注意点 安さが光る HDD ストレージオプションですが、2 点ほど注意点をあげておきます。 スループットキャパシティの選択 FSx for Windows File Server にはストレージキャパシティ料金以外にスループットキャパシティ料金がありますが SSD/HDD の料金差はありません。（価格表） また、最小構成（2 TiB）におけるディスクスループットがベースライン 24 MBps, バースト時 160 MBps になりますので、32 MBps より上のスループットキャパシティを選択する場合は、その有効性を検討する必要があります。 引用元：Amazon FSx for Windows File Server Performance スループットキャパシティは図中の ネットワークスループット/IOPS を決める部分になります。ディスクスループットがそれほど高くないことから、あまり高

コンバンハ、千葉（幸）です。 Cloud Watch Logsのロググループには、ログの保持期間を定義する「保持設定（Retention settings）」というパラメータがあります。 保持設定は、CloudWatch Logs にログイベントを保持する期間を指定するために使用できます。期限切れのログイベントは自動的に削除されます。メトリクスフィルターと同様に、保持設定はロググループに割り当てられ、ロググループに割り当てられた保持期間はそのログストリームに適用されます。 Amazon CloudWatch Logs の概念 デフォルトでは「期限なし」が設定されているため、明示的に削除しない限りロググループ内のログは保持され続けます。S3に置いておくよりもお値段が少し張るので、きちんと必要な保持期間のみに抑えておきたいものですが、マネジメントコンソールから手動で変更していくのはちょっと面倒

今回は小ネタの紹介です。 AWS CLI v2 の出力を表示する際、ページ分割（pager）が効いてると思います。 $ aws iam list-roles Roles: - Arn: arn:aws:iam::xxxxxxxxxxxx:role/admin AssumeRolePolicyDocument: Statement: - Action: sts:AssumeRole Effect: Allow Principal: Service: ec2.amazonaws.com Version: '2012-10-17' CreateDate: '2018-10-17T16:43:37+00:00' Description: Allows EC2 instances to call AWS services on your behalf. MaxSessionDuration: 360

先日のストリーミングズンドコ記事が面白くて、Kinesis Data Analytics を触ってみたくなりました。 これまで Kinesis Data Analytics を使った経験はないので初心者目線でまとめてみたつもりです。同じように「これからはじめてみよう！」という方の参考にもなるかと思います。 Kinesis Data Analytics とは？ 簡単に言ってしまうと、SQL や Java(Apache Flink) を使ってストリーミングデータに対してリアルタイム分析を行うことが出来るマネージドサービスです。 サービスとしては 2016年8月に GA になっていますが、東京リージョンで利用可能になったのは 2019年1月 ですので、まだ 1年ちょっとですね。 ユースケースとしては「ストリーミング ETL」「継続的メトリック生成」「リアルタイム応答分析」など、幅広いストリーミン

次に、HTTP API の場合ですが、VPC リンクの実態は ENI です。 ENI は作成しても追加費用はありませんし、データ処理料金の発生もありません！(AZ 間通信などの通常料金は発生します) REST API の構成図（例） REST API の場合、Private Link による接続ですので、API Gateway 側の ENI は VPC 外ということになります。 HTTP API の構成図（例） HTTP API の場合、API Gateway の基盤ネットワークからターゲットの VPC 内に ENI で延伸することになります。 図を見て解るとおり、HTTP API の各ターゲットリソースとして許可するのは VPC 内に伸びてきた ENI からの通信になります。よって、VPC リンクにアタッチされているセキュリティグループや、サブネットの CIDR を許可すると良いでしょう

大規模な環境で利用されているユーザにとっては嬉しいアップデートですね！ なお、上記の新料金体系は 2020年3月1日 より適用されているとのことです。 CloudTrail の最適化 上記ボリュームディスカウントは大規模な環境でなければ恩恵がありませんが、その他にも CloudTrail の最適化も導入されています。 これらの最適化により脅威検出のために処理されるイベントが少なくなりますので、すべてのユーザでコスト削減に繋がることになります。 第3ラウンドということで、CloudTrail 最適化による改善は継続的に行われているようですね！(第1ラウンド、第2ラウンド) まだ使っていないという方！ 今すぐ有効化しましょう！ コストが気になるという方は、是非、以下の記事をお読みください。30 日間の無料トライアルで実環境のコストを明確に確認することもできます。 アクセスキー漏洩の事故によるお

