Terraformでstateファイルの格納先を分離したいときのTips
はじめに Terraformを使用してAWSリソースを構築する際に、コンプライアンス上の理由により、実際にAWSリソースを作成する対象となるAWSアカウントと、stateファイルを保管する対象になるS3バケットを分離したい、なんていう要件が発生することがよくあります。 実際に業務でそういった要件が発生し、どうしたものかとちょっと悩んだのですが、意外と簡単に解決することができたので、Tipsとして書き残しておきます。 環境 実装している環境は以下の通りです。 Terraform: 1.7.3 AWS Provider: 5.36.0 クライアントのOS: macOS Sonoma 14.3.1 Profileの設定 Profileの設定は、他のTerraform実行環境と同様に、macOSであれば ~/.aws/config に記述しますが、今回はAWS IAM Identity Cente
AWS Vaultを使ったスイッチロール設定手順 | Precena Tech Book
defaultプロファイルでIAM ユーザーによるログインをし、some-profileというプロファイルに設定しているAWSアカウントにスイッチロールする、という構成を前提に、本記事は記載します。具体的には以下の設定を前提とします。 コピー% cat ~/.aws/config [default] region = ap-northeast-1 output = json cli_pager=cat [profile some-profile] source_profile = default role_arn = arn:aws:iam::1234567890:role/some_role_for_delegation mfa_serial = arn:aws:iam::987654321:mfa/someone@example.com コピー% cat ~/.aws/credenti
aws-vaultを使った複数のAWS環境管理術
こんにちは、へたれです。 株式会社AidemyでModeloyという伴走型のDXプロジェクト内製化支援サービスを提供するチームに所属しています。 クラウドインフラをメインに、バックエンドからフロントエンドまで幅広く携わっています。 複数のプロジェクトに横断的に関わっており、頻繁に作業環境を切り替えることも多い中で、どのように管理しているか記事にしました。 TL;DR 自社のテスト環境や複数のお客様向けにAWS環境をセキュアに管理するために以下の方針を採用 シークレットキーの管理はaws-vaultを使う profileを使い分け、素早く環境の切り替えが行えるようにする Terraformの実行はaws-vault exec <profile-name> -- terraform planを使う。 CodeCommitの切り替えは.github/configを使う。 はじめに Modeloy
Best practices for using the Terraform AWS Provider - AWS Prescriptive Guidance
Michael Begin, Senior DevOps Consultant, Amazon Web Services (AWS) May 2024 (document history) Managing infrastructure as code (IaC) with Terraform on AWS offers important benefits such as improved consistency, security, and agility. However, as your Terraform configuration grows in size and complexity, it becomes critical to follow best practices to avoid pitfalls. This guide provides recommended
スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ | Amazon Web Services
AWS Startup ブログ スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ こんにちは、スタートアップ ソリューションアーキテクトの松田 (@mats16k) です。 今回のテーマはマルチアカウント(複数の AWS アカウントの利用)です。近年セキュリティやガバナンスの強化を目的にマルチアカウント構成で AWS を利用されているお客様が多くいらっしゃいます。また、AWS もマルチアカウントでの運用を推奨しており、関連する多くのサービスや機能がリリースされています。 一方で、マルチアカウントに関する作業や知見はプロダクトの価値向上に対して直接的な影響を与えることが少なく、結果として対応や検討が後回しになっているスタートアップも多いのではないでしょうか。今回は特にシード・アーリーステージのスタートアップ向けに、マルチアカウントに対する考え方と
S3にTerraforのtfstateファイルを置いて複数のAWS環境から使用する | WAKU'S Notebook
概要 Terraform の tfstate ファイルを S3 に置いて使用する方法はよく見かけるのですが、複数のAWS環境(異なるクレデンシャル情報)から使用する方法が見つからなかったのでメモしておきます。 想定シーン 開発チームのメンバーは主にAWS環境はアカウントNo.1234-1234-1234を使用している。運用チームのメンバーは主にAWS環境はアカウントNo.5678-5678-5678を使用しているが、他にも複数のAWS環境を運用している。今回、開発チームが開発したアカウントNo.1234-1234-1234も運用することとなった。 その際、アカウントNo.1234-1234-1234の監視用のDatadog Organizationも運用することとなった。Datadog は Terraform で設定されており、その Terraform も一緒に運用チームに回ってきた。ただ
terraformでディレクトリごとにAWSアカウントを切り替える
