セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ　コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ　コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice（著）、株式会社スリーシェイク（監修）、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也（訳） 出版社 : インプレス 出版日

[アップデート] AWS CloudFormation の API を使って、既存リソースからテンプレートを生成出来るようになったようなので使ってみた いわさです。 今朝、AWS API と AWS CLI のアップデートで興味深いものがアナウンスされていました。 CloudFormation IaC generator allows you to scan existing resources in your account and select resources to generate a template for a new or existing CloudFormation stack. CloudFormation IaC Generator って初めて聞いたなと思いつつ、もしかして Former2 的なやつではという予感が。 Former2 というのは AWS 上にデプロイ

Gmailに届かないと報告されている2024年神奈川県立高校入試の出願システム自動返信メール、 2024年1月15日にYahooメールに届いたメールヘッダー情報などから、送信ドメイン認証(SPF、DKIM、DMARC)の確認を試みました。 2024年2月の神奈川県立高校の受験を予定している家族から、 "インターネット出願システムの登録を試みたが、システムからの返信メールがGmailのアドレスが届かないため、代わりにYahooメールを利用した。" との報告を受けました。 今回、2024年1月15日にYahooメールで受信したインターネット出願システムのメールを調査する機会がありましたので、紹介させて頂きます。 2024年1月19日 追記 ネット出願システムの不具合解消後のメールの調査結果を公開しました。 2024年1月18日 追記 ネット出願システムのメールサーバ側の問題について調査結果を公

はじめに マルチアカウント環境ではIAM Identity Centerを使ってメンバーアカウントへログインすることが多いかと思います。 今回は特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成してみました。 前提 この記事ではマルチアカウント環境を前提としているため、以下については既に有効化・作成されているものとして進めます。 Control Tower or Organizations IAM Identity Center メンバーアカウントへログインできるIAM Identity Centerユーザー IAM Identity Centerユーザーが利用するアクセス許可セット 今回は以下２つのIAM Identity Centerユーザーを作成して、Administorator権限のアクセス許可セットでログインしています。 User

うおおおおおおおおお!!! ってなったけどなんで歓喜しているんだっけ? こんにちは、のんピ(@non____97)です。 皆さんはNetwork Load Balancer (以降NLB) にセキュリティグループをアタッチしたいなと思ったことはありますか? 私はあります。 本日8/11についにサポートされましたね! 早速、偉大な先人がアップデートをまとめてくれています。 細かい仕様は以下AWS公式ドキュメントにも記載があります。 うおおおおおおおおおおおおお!!! という感じで目が覚めたのですが、なぜ私はこんなに歓喜しているんでしょうか。 この感情を言語化してみました。 いきなりまとめ クライアントIPアドレスを保持する場合、NLBを介さずに直接アクセスされるのを防ぐことが簡単になった 従来はターゲットのセキュリティグループでクライアントのIPアドレスからの許可をする必要があったため、NL

マイクロサービスを実装する時、アプリケーションコード以外にも、他のサービスの健全性把握や名前の管理、それらをどのようにコンテナで運用するか、課題は多いものです。 今回新しくリリースされた「Service Connect」はECSのネットワークに関する新機能です。 Amazon ECS introduces Service Connect 任意の名前をサービスに付与して接続 エンドポイントのヘルスチェック対応 コンソールやCloudWatchによる豊富なメトリクスの提供 自動接続ドレインのサポート など、ECSでマイクロサービスを運用する場合に必要なネットワーク機能が揃っています。 この記事では、まずは速報でService Connectの新機能を皆さんに紹介できればと思います！ （祭） ∧ ∧ Y　 ( ﾟДﾟ) Φ[_ｿ__ｙ_l〉     ECSﾏﾂﾘﾀﾞﾜｯｼｮｲ |_|＿| し'´

「最近は、データベースもB/Gデプロイできるらしいよ？」 「そりゃそうやろ。B/Gデプロイなんて、最近当たり前………　へ？DBが？無理でしょ？ほぇ？どういうこと？」 最初アップデートのタイトルを見たときの、ハマコーの率直な感想です。 Blue/Greenデプロイは、現行バージョンのトラフィックを活かしたまま新バージョンを動作確認し、問題なければ新バージョンをリリースするという、最近の安全なデプロイの概念において無くてはならないものです。 同時に新旧バージョンを稼働させるため、基本的にはステートレスなアプリケーション・サーバーにおいて利用するものという固定概念があったのですが、それをデータベースに対して既存のAWSの技術を組み合わせつつAWSらしいマネージドな仕組みで解決しようという、意欲的なリリースです。制約事項もそれなりにあるので、皆さんの運用ワークロードに当てはまるかは、事前の検証が必

こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか？(挨拶 今回は2022/10/17に行われたAPN AWS Top Engineersが語るAWSの最新セキュリティ対策にて登壇した内容の解説ブログです。 資料 解説 今回のセッションのテーマは、新しくAWSからリリースされたAmazon GuardDutyのMalware Protection機能がどのようにサードパーティのマルウェア対策と共存するのか、というものです。 詳しくはこの後の内容や資料を見ていただければと思いますが、結論として既存のマルウェア対策が置き換わるような機能ではなく、これまで以上にカバレッジを広げたりするものです。 この内容ではAWSにおけるセキュリティ対策のほんの一部しか話しませんので、セキュリティ全般については下記もご参照ください。 1. Amazon GuardDutyと新機能Malware

