S3へのリクエストをHTTPSのみ許可したい場合は、バケットポリシーの aws:SecureTransport で設定できます。 こんにちは！コンサル部のinomaso(@inomasosan)です。 S3のバケットポリシーを調べていた際に以下のAWSナレッジを見つけました。 今回は、実際にS3のバケットポリシーを設定して、HTTPSリクエストのみを許可できるかAWS CLIで確認していきます。 まずは結論 HTTPS（HTTP over SSL/TLS）を強制するためには、S3バケット毎のバケットポリシーを設定する必要があります。 また、上記設定が有効化されている確認も必要となるので、中々に運用が大変です。 デフォルトだと、ほとんどのリクエストはHTTPSが使用されます。 そのため、個人情報等の重要な情報が保管されているバケットに対してのみ、設定するのが良いかと思います。 環境 今回実行

こんにちは！コンサル部のinomaso(@inomasosan)です。 弊社のオンラインイベントDevelopersIO 2021 Decadeで「プライベートサブネットにあるEC2へのアクセス方法を整理してみた」というビデオセッションを公開しました。 セッション概要 EC2へのアクセス方法について、踏み台サーバ以外にも選択肢はあります。 今回は各アクセス方法のメリット・デメリットをご紹介します。 動画 スライド コメンタリー このテーマにした理由 実際の案件で、プライベートサブネットにあるEC2へのアクセス方法について悩むことが多かったからです。 基本的にはAWS Systems Manager Session Manager(以下、セッションマネージャーという)が合うケースは多いものの、メリット・デメリットを考慮した場合は必ずしも最適解ではありません。 この辺の考え方はELBの中

こんにちは！コンサル部のinomaso(@inomasosan)です。 今回はDockerfileから作成したイメージをECRにプッシュし、ECS Fargateでコンテナ起動を試していきます。 環境 今回実行した環境は以下の通りです。 macOS Big Sur 11.6 Docker Desktop 4.0.0 Dockerfileからイメージ作成 Dockerfile作成 今回はApacheに静的コンテンツを追加したイメージを作成します。 とりあえず表示できれば良いので、適用なHTMLファイルを作成します。 <!DOCTYPE html> <html lang="ja"> <head> <meta charset="UTF-8"> <title>test</title> </head> <body> <h1>どうもinomasoです！</h1> </body> </html> 次にD

ECS ExecのenableExecuteCommandを有効にする場合は、SSMセッションマネージャのIAMポリシーをタスクロールにアタッチする必要があります！タスク実行ロールにアタッチしないよう気をつけましょう！！ こんにちは！コンサル部のinomaso(@inomasosan)です。 弊社の以下ブログを参考にECS Execの設定をしていたところ、ECSサービスのenableExecuteCommand有効にする設定でエラーとなりハマってしまいました。 今回はエラー原因と解決方法をまとめていきます。 まずは結論 ECSタスクロールのSSMセッションマネージャー関連の権限不足が原因でした。 環境 今回実行した環境は以下の通りです。 macOS Big Sur 11.6 AWS CLI 2.2.35 Fargateプラットフォーム 1.4.0 エラー事象 ECSサービスのenableE

こんにちは！コンサル部のinomaso(@inomasosan)です。 Amazon ECR Public(以下「ECR Public」という)にあるnginx等のイメージを、直接AWS App Runner(以下「App Runner」という)でコンテナ起動できるようになったので試してみました。 概要 ECR Publicのnginx等のイメージに、App Runnerで起動できるボタンが追加されました。 ちなみに "Launch with App Runner" ボタンは Amazon ECR Public Gallery に生えており、nginx のページは https://t.co/r1KqtP4jQ9、他にも App Runner の最初のチュートリアルとしてオススメの公式サンプルアプリケーション hello-app-runner https://t.co/e0TEAfozWY

