、様々なユースケースで IoT デバイスが AWS IoT Core を利用しています。ユースケースの中には AWS のサービスを直接利用したいという話もよく相談として受けます。 IoT デバイスのアプリケーションから AWS のサービスを利用する場合は、AWS 署名バージョン 4 形式 (SigV4) の AWS 認証情報を使用して呼び出すことができます。この署名を作成するためには、クレデンシャル情報(アクセスキー ID、シークレットアクセスキー)が必要になってきます。しかし、不特定多数が触る可能性がある IoT デバイスにこのクレデンシャル情報を持たせるのは
Amazon Timestream で脱RDBしてコスパ向上を目指す
こんにちは。開発部の竹田です。所属するアマチュアオーケストラの演奏会がコロナで中止になりそうで、少々悲しみを覚えながら、細々と生きております。 さて、最近弊社スタディストが運営するマニュアル作成・共有ツールTeachme Bizの分析系機能である、レポート機能の強化プロジェクトを進める中でAmazon Timestream(以下 Timestream)の利用を検討しましたので、その時調べたことを記事にします。 Timestream is 何?・高速かつスケーラブルなサーバーレス時系列データベースサービス ・最新データのためのメモリストアおよび履歴データのためのマグネティックストアに分かれる ・メモリストアに設定した期間を過ぎれば、自動的にマグネティックストアに移動される ・マグネティックストアの保持期間を過ぎればデータは自動で消える ・動的スキーマ。テーブル作成時にカラム定義は不要 ・日本
CloudFormationスタックのドリフトってなんだろ?
ドリフトの検出とは? ドリフト検出のチェックを開始すると、CloudFormation が、現在のスタック設定と、スタックを作成または更新するために使用された、テンプレートが指定する設定とを比較し、誤差があれば報告し、それぞれの詳細な情報を提供します。 新 – CloudFormation ドリフト検出 | Amazon Web Services ブログより CloudFormationテンプレートの内容と、実際のリソースの異なる点を発見してくれる便利な機能です! 某頭文字がDのドリフトとは無関係です。 例えばこんなかんじです。 A「CloudFormationでt2.microのEC2インスタンスを作ったよ」 A「でも性能足りなかったからEC2コンソールからt2.mediumに変更したよ」 CloudFormation「ちょっと待って!ドリフト検出したらテンプレートの内容と実際のインスタ
CloudFormationの変更セットってなんだろ?
変更セットとは? スタックを更新する必要がある場合は、変更の実装前に実行中のリソースに与える影響を理解することで、安心してスタックを更新できます。変更セットを使用すると、スタックの変更案が実行中のリソースに与える可能性がある影響 (たとえば、変更によって重要なリソースが削除されたり置き換えられたりしないか) を確認できます。変更セットの実行を確定したときのみ AWS CloudFormation によってスタックが変更されるため、変更案のまま続行するか別の変更セットを作成して他の変更を検討するかを決定できます。 変更セットを使用したスタックの更新 - AWS CloudFormationより 一言で言うと、安心してスタックを更新できる機能です。 3行で言うと スタックの更新前に リソースの更新や削除を 把握することができる という機能です。 使うとどうなるの? 変更セットを使用すると、スタ
AWS CLIで動かして学ぶCognito IDプールを利用したAWSの一時クレデンシャルキー発行 | DevelopersIO
「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み実際に手を動かして得られたCognito IDプールに対する理解をまとめました。 「Cognito IDプールってやつはAWSリソースへのアクセスを制御する認可部分を担当しているらしいけど、いったいどういう理屈でそうなってるんだ…?」 そんな自分の疑問からAWSのドキュメントを読み手を動かして得られたCognito IDプールに対する理解を、 AWS CLIで再現できる形にまとめてみました。 Cognito IDプールでAWSの一時クレデンシャルキーを発行することによって、Cognito IDプールの世界からIAMの世界へ落とし込めると、だいぶイメージが付きやすいんじゃないかと思います。 AW
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mysqldump で出力した tsvを Redshift に import - Qiita
AWS Cognito UserPoolをサーバーサイドで使うサンプル (Node.js) | キリウ君が読まないノート