先日、API Gateway の HTTP API が GA　をご紹介する記事を書きました。 今回は GA 版より追加されたプライベート統合を使って、プライベートサブネット内の ECS (Fargate) の API をコールするところまでを試してみます。 構成図 やりたいことは、以下の図のとおりです。HTTP API から VPC リンクを介して、プライベートサブネット内の NLB 配下の Fargate を API コールします。 事前準備 事前にプライベートサブネット内に Fargate 環境は構築済みです。 単純にポート番号 1234 で受けて、 Hello, Classmethod!! を返すだけのコンテナです。 $ curl localhost:1234 Hello, Classmethod!! NLB は internal タイプで作成しています。 $ dig hello-n

みなさん Macie 使ってますか？ え。読み方知ってますよね・・（震え声 Amazon Macie は S3 のオブジェクトを機械学習によって機密データの検出、クラス分類、不正アクセスの危険性があるものをアラートで配信してくれる非常に便利なサービスです。 冒頭、「使ってますか？」と聞いたものの、残念ながら東京リージョンにはまだ来ておらず、利用できるのはバージニアとオレゴンのみです。早く東京リージョンに来て欲しいサービスの 1 つですね。 今回、Macie を使うなかでアラートの誤検知に遭遇する機会がありましたので、その際に行った対処等についていご紹介したいと思います。 Macie について 「Amazon Macie って何だっけ？」という方は、是非、以下の記事をあわせてお読みください。ちょっと古い記事にはなりますが、それほどアップデートも多くないので概要を把握するには十分な記事となって

本日、Amazon Managed Blockchain（以下、AMB）が東京リージョンで利用可能になりました！ Amazon Managed Blockchain is now available in the Asia Pacific (Tokyo) region 先日、Asia pacific としては初のシンガポールリージョンで利用可能になった、という記事を書いたばかりですが。 今後は国内から AMB を利用する場合はシンガポール・リージョンを選択するのが良さそうですね。 とか シンガポール証券取引所のようなビッグユーザーがいるからシンガポールなのかなぁ、、と思ったりもしますが、Asia Pacific 向けにということで考えると、東京、韓国（ブロックチェーン大国！）、シドニー、ムンバイなどの中間に位置するシンガポールは都合が良いというのもありそうですね。 とか、知ったようなこと書

Working with Stages for HTTP APIs Lambda ペイロードバージョン2.0 Lambda プロキシ統合でペイロード形式バージョン2.0をサポートするようになりました。ペイロードバージョン2.0は、Lambda に送信されるイベントオブジェクトの形式を簡素化します。HTTP API ではデフォルトでペイロードバージョン2.0を使用します。 OpenAPI/Swagger サポート OpenAPI または Swagger構成ファイルのインポートをサポートするようになりました。サポートされたことにより、他の API Gateway サービスから HTTP API への移行が容易になります。 AWS SAM のサポート 2020年3月20日までに、これらの GA で追加された機能が AWS SAM でサポートされるとのことです！ AWS SAM support f

注意点 クラスターの停止しても、ストレージ料金は課金されます 以下の種類のクラスターは一時停止できません EC2 Classic クラスター Active ではないクラスター（たとえば Modifying の状態など） HSM クラスター 自動スナップショットが無効になっているクラスター 公式ガイドを読むかぎり、RDS のように 7 日間後に自動起動する、といった制約は見当たりませんでした。 やってみる 手動による一時停止 Redshift の管理コンソールを開き、対象のクラスターを選択。[Actions] のメニューをみると [Pause] が追加されていますね。停止は以下の 3 パターンで指示できるようです。 Pause now Pause later Pause and resume on schedule まずは Pause now で実行してみます。 しばらく待つと・・・ 停止で

今回は S3 バケットへのアクセスを特定 IAM ロールからのみに限定して利用する機会がありましたので、設定方法と検討したあれこれをご紹介します。 やりたいこと 構成図はこんな感じ 前提条件 IAM ロールと S3 バケットは同一アカウントに存在する IAM ロールには S3 を管理する権限がアタッチされている 今回は AmazonS3FullAccess　ポリシーをアタッチしています NotPrincipal でやってみる 「特定 IAM ロール以外は制限する」という考え方でパッと思いつくのは、以下のような NotPrincipal で制限する方法かと思います。 バケットポリシー { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "NotPrincipal": { "AWS": "arn:aws:iam::xxxx

本日のアップデートにより、AWS Config の管理対象に Amazon SNS が追加されました。 AWS Config support for Amazon SNS is now available in AWS Commercial and AWS GovCloud (US) Regions アップデートの内容 今回、AWS Config に追加されたことによって、Amazon SNS のトピックにおいて、以下のような設定変更を追跡できるようになります。 トピックのアクセスポリシー 所有権 バージョン タグ 暗号化設定 サブスクリプションの詳細 これらの変更によってトリガーされる AWS Config ルールを作成することで社内のガバナンスポリシー、コンプライアンス基準、およびベストプラクティスに準拠しているかどうかを確認することができます。 対象リージョン タイトルのとおり、すべ