こんにちは！コンサル部のinomaso(@inomasosan)です。 久々にAmazon SES(以下「SES」という)を触ってたのですが、いつの間にか新しいコンソールが追加されていました。 今回は新コンソールのアップデート紹介となります。 概要 2021/2/12にAWS公式ブログで新コンソールのオプトインが発表されました。 以下のアップデートが特にイイ感じだったので、後述で紹介していきます。 バウンス率や苦情率が何%なのか判りやすくなった メールボックスシミュレータのバウンス・苦情の通知テストが楽になった 構成セットを使用する場合、メール送信時のヘッダ指定が必須で無くなった ドメイン検証作成時に、まとめて設定できる項目が増えた 旧コンソールはいつまで使えるの？ 2021/9/21時点でデベロッパーガイドに明記されていませんでした。 ちなみに旧コンソール、API、ドキュメントをまとめて

こんにちは！コンサル部のinomaso(@inomasosan)です。 自分で作成したDockerイメージをECSで起動するために、AWSマネジメントコンソールにて東京リージョンでECRパブリックリポジトリを作成したのですが、Dockerクライアント認証でエラーとなったので原因を調べてみました。 環境 macOS Big Sur 11.6 AWS CLI 2.2.35 Docker Desktop 4.0.0 エラーメッセージ AWS CLIでデフォルトプロファイル以外を使用するため、--profileオプションを指定しています。 % aws ecr-public get-login-password --profile hogehoge --region ap-northeast-1 | docker login --username AWS --password-stdin publi

AWSマネージメントコンソールでECS Fargateを構築して、Apache httpdコンテナを起動してみました。 こんにちは！コンサル部のinomaso(@inomasosan)です。 Amazon ECSを案件で使用することになったので、絶賛キャッチアップ中です。 今回はApacheのコンテナを題材に、ローカル環境での起動方法やAWSマネージメントコンソールで検証用に、Apacheコンテナを起動する最小環境を構築して理解を深めていきます。 この記事で学べること ローカル環境でApache httpdイメージからDockerコンテナ起動 Amazon ECSでAWS Fargateを利用し、Apache httpイメージからDockerコンテナ起動 環境 macOS Big Sur 11.4 Docker Desktop 3.6.0 構成図 構成を簡素化するために今回はALBを利用せ

こんにちは！コンサル部のinomaso(@inomasosan)です。 踏み台サーバ用のEC2から、別のEC2 LinuxにSSH接続する際の秘密鍵の扱い方は皆さんどうしておりますでしょうか？ 一番簡単なのは踏み台サーバに秘密鍵をアップロードし、別のEC2にSSH接続することです。 ただし、このやり方だと踏み台サーバが乗っ取られた場合に、他のサーバにも侵入されるリスクが大きくなってしまいます。 そこで今回は、ローカル端末にある秘密鍵のみを利用した、多段SSH接続を検証していきます。 弊社カジにこのブログを書くきっかけを頂きました。改めてありがとうございます。 この記事で学べること 踏み台サーバにSSH接続先の秘密鍵をコピーする必要はないということ 踏み台サーバ経由の多段SSH接続方法 ちなみに踏み台サーバ経由でWindows Serverに接続したい場合は？ Windows Serverの

こんにちは！コンサル部のinomaso(@inomasosan)です。 7/7の七夕はクラスメソッド創立記念日となります。 本日は大量のブログが投稿され一種の祭り状態になっているので、私も１本書くことにしました。 さて本題ですが、2021/5/26にAmazon Aurora MySQLのリードレプリカについてエモいアップデートがあったので、内容のご紹介とちょっとやってみたをまとめてみました。 アップデート内容は？ Aurora MySQL 2.10以降で、ライターノードを再起動しても、リーダーノードは再起動されなくなりました。 これにより、リーダーノードはライターノードの再起動中に読み取りリクエストを処理し続けることが可能となります。 従来はライターノード再起動に伴い、クラスター内の全てのノードの再起動が必要でした。 本アップデートの詳細はAWS公式記事をご参照願います。 やってみた A

