署名付き URL を使用するか、署名付き Cookie を使用するかを決定する - Amazon CloudFront
CloudFront 署名付き URL と署名付き Cookie は同じ基本的な機能を提供します。これらによって、コンテンツにアクセスできるユーザーを制御できます。CloudFront を使用してプライベートコンテンツを供給する場合に、署名付き URL と署名付き Cookie のどちらを使用するかを決定するには、以下の点を考慮します。 次のような場合は、署名付き URL を使用します。 個別のファイル (アプリケーションのインストールダウンロード) へのアクセスを制限する場合。 ユーザーが Cookie をサポートしていないクライアント (カスタム HTTP クライアントなど) を使用している場合。
IAM および AWS STS の条件コンテキストキー - AWS Identity and Access Management
JSON ポリシーの Condition 要素を使用して、すべての AWS リクエストのリクエストコンテキストに含まれるキーの値をテストできます。これらのキーは、リクエスト自体、またはリクエストが参照するリソースに関する情報を示します。ユーザーが要求したアクションを許可する前に、キーが指定された値を持っているかどうかを確認できます。これにより、JSON ポリシーステートメントが着信リクエストと照合するとき、しないときを細かく制御できます。JSON ポリシーで Condition 要素を使用する方法の詳細については、「IAM JSON ポリシー要素Condition」を参照してください。 このトピックでは、IAM サービス (iam: プレフィックス付き) および AWS Security Token Service (AWS STS) サービス (sts: プレフィックス付き) で定義およ
AWS CloudHSM の SSL/TLS オフロードでウェブサーバーのセキュリティを向上させる - AWS CloudHSM
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS CloudHSM の SSL/TLS オフロードでウェブサーバーのセキュリティを向上させる ウェブサーバーとそのクライアント (ウェブブラウザ) では、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) プロトコルを使用して、ウェブサーバーのアイデンティティを確認し、インターネット上でウェブページやその他のデータを送受信するための安全な接続を確立するための安全な接続を確立するものです。これは HTTPS として知られています。このウェブサーバーでは、パブリック/プライベートのキーペアと SSL/TLS パブリックキー証明書を使用して、各クライアントとの HTTPS セッションを確立します
SSL/TLS を使用した DB インスタンスまたはクラスターへの接続の暗号化 - Amazon Relational Database Service
アプリケーションで Secure Socket Layer (SSL) または Transport Layer Security (TLS) を使用することで、Db2、MariaDB、Microsoft SQL Server、MySQL、Oracle、または PostgreSQL を実行するデータベースへの接続を暗号化できます。 SSL/TLS 接続は、クライアントと DB インスタンスまたはクラスターの間を移動するデータを暗号化することによって、1 つのセキュリティ層を提供します。オプションで、データベースにインストールされたサーバー証明書を検証することで、SSL/TLS 接続でサーバー ID 検証を実行できます。サーバーの ID 検証を必須にするには、次の一般的な手順に従ってください。 データベースの DB サーバー証明書に署名する認証局 (CA) を選択します。認証局の詳細については
Site-to-Site VPN のルーティングオプション - AWS Site-to-Site VPN
静的および動的ルーティング 選択するルーティングのタイプは、カスタマーゲートウェイデバイスの製造元とモデルによって異なります。カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合は、Site-to-Site VPN 接続を設定するときに動的ルーティングを指定します。カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、静的ルーティングを指定します。 BGP アドバタイズメントをサポートしているデバイスを使用する場合は、BGP を使用してデバイスから仮想プライベートゲートウェイにルートがアドバタイズされるため、Site-to-Site VPN 接続への静的ルートを指定しません。BGP アドバタイズメントをサポートしていないデバイスを使用する場合は、静的ルーティングを選択し、仮想プライベートゲートウェイに通知するネットワークのルート
設計パターンのベストプラクティス: Amazon S3 のパフォーマンスの最適化 - Amazon Simple Storage Service