IAM ユーザーの現状を棚卸ししたい コンバンハ、千葉（幸）です。 IAM ユーザーはきちんと管理されていますか？最近 100名近く IAM ユーザーが存在する環境をご支援する機会がありました。ユーザーがどんなグループに所属していてそれぞれどんな権限を有しているか、きっちりした設計書が無く。まずはそれを棚卸ししてからあるべき構成を考えていきましょう、というアプローチを取りました。 単に IAM ユーザーの一覧を取得するだけであれば以下のエントリにある内容を踏襲すればいいのですが、今回はそれより詳細な情報が必要です。 ということで、AWS CLI で一覧を取得してみました。（その後にスプレッドシートで頑張りました。） IAM ユーザーに割り当てられるポリシーについておさらい IAM ユーザー、グループ、ポリシーについておさらいしておきましょう。 IAM ユーザー、IAM グループそれぞれに

こんにちは。AWS 事業本部コンサルティング部に所属している今泉（@bun76235104）です。 オンプレミスでインフラの基本設計・運用設計をやってきたけど、AWSでどのような点に注意して設計すれば良いか分からない 今作っている設計で考慮が漏れているか分からない 現状のAWS環境がベストプラクティスに反していないか確認したい そんなことを考えたことはありませんか？ そんな時にAWS Well-Architected Toolを使うと課題を浮き彫りにしやすいと聞いて、遅ればせながら試していました。 試している中、ちょうど以下のアップデートで「AWS Well-Architected Toolとの統合機能の提供により、AWS Well-Architected Toolを使うのに必要な時間を減らせるかもしれない」と耳にして試してみました！ AWS Well-Architected Framew

こんにちは。たかやまです。 みなさんアーキテクチャを検討するときに、なにか参考にするアーキテクチャがあると助かりますよね？ 私もアーキテクチャ検討をするときは、車輪の再発明を避けるためゼロベースではなく先人たちのアーキテクチャを参考にさせていただくことが多いです。 そのおり、ちょうどお客様にアーキテクチャ検討に役立つサイトをご紹介する機会があり、参考にしているサイトを改めて調べると結構あったので今回こちらをブログにまとめてみたいと思います。 30 の目的別 クラウド構成と料金試算例 目的別クラウド構成と料金試算例 日本利用者向けに公開されているリファレンスアーキテクチャのサイトになります。 全ドキュメント日本語で料金試算も載っているため、アーキテクチャの検討はじめにおすすめのサイトです。 サーバレスパターン サーバーレスパターン サーバレスの汎用的なユースケースがまとめられたサイトになりま

こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 今回は、これから AWS を使い始める方、なんとなく使っているが利用料金が気になる方向けに記事を書きます。 AWS では何をすると利用料金(課金)が発生するでしょうか？仮想サーバーを使ったときでしょ、この理解は皆さんお持ちだと思います。 しかし、これは半分正解半分不正解です。 「サーバーはシャットダウンしているのに○○ドル請求がきた」という経験を一度はしていると思います。(自分ではなくても上司に言われたなど) 課金の仕組みを理解することが無駄な支払いを抑えるための第一歩だと考えております。 主なAWS 課金要素 以下に主な課金要素を示します。 コンピュート 何らのインスタンスが起動するタイプのサービスインスタンス起動時間により課金 課金要素のなかでもっとも

お客様にAWSを学習するためのハンズオンの探し方を教えて欲しいと依頼されることがあったので、その際に調べた内容をまとめました。AWSのハンズオンを探す際にご利用ください。それぞれのハンズオンの個数は 2022-07-07 時点のものです。 2022-09-27 にAWSの日本語ハンズオンまとめページである JP Contents Hub がリリースされました。このブログで紹介している各種ハンズオンへのリンクも含まれているようですので、まずはJP Contents Hubを参照いただくのがよいかもしれません。JP Contents Hubの解説は AWS 日本語ハンズオンまとめ　JP Contents Hub のご紹介 | Amazon Web Services ブログ を参照してください。 AWS ハンズオン資料 ハンズオン資料 | AWS クラウドサービス活用資料集 22 個のハンズオン

AWS Prescriptive Guidance（AWS規範的ガイダンス）について紹介されているものが少なったので、ひょっとして未だ認知度低いんじゃないか？ということで紹介したいと思います！ AWS Prescriptive Guidance（AWS規範的ガイダンス） Amazon Web Services (AWS) Prescriptive Guidance provides time-tested strategies, guides, and patterns to help accelerate your cloud migration, modernization, and optimization projects. These resources were developed by AWS technology experts and the global communi

先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました ここでは SpringBoot をベースとしたアプリケーションへの影響と対応可否の判断についてどのような調査を行ったかを記載します。 ひとまず結論 Spring 側から見解がすでに出ています。 Log4J2 Vulnerability and Spring Boot 以下抜粋します。 Spring Boot users are only affected by this vulnerability if they have switc