【Azure AD】AWS Client VPN の SSO環境構築 - サーバーワークスエンジニアブログ
こんにちは、クラウドインテグレーション部 技術1課 宮形 です。 先日、別BLOGの検証目的で Microsoft Azure Active Directory (以下 AzureAD と記) の評価ライセンスを取得しました。 無料評価期間が終わる前に、せっかくなので AWS でSSOとかIDフェデレーションとか、クラウドエンジニアリングっぽい事に使ってみたいと思いました。 ということで、AWS で利用することが多い AWS Client VPN の認証を AzureAD でおこなう検証を行いました。その検証手順・結果を本BLOGで ご紹介します。 対象 検証内容 参考資料 前提条件 AzureAD アプリケーションの登録 AzureAD VPN許可ユーザーの登録 AWS IDプロバイダ の登録 AWS ACM SSLサーバー証明書の発行 AWS セキュリティグループの設定 AWS クライ
AWS Client VPN のコンポーネントを絵に描いて理解しつつ NetworkACL や SecuriryGroup をどこまで絞れるのか試してみた | DevelopersIO
AWS Client VPN のコンポーネントを絵に描いて理解しつつ NetworkACL や SecuriryGroup をどこまで絞れるのか試してみた コンバンハ、千葉(幸)です。 AWS Client VPN は、VPC 上の AWS リソース、および VPC を経由した対向の環境への安全なアクセスを提供する マネージドな クライアントベースの VPN サービスです。 以下のイメージのように、Client VPN のエンドポイントを VPC に関連付けることで、各種環境へのアクセスが可能になります。 AWS Client VPN の仕組み - AWS Client VPNより ユースケースのひとつとして、いわゆる踏み台サーバの代替として使用する、というものがあります。プライベートサブネット上のサーバに対してアクセスしたい場合、パブリックサブネットに踏み台を建てそこを経由する、というの
AWSアカウントとVPC、分ける? 分けない?: 分割パターンのメリット・デメリット | DevelopersIO
分割の基準を2つに絞っても、9パターンもありました。各構成を1つずつ見ていきましょう。 1. 単一のAWSアカウントを使う この構成パターンは、一見単純です。しかし、すべてのシステムを1つのAWSアカウントの中に構築するため、アカウント内の環境はかなり複雑になります。 1-1. 単一のAWSアカウント、単一のVPC default VPC以外のVPCを1つ明示的に作り、その中に複数のシステム、複数の環境を混在させる構成です 1-2. システムの種類と環境の用途でVPCを分割 システムの種類でVPCを分け、さらに本番用と開発用など環境の用途によってもVPCを分ける構成です 1-3. システムの種類でVPCを分割 システムの種類によってVPCを分けますが、開発環境や本番環境を1つのVPC内に構築する構成です 1-4. 環境の用途でVPCを分割 環境の用途によってVPCを分けますが、複数の異なる
【AWS】Terraformを使って、CloudFrontを構築する!
TerraformでCloudFrontを作成する方法を解説します。 目次 環境 処理の概要 静的サイト公開用のS3バケットを作成 CloudFrontのアクセスログ格納用のS3バケットを作成 CloudFrontの作成 Terraformの実行 環境 Terraformを使用します。ソースコードの構成は以下の通り。 |-- main.tf ←モジュールを読み込むトップのファイル。 `-- modules |-- cloudfront.tf ←CloudFrontを設定するファイル。 |-- iam.tf ←バケットポリシーを設定するファイル。 `-- s3.tf ←S3バケットを設定するファイル。 GitHub また、Terraformのトップファイルは以下の通りです。共通の設定のため解説は割愛します。 【AWS】AssumeRoleしてTerraformをより安全に実行する! ./ma
【AWS/CloudFront/S3/Cognito】静的ウェブサイトにCognitoの認証をつけたい(dbt) - データベース技術調査ブログ
タイトルの内容に入る前になぜこのようなことをしたいかという背景を少し語ります。 最近DWHをいかにアジャイルに構築して運用していくかについて考えています。商用のツールを使えばいいアプローチはいくらでもありますが、この手のツールはとても高価なイメージがあります。 そこで目に入ってきたのがdbt (data build tool) というOSSです。 dev.classmethod.jp dbtというツールはいくつもいい点があるのですが、一番好きななのはドキュメントを自動生成してくれるというところにあります。 dbtはOSSのCLI版とSaaS版があります。 www.getdbt.com チーム版は開発ユーザ当たり50$/月ということで、そこまでお高くはない気がしますが、そもそもあまりクラウドサービスをがっつり使うことに抵抗があったりする場合もあるなと思ったりします。(そんな抵抗ない場合は使う
AWS CloudFront で Google認証を利用する