Amazon S3 のストレージに対してアップロードおよび取得を行う際に、アプリケーションはリクエストのパフォーマンスとして 1 秒あたり数千のトランザクションを容易に達成できます。Amazon S3 は、高いリクエストレートに自動的にスケールされます。例えば、アプリケーションは、パーティショニングされた Amazon S3 プレフィックスごとに毎秒 3,500 回以上の PUT/COPY/POST/DELETE リクエストまたは 5,500 回以上の GET/HEAD リクエストを達成できます。バケット内のプレフィックスの数に制限はありません。並列化を使用することによって、読み取りまたは書き込みのパフォーマンスを向上させることができます。例えば、Amazon S3 バケットに 10 個のプレフィックスを作成して読み取りを並列化すると、読み取りパフォーマンスを 1 秒あたり 55,000
Transit Gateway 設計のベストプラクティス - Amazon VPC
各 Transit Gateway VPC アタッチメントに個別のサブネットを使用します。各サブネットに対して、小さな CIDR (/28 など) を使用して、EC2 リソースのアドレスが増えるようにします。別のサブネットを使用する場合は、次の項目を設定できます: ネットワーク ACL を 1 つ作成し、Transit Gateway に関連付けられたすべてのサブネットに関連付けます。ネットワーク ACL は、インバウンド方向とアウトバウンド方向の両方で開いたままにします。 ネットワーク設計で複数の VPC ルートテーブル (複数の NAT ゲートウェイを経由してトラフィックをルーティングする中間ボックス VPC など) を必要としない限り、同じ VPC ルートテーブルをTransit Gateway に関連付けられたすべてのサブネットに関連付けます。 Border Gateway Pro
自動応答および自動修復 - AWS Security Hub
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 自動応答および自動修復 Amazon EventBridge を使用すると、アプリケーションの可用性の問題やリソースの変化などのシステムイベントに自動的に対応するように AWS のサービスを自動化できます。AWS サービスのイベントは、ほぼリアルタイムで、保証に基づいて EventBridge に配信されます。簡単なルールを記述して、注目するイベントと、イベントがルールに一致した場合に自動的に実行するアクションを指定できます。自動的にトリガーできるオペレーションには、以下が含まれます。 AWS Lambda 関数の呼び出し Amazon EC2 Run Command の呼び出し Amazon Kinesis Data Streams へのイベントの中継 AWS S
StackSets concepts - AWS CloudFormation
When you use StackSets, you work with stack sets, stack instances, and stacks. Administrator and target accounts An administrator account is the AWS account in which you create stack sets. For stack sets with service-managed permissions, the administrator account is either the organization's management account or a delegated administrator account. You can manage a stack set by signing in to the AW
サービスコントロールポリシーの例 - AWS Organizations
お客様の固有要件に応じて SCP を慎重にレビューし、カスタマイズします。 使用する AWS のサービスを使用して、環境内の SCP の完全なテストを実施します。 このセクションのポリシーの例では、SCP の実装と使用について説明します。これらの例は、公式な AWS 推奨事項やベストプラクティスとして解釈されることを意図したものではありません。拒否ベースのポリシーが、お客様の環境のビジネス要件を解決するために適切であるかどうかを慎重にテストする責任はお客様にあります。拒否ベースのサービスコントロールポリシーでは、必要な例外をポリシーに追加しない限り、意図せず AWS のサービスの利用を制限またはブロックしてしまうことがあります。このような例外の例については、不要な AWS リージョン へのアクセスをブロックするルールで、グローバルサービスを除外する 1 つ目の例を参照してください。 SCP
IAM ロール (AWS CLI) の切り替え - AWS Identity and Access Management
ロールは、必要な AWS リソースへのアクセスに使用できる一連のアクセス許可を指定します。その点では、AWS Identity and Access Management(IAM)のユーザーに似ています。ユーザーとしてサインインすると、特定の一連のアクセス許可が付与されます。ただし、ロールにはサインインされませんが、ユーザーとしてサインインした後でロールを切り替えることができます。こうすると、元のユーザーアクセス権限が一時的に無効になり、そのロールに割り当てられたアクセス権限が代わりに付与されます。ロールは、自身のアカウントのロールでも、他の AWS アカウント のロールでもかまいません。ロールとその利点、およびロールを作成して設定する方法については、「IAM ロール」および「IAM ロールの作成」を参照してください。ロールを引き受ける別の方法については、「IAM ロールを使用する」を参照