現在複数のAWSアカウントを利用する機会があり、terraformでディレクトリごとにAWSアカウントを設定するためdirenvを使用していたんですが、terraform標準の機能に切り替えた記録です。 前提 IAM自体は事前に作成済みの状態で進めさせていただきます MacOSでの解説になります セキュリティリスクを未然になるべく減らしたい 今回管理方法を変えた個人的な理由として未然にセキュリティリスクを減らしたいというものがありました。direnvは学習の際参考書籍で使用されていたのでそのまま参考にしてローカルで使用しておりました。しかしAWSのアクセスキーとシークレットキーという漏れたらAWSアカウントを乗っ取られ不正利用される恐れのある情報をプロジェクトディレクトリに置くという形になっていました。もちろん.gitignoreでgit管理から外したり、リモートリポジトリをプライベートに
AWS Lambda でも Rails で Web 開発 - エムスリーテックブログ
本日はコンシューマチームのブログリレー2日目です。 エムスリーエンジニアリングG コンシューマチームの松原(@ma2ge)です。 今回は以前筆者が M3 Tech Talk で話した AWS Lambda での Web アプリ開発に Rails を使う内容について、 若干内容を変えつつ Tech Blog の方でも紹介をしたいと思います。 最近使っているキーボードの様子 現在のチームで担当している主要なアプリは Rails で書かれていて、ほとんどがコンテナ化され Amazon ECS(ECS) と Fargate を使って運用されています。 そんな中今年の初めに AWS Lambda(Lambda) に適したプロジェクトが話にあがりました。ただ Rails で Lambda しかも Web アプリとなるとあまり採用事例を耳にしません。 とはいえ使い慣れている Rails をそのまま生かし
AWS App Runnerがそろそろ本番環境でも使い物になりそう|AWS|開発ブログ|株式会社Nextat(ネクスタット)
こんにちは、ナカエです。 某所のLTでApp Runnerの紹介をしてきたのでブログ記事でも紹介します。 AWS App Runner概要 AWS App Runner は2021年5月にリリースされた、コンテナ化されたウェブアプリケーションのフルマネージドサービスです。GitHubのリポジトリからのソースコードベースのデプロイとECRからのコンテナベースのデプロイに対応しています。 バックエンドはECSでも利用可能なFargate(Firecracker VM)となっています。 参考: https://dev.classmethod.jp/articles/report-con406-reinvent2022/ ECSとの違い ECS/Fargateと比較すると、AWS App Runnerのほうがユーザー側が責任を追う範囲がより小さくなります。AWSにお任せして楽ができるトレードオフと
AWS マルチアカウント管理を実現するベストプラクティスとは ? 第 2 回 ~ Landing Zoneの実現方法 - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
みなさんこんにちは。builders.flash ビジネス×クラウド担当 ソリューションアーキテクトの柳です。 前回は、「AWS アカウント管理」のベストプラクティスについてお話しして、以下のようにまとめました。 Landing Zone は AWS のベストプラクティスに基づいて構成したアカウントを、スケーラブルに展開していくための仕組みで、マルチアカウント戦略を実現するものです。 Landing Zone の実現方式として、AWS Control Tower を使用するか、独自実装するかの 2 つの選択肢があります。 前回に引き続き、今回は Landing Zone を実現するための具体的な方法をお話します。なお、本記事では「AWS アカウント管理」におけるベストプラクティスの全体像を掴んでいただくことを主眼に置いています。本記事で全体を理解していただいたのちに、個々の詳しい説明 /
Using Cognito User Pool as an OpenID Connect Provider
Couple of weeks ago I was involved in a hackathon which involved integrating two Cognito user pools together. During my investigation I discovered that Cognito user pool supports OAuth2 for user authentication. This post will outline how you can use Cognito user pool as an OIDC provider as well as how you can connect two user pools together. Who is this post for? This post is for you if you: Have
[アップデート] Mountpoint for Amazon S3 が GA されました。 | DevelopersIO
αリリースとなっていた高スループットが求められる環境向けの AWS 製 S3 マウントツール「Mountpoint for Amazon S3」が一般公開されました。 こんにちは、AWS事業本部の平木です! 少し前より、αリリースとして公開されていた Mountpoint for Amazon S3 が GA (一般公開)されたため執筆しました。 αリリース分のブログは下記をご覧ください。 Mountpoint for Amazon S3 とは Mountpoint for Amazon S3 は、Linux アプリケーションが直接 Amazon S3 バケットへのファイルベースでの接続を可能にするオープンソースのファイルクライアントです。 これにより、大規模な読み込み負荷のあるアプリケーション(例えばデータレイク、機械学習トレーニング、画像レンダリング、自動運転車シミュレーション、ETL
