2つのVPCエンドポイントの違いを知る | DevelopersIO
ゲストブロガーの佐々木拓郎(@dkfj)です。小ネタシリーズの第三弾として、VPCエンドポイントをテーマにします。VPC内からS3などのVPC外にあるAWSサービスをアクセスする場合、インターネットゲートウェイを経由する方法と、VPCエンドポイントを経由する方法の2通りの手段があります。このVPCエンドポイント、実は2種類あるのご存知でしょうか?今日はその辺の解説です。 目次 目次 2種類のVPCエンドポイント ゲートウェイ型のVPCエンドポイントを試してみる ゲートウェイ型のVPCエンドポイントの意外な構造 まとめ 2種類のVPCエンドポイント まず始めにVPCエンドポイントの種類です。ゲートウェイ型とインターフェイス型の2種類があります。ゲートウェイ型は最初に出たVPCエンドポイントで、S3とDynamoDBが対応しています。インターフェイス型は、それ以降に出てきたサービスで50種類以
AWS×コンテナで基本的なDevSecOpsアーキテクチャをデザインしたお話 - How elegant the tech world is...!
はじめに 先日、僕が担当する業務でECS/Fargate利用を前提にDevSecOpsアーキテクチャをデザインし、社内のAWS勉強会にて登壇する機会をいただきました。 本ブログでも内容をかいつまんでご紹介できればと思います。 AWSによらず、コンテナを利用されている方にとって、一つのプラクティス例としてご参考になれば幸いです。 ※コンテナ自体の説明や必要性に関する内容は省略していますm(_ _)m そもそもDevOpsとは? DevSecOpsの導入意義をお伝えするた前に、まず軽くDevOpsの意義をお伝えします。 ※とは言え、この記事をご訪問されている方にとっては「何をいまさら...」な内容かもしれませんし、ググればDevOps自体の情報はたくさん見つかりますので、重要なポイントのみ述べることにします。 DevOpsとは、一言で述べれば、開発チームと運用チームが協力してビジネス価値を高め
AWS Fargateでコンテナ間通信させたいとき - Qiita
$ ecs-cli compose service up --launch-type FARGATE WARN[0000] Skipping unsupported YAML option... option name=networks WARN[0000] Skipping unsupported YAML option for service... option name=networks service name=mysql WARN[0000] Skipping unsupported YAML option for service... option name=networks service name=wordpress ERRO[0001] Error registering task definition error="ClientException: Links are
Dropboxはなぜ「AWS」からオンプレミスへの回帰を選んだのか
関連キーワード Amazon S3 | IaaS | ストレージ IaaS(Infrastructure as a Service)やPaaS(Platform as a Service)といったクラウドサービスにシステムやデータを移行させる動きは拡大の一途をたどっている。それに逆行するようにクラウドサービスからオンプレミスに回帰する「脱クラウド」に踏み切る企業もある。 併せて読みたいお薦め記事 クラウドストレージの選定ポイント 「クラウドストレージ」3大選定ポイント AWS、Azure、GCPかニッチクラウドか AWS、Azure、GCPの「クラウドストレージ」を比較する3つのポイント 「脱クラウド」についてより広く “脱クラウド”を成功させる5つのポイント 「脱クラウド」はなぜ起きる? “コスト”や“運用管理”における企業の悩み ひかりTVが「クラウドストレージ」をやめて「オンプレミス
「ついに来た!Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020 | DevelopersIO
こんにちは、臼田です。 みなさん、インシデントの調査やっていますか?(挨拶 今回はオンラインで2020年6月16日より開催しているDevelopers.IO 2020 CONNECTにおいてAmazon Detectiveの紹介とガッツリデモを含んだ動画を公開したのでそちらを紹介します! 動画 解説 前置き スライドは最後尾に乗せています。が、デモの内容をバッサリカットしているので動画を見ていただくのが一番いいです。 今回は事前に収録できるということで、思う存分見せたい内容、伝えたい内容を乗せてみました。普段デモをやるのはけっこう大変なためやっていませんので、今回は私の中では珍しい内容です。 そして、お見せできないようなデータはモザイクをかけられるので、気にせず公開することができるのも動画投稿のいいところですね。 以下の内容は主に動画をこれから見る方向けです。 今回のコンセプト 2020年
AWS API Gateway v2 の Terraform構成 | 外道父の匠
AWS には API Gateway っていう、その名の通り API を作るのに便利なサービスがあるのですが、最近ちょっと用事があって利用しようとしたら、v2 としてHTTP対応されていたので飛びついてみました。 今回はそれをTerraformで構築したのですが、どうも v2 に関してあまり情報がまとまっていなかったので、まずはベースとなるリソースのコードを記載して、次回にどんな感じで扱ったかという中身について触れていければと思います。 API Gateway とは この辺を読んでおくとよいと思います。私のとこは実戦叩き上げ野郎によるコピペ用コードがウリなので、細かい説明はすっ飛ばして他に任せるスタイルです。 高速、低コストで、より良いAPIの構築 – HTTP APIが利用可能(GA)になりました | Amazon Web Services ブログ よくある質問 – Amazon API
あなたの組織に最適なコンテナデプロイ方法とは?〜ECSにおけるデプロイ最新機能てんこ盛り〜
