ちゃだいん（@chazuke4649）です。 先日 【8/17（火）リモート開催】AKIBA.AWS ONLINE #06 – AWS IAM 編- にて、AWS IAMについて登壇しました。その際のスライド資料や動画を共有します。 スライド資料 動画 ※アップロードが完了次第更新します 補足情報 基本的に今回の発表は以下ブログを元ネタとし、一部抜粋して紹介しています。合わせてこちらのブログもどうぞ。

IAM PolicyのConditionにaws:CalledViaというキーが追加されました。どういったキーなのかご説明します。 一言でいうと 「特定のサービス経由で実行している/いない」という権限付与の条件が設定可能になりました。 具体例を出して説明します。 これまで: aws:CalledViaが無い世界 CloudFormation（以下CFn）を使って、VPCを作成したいとします。 CFnテンプレートは至極シンプルです。 AWSTemplateFormatVersion: "2010-09-09" Description: Create VPC Resources: VPC: Type: AWS::EC2::VPC Properties: CidrBlock: "192.168.0.0/16" EnableDnsSupport: "true" EnableDnsHostnames

既にS3バケットにログを収集しているんだけど、このままだとSIEM on Amazon ESで分析できない? こんにちは、のんピ です。 前回、以下の記事を投稿しました。 内容は、SIEM on Amazon ESのスタックが作成したログ収集用S3バケットに、CloudTrailや、VPC Flow Logs、FSx for Windows File Serverのファイルアクセス監査ログを保存して、可視化するといったものです。 以下、AWS公式ドキュメントの図を見ると、ログ収集用S3バケットのデータ保存は3パターンがあることがわかります。 抜粋: SIEM on Amazon Elasticsearch Service - アーキテクチャ Kienesis Data Firehoseを使用して、ログ収集用S3バケットにログを転送する サービスのログの出力先を、ログ収集用S3バケットに指定

はじめに 大阪オフィスの川原です。 AWS Organizations の SCP(サービスコントロールポリシー)の継承 について、 仕組みを学びましょう。 前提知識 AWS Organizationsは マルチアカウントを統率するためのサービス です。 組織単位(OU) による アカウントのグループ化や、 サービスコントロールポリシー(SCP) によるグループ単位のサービス制限が可能です。 – 画像: AWS Organizations の用語と概念 | AWSドキュメント OUとは 組織単位(Organizational Unit: OU) は AWSアカウントのグループ化 を実現する要素です。 OU 配下に他OUをぶらさげる、ツリー構造を構築できます。 SCPとは サービスコントロールポリシー(SCP)は OUまたはアカウントに指定するポリシー です。 OU/アカウントで実行できるサ

コンバンハ、千葉（幸）です。 突然ですが問題です。 以下の条件があったとします。 同一の AWS アカウントに S3 バケット A と IAM ユーザー A が存在する IAM ユーザー A の Permissions boundary には AWS 管理ポリシーViewOnlyAccessが設定されている ここで、IAM ユーザー A が S3 バケット A に対してPutObjectを実行したいとします。（補足しておくと、ViewOnlyAccessにはPutObjectの Allow は含まれていません。） 以下のうち、アクションの結果について最も適切に説明しているものを選択してください。 IAM ユーザー A の Permissions policy で適切な Allow が設定されていればアクションは成功する S3 バケット A のバケットポリシーで適切な Allow が設定され

困っていた内容 IAM ユーザーのセキュリティを強化する施策を実施したいと考えています。MFA の有効化を全 IAM ユーザー必須にすることを検討しています。 アクセスキーを使用する IAM ユーザーで後から MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ますか？ 既存の処理が停止してしまうのは困りますので、影響の有無を確認したいです。 どう対応すればいいの？ アクセスキーを使用する IAM ユーザーで MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ません。 ただし、MFA を有効化する際に、合わせて MFA を強制する IAM ポリシーを付与した場合、既存の処理に影響が出ます。 MFA を強制する IAM ポリシーの例は下記の記事を参照してください。 多要素認証(MFA)するまで使えません！なIAMユーザを作成してみた | Developers

日本でも始まった新型コロナウイルスのワクチン接種。しかし、予約の実態を調べると、そのハードルの高さや自治体ごとに異なる予約方法など、ITやアクセシビリティの課題が見えてきました。 結論 1700の自治体が全て異なる。 職員の方の負担がとても大きい。 アクセシビリティを改善する必要性あり。 今IT業界ができることは何か改めて考える機会となった。 両親のワクチン接種予約がなかなか取れない ある日、高齢の両親に電話で「ワクチン接種どうするの？」と聞いたら、「接種券がすぐに来たから、かかりつけの医者に電話で予約する」とのことで、思ったよりも早くワクチン接種できそうで安心していました。しかし、約1ヶ月経過したある日、ワクチン接種はまだ出来ていなくて、予約すらもできていない。指定された予約開始日に電話してもずっと話し中で、なかなか繋がらない。予約専用のWebサイトもあると聞いていたけど、かかりつけの医

コンバンハ、千葉（幸）です。 2021/4/27 に、JAWS-UG 初心者支部 #36 が しくじり LT というテーマで開催されました。 イベントの概要はこちら。 AWS初心者がやってしまいがちな失敗談を募集します。 過去の失敗事例 初心者が落ち入りそうな事例 初心者が不安に感じそうだけど、XXすれば大丈夫だよ。というセーフティネット的な事例 ハンズオンで高額請求きちゃった事例 失敗は成功のもと！！ みなさんの失敗例を、活かして頂ける場になれば幸いです！！ 次回以降のハンズオン初心者のアドバイスになるネタがあれば嬉しいです！！ ホットなしくじりを持つ AWS 初心者のわたしは、ここぞとばかりに申し込み、登壇することにしました。 プロローグ やぁ、僕はどこにでもいる平凡なエンジニア。ある日 急に、IAM ロールを 1000 個作りたいな、って思ったんだ。みんなもきっとそんなこと、あるよね

コンバンハ、千葉（幸）です。 IAM Access Analyzer によるポリシーチェックが可能になりました。 これまでアクセスアナライザーによる分析対象としてリソースベースポリシーがサポートされていたのですが、今回の新機能では IAM ポリシーと SCP（サービスコントロールポリシー）に対するチェックができるようになっています。 何が変わったのか 従来のアクセスアナライザーができたのは「リソースベースポリシーが外部からアクセス可能なパーミッションになっていないか」の検証でした。 現時点でサポートされているリソースタイプは以下の通りで、これらに対してアカウント外（もしくはOrganizations外）のプリンシパルからのアクセスが可能となっていないかを、自動的にチェックしてくれます。 S3 バケット IAM ロール KMS キー Lambda 関数とレイヤー SQS キュー Secret

コンバンハ、千葉（幸）です。 AWS Config の適合パックは、AWS Config ルールや修復アクションの組み合わせをテンプレートで定義し、一括でデプロイ・管理できる機能です。 裏側では CloudFormation が呼び出されていることもあり、テンプレートは CloudFormation のものと同じような構文で書くことができます。 ただ、それをマネジメントコンソールからデプロイする際には CloudFormation のデプロイの場合とお作法が異なる部分があります。今回はそれについて書きます。 適合パックの詳細は以下をご参照ください。 目次 CloudFormation テンプレートにおけるパラメータ Config 適合パック テンプレートにおけるパラメータ 実は書きたいことは少し違った 終わりに CloudFormation テンプレートにおけるパラメータ パラメータを使用

こんにちは、臼田です。 みなさん、AWS環境の監査してますか？(挨拶 現在行われているre:Invent 2020で監査に非常に役に立つ新サービスであるAWS Audit Managerがリリースされたので説明しつつ、実際に使ってみましたので中身も紹介していきます！ AWS Audit Managerとは 以下で紹介されました。 AWS Audit Manager Simplifies Audit Preparation | AWS News Blog AWS Audit Managerは次のように説明されています。 一般的な業界標準と規制のための事前構築されたフレームワークを提供し、監査の準備に役立つ証拠の継続的な収集を自動化するフルマネージドサービスです。 例えばPCI DSSやGDPR、HIPAAなどの様々な業界標準や規制の対応のためには、様々なAWSリソースの利用状況を収集してまと

コンバンハ、千葉（幸）です。 何かとコンフォーマンスしがちな今日この頃、いかがお過ごしでしょうか。 AWS Config の適合パック（コンフォーマンスパック）というものについて、最近知る機会がありました。適合パックについて、公式ブログでは以下のような説明があります。 適合パックを使用すると、コンプライアンスルールのパッケージを作成することができます。このパッケージはAWS Config ルールと修復アクションの両方を単一のエンティティにまとめたもので、大規模な展開を容易にします。そして、これらを組織全体に展開し、顧客や他のユーザーと共有できます。さらに、適合パックによりコンプライアンス・レポートも簡素化されます。これからは適合パックレベルでのレポートが可能になり、そこから従来通り個別のルールやリソースのレベルへ詳細化していくことも可能です。既存のレポート機能はすべてそのまま機能したままで

[アップデート] 委任したメンバーアカウントで Config ルール/適合パックを Organizations 組織全体にデプロイできるようになりました はじめに 特定のメンバーアカウントをOrganizations 組織の 「委任管理者」 に指定することで、 メンバーアカウントからConfigルール/適合パックを組織全体にデプロイ できるようになりました。 なにが嬉しいのか？ 組織全体の Configルール/適合パックの展開・管理をメンバーアカウントで行えるようになりました。 「最小限の特権の原則」のセキュリティベストプラクティスに基づいて、メンバーアカウントに委任できます。 もう少し詳しく Config ルール/適合パック は Config で管理しているリソースが「あるべき姿に準拠しているかどうか」 をチェック(場合によって修復) するために役立つ機能です。詳細は下記が参考になります

こんにちは、鈴木(純)です。 困ったこと AWS ConfigをCloudFormationから管理しようと思った時、既にConfigが設定されていて以下のようなエラーが出力されていました。どうやらAWS::Config::ConfigurationRecorderとAWS::Config::DeliveryChannelは1つまでしか作れないらしいです。 それじゃあ消せばいいじゃんと思ってコンソールを確認してみたのですが、無効化するような項目が見つからない… 調べてみると、どうやらGUI上からは削除できないっぽい？ というわけでCLIから削除を行うことにしました。上記の記事ではCLIから削除できるコマンドが紹介されていたので、それを全リージョンで実行できるようにします。 今回CLIの実行はCloudShellからやっていきます。 作成したコマンド 以下のコマンドを実行すると、有効化されて

ちゃだいん（@chazuke4649）です。 先日スマホを見てるとこんな記事を見つけました。 AWSのリソースとそれに関する支出の管理を容易にする新しいサービスVantageが、米国時間1月12日にステルスを脱した。このサービスはユーザーに、AWSの複雑なコンソールに代わるものを与え、AWSの標準的なサービスであるEC2のインスタンス、S3のバケット、VPCs、ECS、そしてFargate、およびRoute 53のホストゾーンといったほとんどすべてをサポートしている。 引用元）AWSのリソースとそれに関する支出の管理を楽にするVantage | TechCrunch Japan 「へー。どんな感じなんだろう。」 ということで実際に触ってみました。 ちょっと余談ですが、 "Vantage" という名前を聞いたときは、何のことか分からずセクシーなコスチュームのことを想像しただけだったのですが、

はじめに 最近はYouTubeでの配信も珍しくなく、凝った人になると3Dモデルを用意してのVTuberデビューになることも増えました。とはいえ、倣って始めたくても機材や動画編集の手間等、ブロガーを始めるよりもゴールが見えづらいものです。 ゲームの報酬に釣られた形になりましたが、スマホ一個で始められる「Mirrativ」にてゲームプレイ配信をやってみました。色々と制約はありつつも、ゲームプレイでもいいからとりあえず配信してみたいという人にはおすすめのプラットフォームです。 配信の手順から気をつけるべきこと等、試しに触れてみたい方向けにまとめてみました。 Mirattivで配信を始めてみる まずはインストールしてみましょう。 iOS Android 以降iPhoneベースでの説明となります。 配信開始まで アプリ起動後に登録を行いますが、手間を省きたい場合はAppleIDでの登録で問題ありませ

ペアプロやモブプロする時はどのように実施していますか？ みんなが1箇所に集まって同じディスプレイを見ながらペアプロするのが一般的かと思いますが、リモートワークや物理的な拠点が異なる場合など、なかなか集まることができないこともあるかと思います。 私自身も、東京と札幌で拠点が離れているメンバーとプロジェクトを進めているので、なかなか1箇所に集まることができません。 集まることができなくてもペアプロしたいと思い、Visual Studio Live Share を利用してみましたので、紹介させていただきます。 公式ドキュメント バージョン情報 Visual Studio Code 1.39.2 Visual Studio Live Share 1.0.826 事前準備 Visual Studio Live Share拡張をインストールします。 拡張機能をインストールする Live Shareを始

しばた a.k.a. PowerShellおじさんです。 re:Invent 2020 先日のWerner VogelsさんのキーノートでAWS CloudShellのリリースが発表されました。 AzureやGCPといった他社クラウドには同様の機能がすでにあったため待ち望んでいた方も多かったのではないかと思います。 私も以前からAzure Cloud Shellを利用していたのでAWSに実装されることをずっと待ち望んでおり非常に嬉しい限りです。 既に弊社社員による「試してみた」記事がいくつか公開されていますが、本記事ではひとりのPowerShell使いから見たAWS CloudShellについて述べていきたいと思います。 AWS CloudShellでSLを走らせてみた #reinvent | Developers.IO [速報] AWS CloudShellでEmacsをインストールして

しばたです。 PowerShellのモジュールはUpdate-Moduleで更新した際に過去バージョンを残す仕様となっています。 例えば私の開発PCでAWSPowerShell.NetCoreモジュールのインストール状況を確認すると、 # インストール済みの AWSPowerShell.NetCore モジュール全バージョンを取得 Get-InstalledModule -Name AWSPowerShell.NetCore -AllVersions この様にVer.3.3.522、Ver.3.3.542、Ver.3.3.553と3つのバージョンがインストールされていることがわかります。 古いバージョンのモジュールを一括削除する この仕様は新しいバージョンに不具合があった場合に古いバージョンに切り戻せる様にするためのものですが、古いバージョンが溜まり続けるとディスク容量を圧迫しますので、最

はじめに 待ち望んでいたアップデートです。 Security Hubの Organizations 組織内 セットアップ/管理がより簡単になりました。 何が嬉しいか 今まで Security Hub は(Organizations 関係なく) マルチアカウント利用が可能でした。 マスターアカウント/メンバーアカウントの関係を作ることで、 マスターアカウントの Security Hub 上で メンバーアカウント分のセキュリティチェック(検出結果)を確認・操作できます。 しかし、マスターアカウント/メンバーアカウントの関係を作るには 事前にメンバーアカウントでも Security Hubを有効化しておく マスターアカウントが各メンバーアカウントへ招待を送る 各メンバーアカウントがその招待を受諾する 上記プロセスを経て実現していました。 AWS Organizations など利用しているような