![[アップデート] Mountpoint for Amazon S3 が GA されました。 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/26ddcbeeebba3c0b350413c7b63ddf812112d927/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-s3.png)
マネコン起動もできるAWSのスイッチロール用CLIツール「AWSume」の紹介 | DevelopersIO
プロファイル指定したマネジメントコンソールの起動までできる、コマンドラインツールです。全AWSユーザーが求めていたのはこれなんじゃないでしょうか。どすこい。 「スイッチロールからの作業、AWSのベストプラクティスだけれどツールの設定がめんどくさいよね」 ハマコー、最近会社のパソコンをIntel MacからM1 Macに切替たことがきっかけで、いろんなツールを再度セットアップしてました。 普段AWS触っている身としてはスイッチロールして作業する環境も必須なので、改めて最新ツールを物色していたところ、弊社技術番長の岩田御大に教えてもらったAWSumeというツールが圧倒的に便利だったので、前のめりに紹介します。 標準公式のconfigとcredentialファイルのみで動作し、別途設定ファイルは不要 コマンドラインから、プロファイル名の自動補完に対応 指定したプロファイルから、マネジメントコンソ
AWS Virtual Waiting Roomのご紹介 | Amazon Web Services
Amazon Web Services ブログ AWS Virtual Waiting Roomのご紹介 この記事は、プリンシパル・ソリューションズ・アーキテクトのジャスティン・ピルトル、ソフトウェア開発エンジニアのジョーン・モーガン、ソフトウェア開発エンジニアのジム・タリオが執筆しています。 本日、AWS は公式の AWS Virtual Waiting Room (仮想待合室)ソリューションをご紹介します。このオープンソースのソリューションは既存のウェブアプリケーションやモバイルアプリケーションと統合し、需要のピーク時や突然のトラフィックバースト時にユーザーをバッファリングし、システムのリソースが枯渇するのを防ぐことができます。 一般的に、需要が不明な場合や大量のトラフィックが予想される様なイベントの場合に、仮想待合室が使用されます。このようなイベントの例としては、コンサートチケットの
Amazon Music Unifies Music Queuing at Scale Using AWS AppSync and AWS Amplify | Amazon Web Services
Front-End Web & Mobile Amazon Music Unifies Music Queuing at Scale Using AWS AppSync and AWS Amplify With millions of music lovers modifying their playlists and queues, switching between mobile and voice devices, and going in and out of network connectivity, music streaming service Amazon Music needs to deliver an engaging, low-latency experience. To create this seamless customer experience while
AWS WAF Fraud Control アカウント乗っ取り防止が Amazon CloudFront をサポート
AWS WAF Fraud Control アカウント乗っ取り防止機能が、Amazon CloudFront に対応しました。AWS WAF Fraud Control アカウント乗っ取り防止は、アプリケーションのログインページを、クレデンシャルスタッフィング攻撃やブルートフォース試行などの異常なログインアクティビティから保護する機能です。この機能を使用すれば、ネットワークのエッジでアカウントの乗っ取りを未然に防げます。また、不正行為につながる未承認のアクセスを阻止したり、影響が及ぶユーザーに通知を行って予防措置を促したりできます。 アカウント乗っ取り防止は、AWS マネージドルールを通じて提供されています。AWS WAF ウェブ ACL に追加すると、アプリケーションに送信されたユーザー名とパスワードが、ウェブの他の場所で漏洩した認証情報と比較されます。また、長期的に行われたリクエストを
Amazon DynamoDB が Amazon S3 から DynamoDB テーブルへの一括インポートのサポートを開始
Amazon DynamoDB で Amazon S3 からの一括データインポートのサポートが始まり、新しい DynamoDB テーブルへのデータの移行とロードが簡単になりました。新しいテーブルにデータを直接インポートして、他のシステムからのデータを移行したり、テストデータをロードして新しいアプリケーションの構築に役立てたり、テーブルとアカウント間のデータ共有を促進したり、ディザスタリカバリとビジネス継続の計画を簡素化したりできるようになりました。 S3 からの DynamoDB インポートの新機能によりインポート処理が簡単になり、インポートを実行するカスタムソリューションを開発したり、インスタンスを管理したりする必要がなくなりました。また、DynamoDB の一括インポートによってテーブルの書き込み容量は消費されないため、インポート処理中の容量追加を計画する必要もありません。一括インポー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWSで始めるTerraform Cloud入門
Amazon Music Unifies Music Queuing at Scale Using AWS AppSync and AWS Amplify | Case Study
https://d1.awsstatic.com/local/health/20220310_%E3%82%84%E3%81%95%E3%81%97%E3%81%84FHIR%20on%20AWS.pdf