AWS サービスのクロスリージョン VPC エンドポイントの設定
AWS PrivateLink リソースにアクセスできるようにするために、クロスリージョン Amazon Virtual Private Cloud (Amazon VPC) エンドポイントを設定したいと考えています。 解決策 クロスリージョン Amazon VPC インターフェイスエンドポイントがリソースにアクセスするように設定するには、以下の方法のいずれかを実行します。 Amazon VPC インターフェイスエンドポイントを使用して、別のリージョンで実行されているサービスにアクセスします。 Amazon Route 53 を使用して、ピアリングされている VPC のサービスエンドポイント DNS 名を解決します。 Amazon VPC インターフェイスエンドポイントを使用して、別のリージョンで実行されているサービスにアクセスする コンシューマー Amazon VPC から、プライベート
VPC フローログで CloudWatch Logs Insights のクエリを使用する
Amazon CloudWatch Logs Insights クエリを使用して、ロググループ内の Amazon Virtual Private Cloud (Amazon VPC) フローログを処理したいと考えています。どうすればよいですか? 簡単な説明 CloudWatch Logs をターゲットとする VPC フローログをオンにすると、Elastic Network Interface ごとに 1 つのログストリームが表示されます。CloudWatch Logs Insights は、ロググループに保存されたログイベントに対して複雑なクエリを実行できるクエリツールです。問題が発生した場合は、CloudWatch Logs Insights を使用して、潜在的な原因を特定し、デプロイされた修正を検証することができます。 サポートされるログタイプの詳細については、「サポートされるログと検
AWS アカウントでの不正なアクティビティに関する問題の解決
作成した覚えがないリソースが AWS マネジメントコンソールに表示されます。自分の AWS リソースまたはアカウントが不正利用された可能性があるという通知を受け取りました。 簡単な説明 AWS アカウントで不正なアクティビティが疑われる場合に、そのアクティビティが不正であったかどうかを確認するには、次の手順を実行します。 アカウントで AWS Identity and Access Management ID によって実行された不正なアクションを特定します。 アカウントに対する不正なアクセスや変更を特定します。 不正なリソースの作成を特定します。 不正な IAM リソース (ロール、管理ポリシーなど) の作成や管理上の変更 (AWS Organization で作成された詐欺的な連結アカウントなど) を特定します。 その後、不正なアクティビティを確認できた場合は、この記事の「AWS アカウ
読み取りリクエストを複数の Amazon RDS リードレプリカに分散します
簡単な説明 Amazon Route 53 加重レコードセットを使用して、リクエストを複数のリードレプリカに分散させることができます。Route 53 ホストゾーン内で、リードレプリカに関連付けられた各 DNS エンドポイントに対して、個別のレコードセットを作成します。次に、同じ重みを付けて、レコードセットのエンドポイントにリクエストを転送します。 解決策 リードレプリカの DNS エンドポイント URL を検索します Amazon RDS コンソールを開きます。 ナビゲーションペインで[データベース]を選択し、リードレプリカをそれぞれ選択します。 [エンドポイント]の横にある DNS エンドポイント URL をメモ (またはコピー) します。 Route 53 ホストゾーンを作成します 注: ホストゾーンが既にある場合は、この手順をスキップしてください。 Route 53 コンソールを開
AWS Organizations の SCP とタグポリシーを使用する
AWS Organizations メンバーアカウントのユーザーが、サービスコントロールポリシー (SCP) またはタグポリシーを使用して AWS リソースを作成できないようにしたいと考えています。 簡単な説明 SCP は組織内のアクセス許可の管理には使用できますが、アクセス許可の付与には使用できません。詳細については、「サービスコントロールポリシー (SCP)」を参照してください。 タグポリシーは、Organizations のアカウントの AWS リソースで標準化されたタグを維持するために使用できます。詳細については、「タグポリシー」を参照してください。 解決方法 ユースケースに応じて、次の SCP ポリシーまたはタグポリシーを使用します。 タグポリシーを使用して既存のリソースへのタグ付けを防止する 既存のリソースのタグに影響する操作を実行すると、タグポリシーがチェックされます。例えば
SAML を使用して AWS コンソールに接続する
AWS で SAML 2.0 フェデレーションを使用する場合の一般的なエラーをトラブルシューティングするために SAML レスポンスをキャプチャして分析する方法を教えてください。 簡単な説明 アクティブディレクトリが正しく設定されていることを確認してください。詳細については、「AWS Federated Authentication with Active Directory Federation Services (AD FS)」を参照してください。 AWS アカウントへのフェデレーションアクセスを初めて設定する場合、AWS IAM アイデンティティセンターを使用するのがベストプラクティスです。 SAML 関連のエラーをトラブルシューティングするには、次の操作を行います。 ブラウザで SAML レスポンスを表示してデコードします。 デコードされたファイルの値を確認します。 エラーをチェッ
IAM ユーザーまたはロールを DynamoDB テーブルの特定の属性に制限する