前回 Amplify で簡単に SSG のビルド、デプロイができたが、認証周りを追加しようとするとアプリのAWS依存度が上がってしまうので、しょうがないので複雑に作ってみる。 Lambda@Edge を利用して認証処理を組み込む今回の用途的にアプリに認証機能をもたせたいのではなく、サイトへのアクセスは問答無用で認証処理入れたい アプリ自体がSSGとした場合、S3のWebホスティング、CloudFront という構成自体は Amplify とやってることは同じで問題はなく、 CloudFront で認証処理を挟もうとすると Lambda@Edge でできるみたい。 他 ALB をリダイレクトサーバ的に使う手法も有るみたいだけど、料金的には Lambda@Edge の方がやすそうだし、ALBの使い方としてそれはあんまり推奨されない気がするので。 環境の用意ソースは CodeCommit で管理
中国本土で Amazon CloudFront の使用が可能に
Amazon CloudFront で、中国での CloudFront のローンチが発表されました。北京、上海、中衛の 3 か所のエッジロケーション (POP) があり、Ningxia Western Cloud Data Co. Ltd.(NWCD) によって運営されます。お客様は中国本土のエンドビューワー向けコンテンツを、さらに向上したレイテンシー、可用性、セキュリティで提供できます。 中国の CloudFront は、Amazon S3、Elastic Load Balancing、Amazon EC2 など任意の AWS オリジン、またはカスタムオリジンとの連携が可能です。中国の CloudFront POP は、北京と寧夏という 2 つの AWS 中国リージョンに専用ネットワークによって接続され、AWS オリジンからのコンテンツのフェッチの信頼性とパフォーマンスが向上しています。
AWSも支援--プログラミング言語「Rust」人気が拡大
Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子 編集部 2019-11-04 08:30 AWSによる支援は、Rustチームに「AWSプロモーション・クレジット」を提供するという形態をとる。Rustチームはこのクレジットを用いてAWSのインフラを利用して、同言語を開発していくというわけだ。 RustコアチームのメンバーであるAlex Crichton氏は、「Rustプロジェクトが長年使ってきているAWSによってRustのインフラが支援されるのは、非常に喜ばしいことだ」と述べている。 Crichton氏は「この支援によってRustは、コンパイルした成果物の配布や、crates.ioクレートのダウンロード、すべてのプロセスの結合に必要なプロジェクト内での自動化のために、AWS上でインフラをホストし続けられるようになる。これらのサービ
CloudFront+S3で署名付きURLでプライベートコンテンツを配信する | DevelopersIO
はじめに S3をWebコンテンツの置き場所として使う場合、Webアプリケーション側でそのS3上のコンテンツに対するPre-signed URLを生成することで、Webアプリケーションで認証されたユーザに限りコンテンツにアクセス可能とするような仕組みを作ることは良くあります。 ただしこのS3アクセス用として生成したPre-signed URLは、CloudFrontを経由した形では使えません。 CloudFront経由で、限られたユーザのみS3からコンテンツを取得出来るようにするためには、CloudFront用の署名付きURLを発行する必要があります。 そこで今回は、CloudFront+Amazon S3を組み合わせて、署名付きURLを使った制限されたコンテンツ(プライベートコンテンツ)の配信を試してみました。 やってみる 今回試したことは、以下のAWSのドキュメントを参照しながら行ってい
AWS をどう使わずにおくか - portal shit!
ジョブキューイングシステムをどうするかでチームのリーダーとやりあって考えたことがあるのでまとめておく。 Rails で使うジョブキューイングシステムの技術選定で、リーダーは Amazon SQS 推し(レガシーシステムで SQS を使っている)、自分は Sidekiq 推しだった。前職時代に Sidekiq を使ってトラブルに遭遇したことはなかったし、とても簡単に使えるので Sidekiq で十分だと思っていた。 Sidekiq は GitHub でのスター数は 9000 オーバーで、 Rails の ActiveJob バックエンドとしては事実上のデファクトスタンダードだといえると思う。ググれば情報がいっぱい出てくるし、チームメンバーもリーダー以外は全員 Sidekiq の使用経験があった。 GitHub - sidekiq/sidekiq: Simple, efficient back
AWS、ベアメタルサーバ「i3.metal」を正式サービスとして提供開始
Amazon Web Services(AWS)は、同社として初めてのベアメタルインスタンス「i3.metal」を正式サービスとして提供開始したと発表しました。 ベアメタルインスタンスとは仮想化ハイパーバイザを使わず、物理サーバをそのままユーザーが利用できるサービス。同社が一般向けにベアメタルインスタンスを提供するのは初めてです。 仮想化ハイパーバイザを使わないため、仮想化によるオーバーヘッドのない高い性能やサーバのハードウェアに直接アクセスするようなアプリケーション、ユーザー自身によるさまざまな仮想化ハイパーバイザの利用、クラウドに対応しないようなソフトウェアライセンスへの対応など、さまざまな利用形態が可能になります。 i3.metalは72vCPU(36コア)を提供する2.3GHzのXeonプロセッサ、512GBメモリ、15.2TBのNVMe SSD、最大25GbpsのElastic
AWS で Kubernetes クラスタを構築して学ぶワークショップ「aws-workshop-for-kubernetes」 - kakakakakku blog