のビルド仕様リファレンス CodeBuild - AWS CodeBuild
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 のビルド仕様リファレンス CodeBuild このトピックでは、ビルド仕様 (buildspec) ファイルに関する重要なリファレンス情報を提供します。buildspec は、 がビルドの実行 CodeBuild に使用する YAML 形式のビルドコマンドと関連設定のコレクションです。buildspec をソースコードの一部として含めることも、ビルドプロジェクトの作成時に buildspec を定義することもできます。ビルド仕様の仕組みについては、「CodeBuild の仕組み」を参照してください。 buildspec ファイル名とストレージの場所 buildspec をソースコードの一部として含める場合、デフォルトの buildspec ファイルの名前は buil
Amazon Redshift Spectrum の開始方法 - Amazon Redshift
Redshift Spectrum クエリには追加料金が発生します。このチュートリアルのサンプルクエリは通常料金で実行できます。料金の詳細については、「Amazon Redshift Spectrum 料金表」を参照してください。 前提条件 Redshift Spectrum を使用するには、SQL コマンドを実行するために、クラスターに接続された Amazon Redshift クラスターと SQL クライアントが必要です。クラスターと Amazon S3 内のデータファイルは同じ AWS リージョン に存在する必要があります。 Amazon Redshift クラスターの作成方法の詳細については、Amazon Redshift 入門ガイドの「Amazon Redshift クラスターとデータロード」を参照してください。クラスターに接続する方法については、Amazon Redshift
iam-password-policy - AWS Config
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 iam-password-policy AWS Identity and Access Management (IAM) ユーザーのアカウントパスワードポリシーが、パラメータに示されている指定された要件を満たしているかどうかを確認します。アカウントのパスワードポリシーが指定の要件を満たしていない場合、ルールは NON_COMPLIANT です。 デフォルトの IAM パスワードポリシーの評価結果 デフォルトの IAM パスワードポリシーが使用されている場合、このルールは NON_COMPLIANT としてマークされます。 マネージドルールとグローバル IAM リソースタイプ 2022 年 2 月より前にオンボーディングされたグローバル IAM リソースタイプ (AW
AWS SDK for Ruby の設定 - AWS SDK for Ruby
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS SDK for Ruby の設定方法を学習します。AWS のサービス を使用して開発する際には、AWS によりコードがどのように認証するかを確立する必要があります。使用する AWS リージョン を設定する必要があります。 認証情報プロバイダーチェーン すべての SDK には、AWS のサービス に対するリクエストに使用する有効な認証情報を取得するためにチェックする一連の場所 (またはソース) があります。有効な認証情報が見つかると、検索は停止されます。この体系的な検索は、デフォルトの認証情報プロバイダーチェーンと呼ばれます。 チェーンのステップごとに、値を設定するさまざまな方法があります。値をコードに直接設定することが常に優先されます。次に優先されるのは環境
AWS CLI の開始方法 - AWS Command Line Interface
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 AWS CLI の開始方法 この章では、AWS Command Line Interface (AWS CLI) のバージョン 2 の使用を開始する手順と、関連する手順へのリンクを示します。 すべての前提条件を満たす - AWS CLI で AWS サービスにアクセスするには、少なくとも AWS アカウント および IAM 認証情報が必要です。AWS アカウントのセキュリティを強化するため、ルートアカウントの認証情報を使用しないことをお勧めします。AWS で実行するタスクへのアクセス認証情報を提供するには、最小特権を持つユーザーを作成する必要があります。 次のいずれかの方法を使用して、AWS CLI をインストールするか、アクセス許可を取得します。 (推奨) AWS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon Virtual Private Cloud Connectivity Options
Transit Network VPC (Cisco CSR) - Transit Network VPC (Cisco CSR)
https://docs.aws.amazon.com/security
Database Migration Guide