AWS Identity and Access Management (IAM) のユーザーまたはロールが、Amazon DynamoDB テーブルにおける特定の属性にのみ、アクセスできるようにしたいと考えています。 簡単な説明 きめ細かなアクセスコントロール(FGAC)のための IAM ポリシー条件を使用します。FGAC を使用することで、DynamoDB テーブルでの読み取りと書き込み操作の両方について、個々の項目、もしくは項目の属性へのアクセスを制御できるようになります。 解決方法 定義済みの AWS 全体のキー と DynamoDB 固有のキー を使用すると、アクセスポリシー内で条件を指定できます。DynamoDB 条件キーに関する、一般的なユースケースの例を次に示します。 dynamodb:LeadingKeys: ユーザーが特定のパーティションキー値を持つ項目にアクセスできるよ
Athena で Load Balancer のログを分析する
Amazon Athena で Application Load Balancer のアクセスログを分析したい。 簡単な説明 Elastic Load Balancing では、デフォルトでアクセスログはアクティブではありません。アクセスログを有効にするには、Amazon Simple Storage Service (Amazon S3) バケットを指定します。すべての Application Load Balancer と Classic Load Balancer のアクセスログは Amazon S3 バケットに保存されます。ロードバランサーのパフォーマンスをトラブルシューティングまたは分析するには、Athena で Amazon S3 のアクセスログを分析します。 注: Athena では、Application Load Balancer と Classic Load Balan
秘密情報または機密情報を Amazon ECS タスクのコンテナに安全に渡す
Amazon Elastic Container Service (Amazon ECS) のタスクで秘密情報や機密情報をコンテナに安全に渡したいと考えています。 簡単な説明 機密性のあるデータをプレーンテキストで渡してしまうと、AWS マネジメントコンソール内や、DescribeTaskDefinition もしくは DescribeTasks などの AWS API を介して参照可能となるため、セキュリティ上の問題が発生する可能性があります。 機密情報は、環境変数としてコンテナに渡すことが、セキュリティ上のベストプラクティスです。Amazon ECS タスク定義内のコンテナ定義にある、AWS Systems Manager Parameter Store または AWS Secrets Manager に格納されている値を参照することで、コンテナにデータを安全に挿入できます。その後、機
AWS CLI 経由で MFA を使用してアクセスを認証する
解決方法 Multi-Factor Authentication (MFA) デバイスを使用して、アカウントとそのリソースを保護することをお勧めします。MFA デバイスの使用時に AWS CLI を使用してリソースとやり取りする場合は、一時セッションを作成する必要があります。MFA ハードウェアデバイスを使用している場合、値は GAHT12345678 のような値となります。仮想 MFA を使用している場合は、セキュリティ認証情報を表示して値を確認できます。arn:aws:iam::123456789012:mfa/user に似ています。詳細については、MFA ステータスのチェックを参照してください。 重要: セキュリティキーのサポートは、AWS マネジメントコンソールでのみ利用できます。詳細については、「FIDO セキュリティキーの有効化 (コンソール)」を参照してください。回避策とし
IAM ユーザー、ロール、および AWS アクセスキーのアクティビティを表示する
簡単な説明 特定の IAM アイデンティティのアカウントアクティビティを表示およびモニタリングするために、次の AWS サービスと機能のいずれかを使用できます。 AWS CloudTrail イベント履歴 Amazon CloudWatch Logs Insights Amazon Athena クエリ 解決策 CloudTrail イベント履歴を使用するには 注: CloudTrail を使用して、過去 90 日間のイベント履歴を検索できます。 1. CloudTrail コンソールを開きます。 2. [イベント履歴] を選択します。 3. [フィルター] で、ドロップダウンリストを選択します。その後、[ユーザー名] を選択します。 注: AWS アクセスキーでフィルタリングすることもできます。 4. [ユーザーまたはロール名の入力] テキストボックスに、IAM
AWS CLI を使用して SAML 認証情報の呼び出しおよび保存を行う
AWS コマンドラインインターフェイス (AWS CLI) を使用して、AssumeRoleWithSAML、AssumeRole、および AssumeRoleWithWebIdentity オペレーションから認証情報を取得したいと考えています。 解決方法 AssumeRoleWithSAML、AssumeRole、AssumeRoleWithWebIdentity から認証情報を取得するには、次の手順を実行して API を呼び出し、出力をテキストファイルに保存します。次に、その出力を使用して AWS CLI で API コマンドを呼び出します。 重要: AWS CLI コマンドの実行時にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。 role-arn および role-session-name のパラメータは必須です。 AssumeRole
Amazon EKS API サーバーの不正サーバーエラーの解決
kubectl コマンドを使用して、Amazon Elastic Kubernetes Service (Amazon EKS) アプリケーションプログラミングインターフェイス (API) サーバーに接続しています。「エラー: サーバーへのログインが必要です (不正)」というメッセージが表示されました。 簡単な説明 このエラーは、kubectl に設定されている AWS Identity and Access Management (IAM) エンティティが Amazon EKS によって認証されていない場合に発生します。 Amazon EKS クラスターへのアクセスは、使用する IAM エンティティ (ユーザーまたはロール) に基づいて、認証され、承認されます。ここでは、次の点を確認してください: IAM ユーザーまたはロールを使用するように kubectl ツールを設定した。 IAM