Kubernetes を学ぶため,AWS から公式に公開されているワークショップ資料「aws-workshop-for-kubernetes」を試した.Kubernetes を学ぶためのコンテンツが網羅的にあるため,今回はワークショップの紹介と,実際に試した一部のコンテンツをまとめたいと思う.既に Kubernetes を詳しく知っている人であれば早く進められるかもしれないけど,Kubernetes 初心者だと,理解しながら進めることになるので,全コンテンツを終えるのはかなりの時間が必要になる気がする.ワークショップ資料は全て GitHub に公開されていて,誤植などがあれば,プルリクエストを送ることもできる. github.com なお,ワークショップ資料は AWS Technical Evangelists の「グプタ先生」がメインで作成されていて,それだけでもうモチベーションが上がる
Cloudcraft – Draw AWS diagrams
Automatically create AWS and Azure architecture diagrams in secondsTry Cloudcraft FreeRequest a Demo Whether you’re building a cloud architecture from scratch, documenting your current environment, or looking to optimize cloud cost, Cloudcraft allows you to visualize and communicate your architecture with ease. Build diagrams from scratchCreate a professional architecture diagram in minutes with a
Amazon.co.jp: Amazonのクラウドエンジニアが選ぶ技術書: 本
本 の優れたセレクションからオンラインショッピング。
» アダルトサイトをAWSで運用する時に信頼性と料金節約を両立する為のノウハウ | アダルトサイト制作会社
弊社で大規模なアダルトサイトの運用を行う上でのAWS利用構成を紹介させて頂きます。 利用料金を抑えたいというビジネス的な観点と、サービスを止めない為の障害回避を念頭に構成を紹介します。 関連:AWSのt2.microで月間100万PVに耐えるアダルトサイトを制作した話 この記事は技術者向けの内容になっています。 システム開発の発注をお考えの方は、こちらアダルトホームページ制作のご案内をご覧下さい。 サービスを止めない為のAWS利用構成 サービスを止めない事は弊社では2つの思想によって設計をしております。 障害を防ぐ為の堅牢な設計とする 障害が起きた時に瞬時に復旧、あるいは回避する 前者はイメージしやすいと思いますが、弊社では後者のフェイルオーバーも非常に大事であると考えています。 システム障害が起きない様にスペックを十分に確保する等は当然の事ですが、 万が一障害が発生した場合に即座に代替機
なぜAWS LambdaとRDBMSの相性が悪いかを簡単に説明する - Sweet Escape
2020/01/20 Update: 本エントリの内容は2019年12月3日にアナウンスされた『Amazon RDS Proxy』のリリースにより完全に陳腐化しました。過去のアンチパターンがフィードバックをもとにした改善によってアンチパターンではなくなるという最高の事例です。 サーバーレス元年始まった! 今年がサーバーレス元年な理由. それはLambdaに以下が揃ったから. ・カスタムランタイムで実質どんな言語でも利用可能 ・VPC利用時のコールドスタート改善 ・Provisioned Concurrencyでスパイク対応も可能 ・RDS ProxyでRDBとの接続が現実的に これまで5年で受けたフィードバックがついに結実. 強い— Keisuke Nishitani (@Keisuke69) 2020年1月19日 RDS Proxyの詳細はこちらからどうぞ。まだプレビューですがぜひ試して
AWS REST リクエストの署名についてメモ
AWS の REST API のリクエストでは署名(signature)を使って、API のセキュリティチェックを行っている。 サービス開始時に Version 1(いまは使われていない) が公開されたあと、2, 3, 4 という合計4種類が存在する。 この署名の仕様をメモ。 version 1 最も古い Version 1 ?Action=CreateQueue &QueueName=queue2 &AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE &SignatureVersion=1 &Expires=2007-01-12T12:00:00Z &Version=2006-04-01 というような PARAM=VALUE がずらずらと並んだ GET リクエストを考える。 STEP1 パラメーターを大文字/小文字を無視して辞書順にソート。 ?Action=Creat
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米国防クラウド大型案件、AmazonでなくMicrosoft受注 - 日本経済新聞
AWS Summit Tokyo 2017 セッション資料・動画一覧 | AWS
https://jp.techcrunch.com/2017/03/03/20170302aws-cloudsplains-what-happend-to-s3-storage-on-monday/