こんにちは！コンサル部のinomaso(@inomasosan)です。 先日、セッションマネジャーとVPCエンドポイントによる、プライベートサブネットのLinux用EC2への接続のブログを書きました。 ただ、VPCエンドポイントの代わりにNAT Gatewayを利用することもできるので、今回はNAT Gateway編を書かせていただきます。 前回と内容が重複する部分はありますが、手順等については本記事のみで完結できるように、あえて省略しておりませんので予めご了承ください。 この記事で学べること セッションマネージャーとNAT Gateway使用したプライベートサブネットのLinux用EC2への接続方法 Terraformでのコードの書き方 前提知識 1. AWS Systems Manager Session Managerとは セッションマネージャはAWS Systems Manager

こんにちは！コンサル部のinomaso(@inomasosan)です。 前職ではデータセンターの物理サーバやVMware等の仮想マシン構築を、OSインストールからシコシコ対応してました。 一方でAWS上にEC2でサーバを構築した時に、これってどうなんだろと思ったことを、実際にお客様から質問されたことがありました。 今回はそんなちょっとしたTipsをまとめていこうと思います。 OSインストールから実施する必要があるの？ EC2を新規構築する際は。AMIと呼ばれるOSやソフトウェアがプリインストールされたテンプレートから作成します。 AMIはCentOSやAmazonLinux2はもちろん、Windows Server等のさまざまなものが提供されています。 そのためEC2作成後、すぐにご利用いただくことが可能です。 OSのファイヤウォールはどうすればいいのか？ iptablesやfirewal

こんにちは！コンサル部のinomaso(@inomasosan)です。 CloudFrontで検証期間中はIP制限したい場合ってありますよね。 今回はCloudFront Functionsで単純なIP制限くらいならできるという噂を聞いたので試してみました。 この記事で学べること CloudFront Functions作成方法 IP制限のJavaScriptサンプルコード 前提知識 CloudFront Functionsとは CloudFrontのエッジロケーションで、軽量なJavaScriptを高速かつ安価に実行できるサービスです。 詳細については弊社ブログにまとまっているので、こちらをご参照ください。 CloudFrontのIP制限おさらい CloudFrontにはセキュリティグループがないため、CloudFront Functions以外だと以下の方法で対応する必要があります。

こんにちは！コンサル部のinomaso(@inomasosan)です。 2021年5月18日(火)に、AKIBA.AWS ONLINE #03で「Former2でコード生成してGUIポチポチ卒業の第一歩を」というタイトルで登壇しました。 発表資料や感想を簡単にまとめていきます。 発表資料 資料の３行まとめ Former2で既存環境を簡単にコード化可能 Former2はローカルでも起動可能 コードの再利用には考慮が必要 感想 社外向けのイベント登壇自体が初めてだったので、良い経験ができました。 動画を後から見返してみると、今まで気づかなかった喋り方の癖に気がつけたので良かったです。 また、今回のLTでFormer2に興味を持って頂けた方もいたので、とても嬉しかったです。 Former2楽しそう #AKIBAAWS — とっしぃ (@tossy_yukky) May 18, 2021 Form

こんにちは！コンサル部のinomaso(@inomasosan)です。 AWS Summit Online Japan 2021が、2021年5月11日(火)、12日(水)で開催中されております。 本記事は2021年5月12日(水)に行われた「AWS サービスで実現する継続的インテグレーション/継続的デリバリー（CI/CD）入門」のセッションレポートとなります。 セッション概要 変化に迅速に対応する為に、ソフトウェアのリリースにも俊敏性が求められています。「より頻繁」、「より迅速」、「より安全」にリリースを行うには自動化が欠かせません。このセッションでは、継続的インテグレーション/継続的デリバリー（CI/CD）に利用できる AWS サービスをご紹介し、どのようにリリースプロセスを自動化することができるのかご紹介します。 登壇者 アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 西