AWSにおけるコンテナワークロード運用のデファクトスタンダードの地位を確立したECS。 デプロイ方法も進化を続け、CodeDeployとALBで連携したB/Gデプロイやカナリアリリースにも対応し、そのデプロイにおける柔軟性はEKSに勝るとも劣りません。 そんなECSですが、手段が豊富になったこともあり現…
用に Amazon S3 に保存されているアーティファクトのサーバー側の暗号化を設定する CodePipeline - AWS CodePipeline
デフォルトの S3 キーを使用している場合、この AWS マネージドキーを変更または削除することはできません。でカスタマーマネージドキーを使用して S3 バケット内のアーティファクトを AWS KMS 暗号化または復号する場合は、必要に応じてこのカスタマーマネージドキーを変更またはローテーションできます。 Amazon S3 は、バケットに格納されているすべてのオブジェクトに対してサーバー側の暗号化が必要な場合に使用できるバケットポリシーをサポートしています。例えば、SSE-KMS を使用したサーバー側の暗号化を要求する s3:PutObject ヘッダーがリクエストに含まれていない場合、次のバケットポリシーはすべてのユーザーに対し、オブジェクト (x-amz-server-side-encryption) をアップロードするアクセス許可を拒否します。 { "Version": "2012
Terraformを使ってAmazon GuardDutyを全リージョンで有効化する - Qiita
こんにちは。 STORES.jp のSREチーム所属の清水です。この記事は STORES.jp Advent Calendar 2019の7日目の記事です。Amazon GuardDutyをTerraformで扱う方法を紹介します。 GuardDutyとは STORES.jp では、GuardDutyというAWSサービスを利用しています。GuardDutyは、悪意ある操作や不正な動作を継続的にモニタリングする脅威検出サービスです。様々な不審なアクティビティを検知して通知をしてくれるので運用に役立っており、全てのAWSリージョンでGuardDutyを有効にしています。 GuardDutyは、AWS公式でも全てのリージョンでの有効化が強く推奨されているサービスです。 GuardDuty は、サポートされているすべての AWS リージョンで有効にすることが強く推奨されています。 ハッカーは侵入に
GuardDutyを設定してメンバーアカウントを招待してみた #reinvent | DevelopersIO
はじめに こんにちは植木和樹@上越妙高オフィスです。AWS re:Invent 2017で発表されたGuardDutyを早速してみよう!ということでやってみました。 Amazon GuardDuty とは - Amazon GuardDuty Amazon GuardDuty は、VPC フローログおよび AWS CloudTrail イベントログを分析および処理する継続的なセキュリティモニタリングサービスです。 GuardDutyでどのように脅威を検知するのか、技術的な解説については下記のブログをご参照ください。 https://dev.classmethod.jp/cloud/aws/aws-reinvent2017-guardduty-intro-sid218/ 前準備 前述したとおり対象のAWSアカウントでCloudTrail, VPC Flowlog, DNSクエリログが有効にな
GuardDuty が検出した脅威をいい感じに Slack へ通知する | はったりエンジニアの備忘録
AWS re:Invent 2017 で発表された脅威検出サービスの GuardDuty はもう試されましたか? 発表されたその日に有効化してみましたが、さっそく意図せずオープンになっていたポートへの攻撃が検出されました。幸いポートスキャンされただけで実害はありませんでしたが、GuardDuty で検出されなかったら気づくことはなかったと思います。 ところで、GuardDuty が検出した脅威は AWS Management Console で確認できますが、メールや Slack でプロアクティブに通知する機能はありません。 AWS あるあるですが、通知したければ自分で仕組みを作る必要があります。 いつも参考にさせてもらっている Developers.IO の「GuardDuty を設定してメンバーアカウントを招待してみた」にもこんな感想がありました。 いまの状態だと、毎日 GuardDu
IAM ユーザーのアクセスキーを管理します。 - AWS Identity and Access Management
ベストプラクティスは、アクセスキーのような長期的認証情報を作成するのではなく、IAM ロールなどの一時的なセキュリティ認証情報を使用することです。アクセスキーを作成する前に、長期的なアクセスキーの代替案を確認してください。 アクセスキーは、IAM ユーザーまたは AWS アカウントのルートユーザー の長期的な認証情報です。アクセスキーを使用して、AWS CLI または AWS API (直接または AWS SDK を使用) にプログラムでリクエストに署名することができます。詳細については、「API リクエストに対する AWS Signature Version 4」を参照してください。 アクセスキーは、アクセスキー ID (例: AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS CodeArtifact concepts - CodeArtifact
Sending and receiving events between AWS accounts in Amazon EventBridge - Amazon EventBridge
test-event-pattern — AWS CLI 1.34.19 Command Reference
EventTypes.html
AWS: Mejore el registro de CloudTrail para el rol asumido
金融系サービスで ECS/Fargateを設計するということ
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
How to Rotate Access Keys for IAM Users | Amazon Web Services