本日より、Amazon Managed Blockchain(以下、AMB) がシンガポール・リージョン(ap-southeast-1)で利用可能になりました。 Amazon Managed Blockchain is now available in the Asia Pacific (Singapore) region 簡単な確認ですが、AWS コンソールでもサポートリージョンに追加されていますね。 何が嬉しいのか これまで AMB はバージニア・リージョン(us-east-1)でのみ提供されていました。AMB は以下図のように、リージョン内の VPC から PrivateLink を介して AMB の基盤へとアクセスします。 単純に距離が遠くなると、レスポンスに時間が掛かるという話です。 国内から利用の場合、バージニアよりもシンガポールの方が断然近いので、レスポンスの改善が期待されま

本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト（Anonymous IP List) のルールが追加されました。 AWS WAF adds Anonymous IP List for AWS Managed Rules 何が嬉しいのか Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。 アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域

先日、AWS Config の管理コンソールを新バージョンにすると Advanced query のサンプルクエリ数が 16 から 58 に増えて便利ですよ！ という記事を書きました。 記事のなかで、「Aggregate 機能を使うことで複数のリージョン、複数のアカウントのリソースを取得できるので非常に便利です！」と、さらっと書いていたのですが、どうやら機能アップデートだったようです。本日のアップデートリリースが流れてきて気づきました。 Introducing AWS Config multi-account, multi-region support for advanced query ということで、あらためてマルチアカウント、マルチリージョンでの Advanced query についてシェアしたいと思います。 何が嬉しいのか AWS Config としてのマルチアカウント、マルチリー

前回、本番環境向けの CI/CD パイプラインとして承認プロセスを設けたパターンをご紹介しました。 環境によってはこれで十分かもしれませんが、より厳格に運用されている環境においては「2 名以上の承認が必要」といった要件もあるのではないでしょうか。今回は CodePipeline で 2 名以上の承認を必要とするパイプラインの実装方法をご紹介したいと思います。 イメージ こちらの実装を行うにあたり、以下のサイトを参考にさせていただきました。 Enforcing the 'Two-Person Rule' with AWS CodePipeline (UPDATED) やってみる 今回の構成においてポイントとなるのは以下 2 点の実装です。 承認者 A　(承認グループ A) が承認プロセス B の承認を行えないこと（その逆も然り） 承認者が同一でないこと それでは実装していきましょう。 承認プ

AWS Config には現在のリソース設定などを SQL で取得できる高度なクエリ機能(Advanced queries)があります。 これまで 16 のサンプルクエリが提供されていたのですが、AWS Config の管理コンソールを新しいバージョンに切り換えると一気に 58 まで増えて、超絶便利になりました！ 今回は執筆時点で提供されているサンプルクエリをざざっとご紹介します。 新コンソールの切り替え AWS Config の管理コンソールが旧バージョンの場合、以下のリンクをクリックして新バージョンに切り替えてください。 サンプルクエリ一覧 名前 説明

まだアップデートリリースは流れておりませんが、NLB でスティッキーセッションが利用可能になったようです。 ソースは以下、公式のドキュメントヒストリーになります。 ただし、残念ながら執筆時点では東京リージョンでは未だ使えないようですね。対応リージョンは下記のとおりです。（いつもとはラインナップが違うので、EU 圏 で要望が強かったのでしょうか…？） 対応リージョン パリ アイルランド ストックホルム 何がうれしいのか 通常、ロードバランサーを経由したリクエストはその都度、ターゲットのインスタンスに振り分けられるのですが、継続的なユーザーエクスペリエンスを提供するために State 情報をローカルに保持したいケースでは、同じクライアントからのリクエストは前回と同じインスタンスに振り分ける必要があります。そのようなときにスティッキーセッションが用いられます。(ALB の例ですが、スティッキーセ

どうも、大阪オフィスの丸毛（@marumo1981）です。 re:Invent 2019 のレポートまとめ記事は既にあったのですが、『公開動画に対して、レポート記事があるかないかの一覧』が欲しいなぁ、とふと思ったので作成しました。(軽い気持ちではじめたことを後悔するくらいに動画もレポート記事も多かった。。) 基本的には執筆時点の公式のプレイリストを参考にリストを作成していますが、公式のプレイリストには無かった『AI と機械学習（AIM）』なども動画を探してリストに追加しました。一方で、数が多かったスポンサーセッション(セッションコード xxx-S)や、現地セッションではない事前収録セッション(xxx-P)はレポート記事があるものだけを記載しています。 セッションタイトルは邦題にしたほうが良いんだろうなと思いつつ、リンクの数で心が折れてしまったので、各自 Google ページ翻訳などご利用く