こんにちは！コンサル部のinomaso(@inomasosan)です。 AWS Summit Online Japan 2021が、2021年5月11日(火)、12日(水)で開催中されております。 本記事は2021年5月12日(水)に行われた「どこから手を付ける？！ レガシーシステムだらけな 北の大地の生協がAWSにAll inしたら」のセッションレポートとなります。 セッション概要 "ゼロから始めるクラウドジャーニー。生協が歩み出したレガシーからAWS All inへの第一歩とは？旅に出るヒントを公開！" さて問題です。 あなたは長年の増改築と多岐にわたる事業故にレガシーで複雑化したシステムだらけな企業で、ゼロからAWSを使うことになったらどこから何を始めますか？ コープさっぽろは昨年から全てのシステムをAWSへ移行する方針を掲げ、多数のエンジニアを採用しました。 そんなコープさっぽろで

こんにちは！コンサル部のinomaso(@inomasosan)です。 AWS Summit Online Japan 2021が、2021年5月11日(火)、12日(水)で開催中されております。 本記事は2021年5月11日(火)に行われた「初心者でもできた！CloudEndure を利用したPLMシステム群のAWS の移行」のセッションレポートとなります。 セッション概要 "内作でゼロから初めたAWS移行で運用コストを1/5にしたプロジェクトを事例として紹介します" クラウドを利用したことのないチームが初めて、オンプレミスからアマゾン ウェブ サービス（AWS）へのサービス移行を行ったときの経験を事例紹介します。AWS初心者チームが、プロジェクト発足から4か月で無事に26システムの移行を完了させることが出来た事例で、これからAWS移行をやってみようと思う人へ参考になればと思います。 登

こんにちは！コンサル部のinomaso(@inomasosan)です。 プライベートサブネットのEC2にアクセスしたい場合は、これまでパブリックサブネットに踏み台サーバを作成してアクセスしていましたが、AWS Systems Manager Session Manager(以下、セッションマネージャー)を利用すれば、踏み台サーバの構築・運用が不要になるので検証してみました。 検証にあたり、以下のAWS公式ナレッジが分かりやすかったので、こちらをベースにした検証記事となります。 この記事で学べること セッションマネージャーとVPCエンドポイントの知識 セッションマネージャーを使用したプライベートサブネットのLinux用EC2への接続方法 Terraformでのコードの書き方 前提知識 1. AWS Systems Manager Session Managerとは セッションマネージャはAW

こんにちは！コンサル部のinomaso(@inomasosan)です。 TerraformはMFA + AssumeRoleに未対応のため、これらが必要なアカウントで作業する場合はひと手間かけなければなりません。 私の環境だとaws-mfaというOSSを利用しているのですが、IAMロールのデフォルトのセッション時間は1時間のため、検証中などは地味にストレスになりました。 そこで最大まで延長するために検証してみることにしました。 この記事で学べること aws-mfaで指定可能な最大セッション時間 そもそもaws-mfaって？ 弊社ブログに詳しくまとまっている記事がございますので、こちらをご参照ください。 結論からいうと？ セッション時間は最大12時間まで指定することが可能です。 環境 今回実行した環境は以下の通りです。 macOS Catalina 10.15.7 aws-mfa 調べてみた

こんにちは！コンサル部のinomaso(@inomasosan)です。 絶賛コンテナ勉強中なのですが、CI/CDやIaC、ECSやEKS等で学ぶことが多くて目が回りますよね。 最近、社内の経験者に勉強方法を聞いてみたのですが、初めはそれぞれ分けて勉強した方が良いとのことでした。 ということで、まずはDockerのチュートリアルからはじめてみることにしました。 やること Docker公式ドキュメントのDocker ComposeとWordPressのクイックスタート この記事で学べること DockerでWordPress環境構築 環境 今回実行した環境は以下の通りです。 macOS Catalina 10.15.7 Docker Desktop 3.1.0 コード 任意のディレクトリにdocker-compose.ymlを作成。 チュートリアルに従い、以下のコードを保存。 version: