週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベースのポリシー IAMユーザー IAMロール まとめ はじめに AWSにおいて認証・認可（権限の付与）を司るサービスと言えば IAM（Identity and Access Management）です。IAMではJSON形式でポリシーステートメントに具体的に許可したい操作、拒否したい操作を記述して認可（権限の付与）を行い、IAMユーザーやIAMロールに関連付けたりしてポリシーを適用します。今回は実際にポリシーを設計する際のポイントを考えて整理してみました。なおAWSが扱うポリシーはいくつかの種類と評価の優先順位がある

最近は1つの法人で複数AWSアカウント利用するケースが増えてきました。 AWS Configのようなサービスを有効化する場合、「リージョン数 × アカウント数」の設定が必要になります。 CloudFormationでコード化したとしても、「リージョン数 × アカウント数」を実行するのは一苦労です。 そこでCloudFormation StackSetsを利用し、一気に設定することにしました。 要件 利用しているアカウント・リージョンが多くても手間をかけずに設定したい AWS Configのログ（設定スナップショット、履歴）を1つのS3バケットに集約したい OrganizationにAWSアカウントを追加した場合も自動的に設定されるようにしたい 前提 AWS Organizationsで「すべての機能」が有効化されている 全体的な方針 AWS Organizationsに統合されたCloud

CS課佐竹です。 はじめに 仮想 MFA デバイス、U2Fセキュリティキー 2019年1月までのMFA強制 IAM Policy のベストプラクティス "iam:ListUsers"が問題になるシーン 実際の設定画面を確認する 現在のMFA強制 IAM Policy のベストプラクティス 新しく増えた My Security Credentials (セキュリティ認証情報) ページ 実際の設定画面を確認する DenyAllExceptListedIfNoMFA に iam:DeleteVirtualMFADevice が必要な理由 DenyAllExceptListedIfNoMFA に追加した他のActionについての説明 注意点 まとめ 2022年11月18日 追記（再掲） はじめに 皆様、IAMユーザにMFAを強制されているでしょうか？ MFA とは Multi-Factor Aut

Click here to read in English. 近年普及が進んでいるコンテナ仮想化技術ですが、HPCの領域においても利用が広がっています。大学のスパコンにDockerが導入される例も出てきていますし、AWS提供のAWS BatchもDockerベースのサービスです。 コンテナ仮想化のスタンダードとなりつつあるDockerですが、HPC用途で使用するにはいくつか課題があります。そのうちの1つが、コンテナ間でのMPI通信が難しいという点です。流体解析などのシミュレーションを大規模に実行する際には、複数台のサーバ（ノード）、複数のCPUを利用して並列処理を行いますが、この際に利用される通信規格がMPIです。これをDockerで利用するのが難しいため、HPC環境でのコンテナ導入のハードルとなっています。 そこでHPC用途に特化したコンテナとして登場したのがSingularityです。

宮澤です。 今回は、2017年10月24日にリリースされたBox CLIを利用するためのインストール手順を紹介したいと思います。 Box アプリケーションの作成 Box CLIを実行するためには、CLIを実行するための秘密鍵を発行する必要がります。 そのために、Boxアプリケーションの作成を行います。 まず、Box Developer Consoleへ移動し、右上の”Log In”からBoxのユーザー情報を利用してログインを行います。 ログイン後、”アプリの新規作成”ボタンを押します。 今回はCLIで企業内のユーザー作成などをCLIで行う想定で利用するため”企業統合”を選択して”次へ”を押します。 Box CLIでは"JWTを使用したOAuth2.0"認証を利用するので、こちらを選択して、"次へ"を押します。 アプリケーション名を入力して"アプリの作成"を押します。 作成が完了すると以下の

宮澤です。 今回は、kintoneとOneLoginを連携させて、ユーザーのkintoneへのログインをSAML認証にする手順を紹介します。 OneLoginの設定 OneLoginに管理者としてログインして、"APPS>Add Apps"を開きます。 検索欄に"Cybozu"と入力し、表示された"Cybozu"コネクタを選択します。 Display NameにOneLogin上の表示名を任意に設定し"SAVE"を押します。 "Configuration"タブに移動して、利用しているKintoneのサブドメインを入力します。 例では、https://mycompany.cybozu.com を想定しいてます。 "SSO"タブに移動し、以下の二つのURLをコピーしておきます。 ・SAML 2.0 Endpoint (HTTP) ・SLO Endpoint (HTTP) 次に、証明書をダウンロ

LT運営委員の礒です。 昨日一人暮らし3ヶ月目の我が家にとうとうちゃぶ台様が届きました。 家具がゆっくり揃っていくのも、常に新生活が楽しめてよいものです。 ちゃぶ台で食べるお鍋の美味しい季節になりましたね。 みなさま暖かくしてお過ごしください。 LT大会の概要 サーバーワークスでは、毎週金曜日にLT大会を開催しています。 配信の模様は、こちらのサーバーワークス公式チャネルでいつでもご覧になることができますので、ぜひチャンネル登録を！ サーバーワークス技術ブログでは、LT大会でこれまでに発表した資料を公開しています。（LT大会のタグからどうぞ） Youtubeにアーカイブされている動画とあわせてご覧ください。 LT発表資料について 2017/10/6(金)は、カスタマーサポート課でOJT中の礒、ストラテジックアカウント課でOJT中の原、営業部 事業開発担当の松本がLTを行いました。 『やって

はじめに AWS WAFをつかってみたいけど、設定が面倒くさいと思っているそこの貴方に、朗報です。 流すだけで、AWS WAFのいい感じの設定がされるCloudFormationのテンプレートが提供されています。 AWS WAFの概要 AWSでは、WEBアプリケーションファイアウォール機能(AWS WAF)が提供されており、CloudFrontもしくはALBに適応して使用することができます。 通常、手動でAWS WAFを構成する場合、conditionとアクションを組み合わせたRulesをユーザ自身が構成し、Web ACLと呼ばれる適応単位を作っていく必要があります。 AWSから、この構成を自動化し、さらに「AWS WAF セキュリティオートメーション」と呼ばれるCloudFormationテンプレートが提供されています。 AWS WAF セキュリティオートメーションの概要 AWSの公式ペ

技術一課の鎌田(兄)です。 サーバーワークスでは月に1回、社内で技術の勉強会を、「技術共有会」という名前で実施しています。 今月、私もActive Directoryについて、お話させていただきましたので、その時の資料を皆様にも公開致します。 資料 こちらになります。 概要 資料では、次の点について、まとめています。 Active Directory基礎の基礎 Active Directoryの機能 Active Directoryと認証認可 まとめ Active Directoryは、各企業様でも活用されるかと思うのですが、運用が難しい、意外と機能が多い、などのお話をよく伺います。 Active Directoryを含めた、クラウド時代のID管理についてもご支援できますので、是非お問い合わせください。

MSP課の平(@mana_cat )です。夏休み企画第二弾のエントリーになります。 今回は、Speaker pHATを準備して、音声合成ファイルを再生する手順を紹介します。 もちろん、Speaker pHATを所有されていなくてもRaspberry Pi Zeroや2、3 がお手持ちのスピーカーに繋がっている(音声が出力可能)な状態でしたら、本エントリーの後半「音声合成に必要なパッケージのインストール」の手順からでも楽しめるようになっていますので、ぜひ参考にしてください。 Speaker pHAT とは Speaker pHAT はGPIOピンに装着するタイプのHATです。このpHATは、I2S DAC とモノラルアンプ、小型8Ω 2Wスピーカー、LED10個を搭載しています。音声がハッキリと聞こえるので、これ1枚で外出先で音声を流したり、インターネットラジオを聴いたりと活用可能です。 ま

技術2課の寺田です。 最近涼しいですね。お盆も仕事なのですが(代わりに自由に3日間取れる夏休みがあります)、これだけ涼しいと快適です。 でも、もっと涼しく快適なところを求めて、標高2000mの美ヶ原高原で仕事にトライしてみました。 クラウドワークスタイルとは 一般的には テレワーク と言われるものを、サーバーワークスではどこからでも利用できる クラウド と掛けて、 クラウドワークスタイル と言っています。 ざっくりとした制度の概要としては、前日のお昼までに上長承認は必要ですが、 家でも、コワークでも、カフェでも、生産性が上がるならどこでも仕事してOKな制度です。 社内ではみんな活用してる 社内ではかなり活用されていて、簡単に検索しただけでも以下のようなblog記事がヒットします。 クラウドワークスタイルとクラウドワークマインド サーバーワークスが取り組む、一歩先の「働き方改革」 新卒二年目

MSP課の平(@mana_cat )です。夏休み企画第三弾のエントリーはAnsible Towerの紹介です。 Red Hat社の製品、Ansible Towerを検証しましたので数回に分けて紹介します。 今回は以下の二点をご紹介します。 Ansible Tower 8つの特長 Ansible Tower のインストール手順 (1) 構成管理ツール Ansible Towerとは？ Ansible Towerとは、Red Hat社が提供する運用管理の自動化を支援するための製品です。 Playbook によるタスクの自動実行により手作業によるミスをなくし、作業者の負担を減らすことができます。また、権限管理により権限の適切な分離と、実行履歴の可視化も可能となります。 生産性の向上に貢献し、運用自動化によるエンジニアの働き方の改善にも繋がるであろう製品でしょう。 Ansible Tower 8つ

こんにちは、セールスサポート課の山下です。 サーバーワークスに勤めて数年経ちますが初めてブログを書いています。 会社の仲間には直子さんと呼ばれています。自己紹介はこのあたりに。 クラウドワークスタイル推奨日での社内の取り組み 皆さんの会社で「働き方改革」の実現に向けて何か対策を始めたり、新たに制度を作る等の活動を行っていますでしょうか？ おそらく、改革のために会社として動きだしている企業さんはまだまだ少ないと思います。 今回は、先日７月24日の「テレワーク・デイ」に全社で活用したテレワークの結果や社員の意見、働き方改革そのものについての考えなどをお伝えできればと思い書いてみました。 また、エンジニアの鎌田(瑞)さんが「新卒二年目だけどテレワークを活用するメリデメを考えてみた」というエントリーを書いていますので、こちらもご覧くださいませ。 さて、弊社代表より以下の通達があり、7月24日は「ク

こんにちは、カリフォルニアオフィスの臼坂です。ブログ第二弾として、シリコンバレーについて書いてみました。 皆さんは、シリコンバレーと聞いて、どんなところだと思いますか？ 私は、初めてシリコンバレーに来るときに、インテル、アップル、グーグル、オラクル、アドビ、フェイスブック等々、ハイテク企業がひしめき合う地域ということで、高層の近未来的なビルが立ち並ぶ街を想像していました。 ところが実際に来てみると、高層ビルなんてものは数えるほどしかなく、殆どが平屋の建物だったり、2階建てや3階建てだったりと予想とは違い、何か普通の街並みで驚いたことを覚えています。 （アドビとオラクルは、高層ビルだったので、ある意味予想通りと言う感じでした） ようやく最近になって、5階から10階建て程度のビルが建ち始めた感じです。 また、恥ずかしい限りですが、私が初めてシリコンバレーに来た時、シリコンバレーというのはハイテ

二年目になりました、技術一課の鎌田（瑞）です。 我が課にもOJTとして新入社員が回ってきているので、どうしたら先輩っぽく見えるか日々試行錯誤しています。 目次 テレワークとは メリット デメリット まとめ テレワークとは 今日はテレワーク・デイということなので、サーバーワークスでは普段テレワークをしない社員含め、ほとんどの社員が自宅で仕事をしています。 http://teleworkgekkan.org/day0724/ 今回はそのテレワークについて書いてみます。 さて、テレワークとはどんな意味なのでしょうか？ wikipediaより引用してきました。 テレワークあるいはテレコミューティングとは、勤労形態の一種で、情報通信機器等を活用し時間や場所の制約を受けずに、柔軟に働くことができる形態をいう。 また、テレワークで働く人をテレワーカーと呼ぶ。 https://ja.wikipedia.o

こんにちは、LT大会運営委員の山﨑です。 最近一気に夏っぽい気候になってきましたね。 私は夏が好きなので、存分に満喫しようと思います！ LT大会の概要 サーバーワークスでは、毎週金曜日にLT大会を開催しています。 配信の模様は、こちらのサーバーワークス公式チャネルでいつでもご覧になることができますので、ぜひチャンネル登録を！ サーバーワークス技術ブログでは、LT大会でこれまでに発表した資料を公開しています。（LT大会のタグからどうぞ） Youtubeにアーカイブされている動画とあわせてご覧ください。 LT発表資料について 2017/7/30(金)は、初のお昼回ということで、12時よりLTを実施しました。 発表者は、マーケティングコミュニケーション課の相枝、MSP課の平、セールスサポート課の篠原となります。 『はたらくシングルマザーが考える "こんなの"があったらいいな』 相枝のLT資料です

こんにちは。takada@福岡オフィスです。 今日は、2017/6/30に開催されたQUNOG 8に行ってきたので、簡単にレポートします。 QUNOGとは 九州沖縄地域のネットワークオペレータグループで、「キューノグ」と発音します。 今回は、8回目の開催で、QUNOG 8として、福岡大学 中央図書館で開催されました。なんと、今回は、NTPがメインテーマでした。 発表レポート 福岡大学公開NTPサーバーの現状と課題 NTP業界（?）では誰でも知ってる福岡大学のNTPサーバ。その構成の変遷や、現状のトラフィック内容の発表でした。NTPだけで160Mbpsのトラフィックがあるというのは驚きでした。OpenWRT(2005年時点)に公開されていたソースコードに、福岡大学のNTPサーバのIPアドレスが記載されていたらしく、そのコードを元に開発された廉価版のブロードバンドルータが、福岡大学のNTPサー

みなさんこんにちは！ サーバーワークスのIoT担当の中村です。 今回の記事もIoT関連の記事です。タイトルがちょっとアレですが、オフィスでの働き方についてのお話です。サーバーワークスの東京オフィスは仕事の効率を上げるために、様々な工夫が凝らされています。そこで、「実際の所どうなのか」と思った私が社員の動向をトラッキングした結果、効率に繋がる何かが見えてきた、という話です。 話は遡り、2015年の東京オフィス移転の話から始まります。少々前置きが長く恐縮ですが、しばしお付き合いください。 ※前置きを飛ばして本題から読む方はコチラ オフィス移転プロジェクト サーバーワークスの東京オフィスは、2015年3月末に江戸川橋から飯田橋に移転しました。引っ越しの際には新しいオフィスのデザインやレイアウトに関わりたい人たちがタスクフォース(特定の課題に取り組むためのチーム)を組み、結果的に素晴らしいオフィス

サーバークスCEOブログ　大石蔵人之助の「雲をつかむような話」は、 「はてなブログ」へ移行致しました。 旧ブログ記事のURLからお越しの皆様は自動で新ブログへ転送されます。 転送されない場合、恐れ入りますが下記URLから移動をお願い致します。 新URL：https://ceo.serverworks.co.jp/ 引き続き、大石蔵人之助の「雲をつかむような話」を宜しくお願いいたします。