AWS Backup を使用して Amazon EC2 インスタンスを復元するときに表示されるエンコードされた認可エラーメッセージのトラブルシューティング
Amazon EC2 インスタンスを復元しようとするとき、「このオペレーションを実行する権限がありません」というエラーをトラブルシューティングするにはどうすれば良いですか? AWS Backup を使用して、AWS Backup の復旧時点から Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを復元しています。しかし、「このオペレーションを実行する権限がありません。AWS Backup ロールに関するアクセス権限を確認してください。詳細については AWS Backup のドキュメントを参照してください。」というエンコードされたエラーメッセージが表示されます。 解決策 通常、このエラーは、次の条件で発生します。 元の Amazon EC2 インスタンスにはインスタンスプロファイルがアタッチされています。 [ロールの復元] の [デフォルトのロー
CloudTrail のデータイベントと管理イベントの違いを理解する
AWS CloudTrail のデータイベントと管理イベントの違いについて教えてください。2 種類の CloudTrail イベントにはどのような違いがありますか。 解決方法 CloudTrail データイベント CloudTrail データイベント (「データプレーンオペレーション」とも呼ばれる) は、AWS アカウントのリソースで、またはリソース内で実行されたリソースオペレーションを示します。これらのオペレーションは、多くの場合、ハイボリュームなアクティビティです。 データイベントの例 Amazon Simple Storage Service (Amazon S3) のオブジェクトレベル API アクティビティ (GetObject、DeleteObject、PutObject API オペレーションなど) AWS Lambda 関数呼び出しアクティビティ (InvokeFuncti
Athena で Amazon S3 サーバーのアクセスログを分析する
解決策 Amazon S3 では、サーバーアクセスログがオブジェクトとしてS3 バケットに保存されます。Athena でサーバーアクセスログを分析し、S3 クエリを行うには、次の手順に従います。 有効になっていなければ、S3 バケットのサーバーアクセスログ記録を有効にします。[ターゲットバケット] と **[ターゲットプレフィックス]**の値を書き留めておきます。Athena クエリで Amazon S3 の場所を指定するには、両方が必要です。 注: ログオブジェクトキー形式では、日付ベースのパーティション化を選択して、分析アプリケーションとクエリアプリケーションを高速化します。 Amazon Athena コンソールを開きます。 注: 最初のクエリを実行する前に、場合によっては、Amazon S3 にクエリ結果の場所を設定します。 [クエリエディタ] で、DDL ステートメントを実行して
Athena テーブルを使用して CloudTrail ログを検索する
解決策 CloudTrail コンソールで Athena テーブルを自動的に作成します。詳細については、「Amazon Athena を使用した AWS CloudTrail ログ検索」を参照してください。 Athena テーブルを作成します 1. CloudTrail コンソールを開き、ナビゲーションペインで [トレイル] を選択します。S3 バケット名をメモしておきます。 2. ナビゲーションペインで [イベント履歴] を選択し、次に**[Athena テーブルを作成]**を選択します。 3. [Amazon Athena でテーブルを作成] ウィンドウで、[ストレージ位置] メニューを開き、CloudTrail ログファイルとともに Amazon Simple Storage Service (Amazon S3) バケットを選択します。 注:Athena で Cl
Amazon DLM を使用した EBS スナップショットの自動化のトラブルシューティング
簡単な説明 ライフサイクルポリシーがエラー状態になったり、Amazon Elastic Block Store (Amazon EBS) スナップショットの作成やコピーに失敗したりする一般的な理由は次のとおりです。 ライフサイクルポリシーが有効になっていない。 ポリシーに正しくないアクセス許可がある。 デフォルトの AWSDataLifecycleManagerDefaultRole 以外の AWS Identity and Access Management (IAM) ロールを使用していて、信頼関係に問題がある。 ポリシーに重複したタグがある。 ポリシーで定義されたタグが既に使用されている。 リソースが暗号化されている。 解決方法 注意: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用している
Python を使用して MQTT メッセージを AWS IoT Core にパブリッシュする
AWS IoT Core とデバイスまたは MQTT クライアントの間で MQTT (MQ テレメトリトランスポート) メッセージを送受信できません。MQTT メッセージを AWS IoT Core にパブリッシュする方法を教えてください。 簡単な説明 AWS IoT モノが正しく設定され、証明書が正しく添付されていることを確認します。セットアップをテストするには、AWS IoT MQTT クライアントとこの記事で提供されているサンプル Python コードを使用できます。 解決策 MQTT パブリッシングをテストするためのディレクトリを設定する 1.開発環境に作業ディレクトリを作成します。例: iot-test-publish 2.新しい作業ディレクトリに証明書用のサブディレクトリを作成します。例:certificates 3.コマンドラインから、ディレクトリを新しい作業ディレクトリに変
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS SSO Google Workspace IDP SCIM