AWSなどクラウド上のシステム負荷試験について解説した書籍「Amazon Web Services負荷試験入門」のレビュー記事です。負荷試験の基本知識、ツール、PDCAサイクルを使った具体的な進め方が詳細に解説されています。 こんにちは、ゲームソリューション部の入井です。 今回は、AWS等のクラウド上に構築したシステムへの負荷試験について、具体的な手順や試験中に発生しがちな課題とその解決方法等について解説した書籍「Amazon Web Services負荷試験入門」を読んだ感想を書いていきます。 感想 Chapter 1 間違いだらけの負荷試験とWebシステムの失敗事例 タイトルの通り、負荷試験の進め方のよくあるアンチパターンが架空の事例を使って紹介されています。 打ち合わせ、試験準備、試験実施、試験レポートといった段階毎に登場人物同士の対話形式で進んでいくのですが、「お客様の意向で今回は

こんにちは、AWS事業本部の荒平(@0Air)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の47日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう！という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Certificate Manager』です。 AWS Certificate M

はじめに マルチアカウント構成において、アカウント発行後にCloudFormationを使ってアカウントのベースライン(セキュリティ、ネットワーク、ログ等)を構築することがよくあります。 その際、AWSサービスごとに1つのロググループをベースラインで作成するか、メンバーアカウント側で必要に応じてロググループを作成するかを検討する必要があります。 1つのロググループに複数のリソースのログを集約する方法と、リソースごとにロググループを作成する方法には、それぞれメリットとデメリットがあります。 1つのロググループを集約する メリット 管理するリソースが減る 手動で作成する手間が減る ログをクエリする際、関連するログが1つのロググループにまとめられていると効率的になることがある デメリット １秒間のログイベント書き込みには制限があるため、エラーになる可能性がある 各リソースごとに識別できるログスト

もう2度とググりたくない こんにちは！AWS事業本部のおつまみです。 皆さん「VPCエンドポイントとAWS PrivateLinkの違い」を自分の言葉で説明できますか？私は時折、記憶喪失になり違いを忘れてしまいます。 もう2度とググりたくないという思いがあり、今回は違いをまとめました。 実際にハンズオンできるよう初心者向けの内容となっているため、VPCエンドポイントやPrivateLinkの知識が全くない方のお役に立てればと思います！ 結論 VPCエンドポイント VPCと他サービス間でプライベートな接続を提供するコンポーネント サービス利用側のVPC内で作成 AWS PrivateLink プライベート接続を介したサービスを提供するためのサービス 以下の2つがセットとなり、AWS PrivateLinkが提供されている。 - VPCエンドポイント（サービス利用側のVPC内で作成） - VP

サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能

こんにちは、リサリサです。 本番環境のEC2を複製してテスト環境を作成したい場合や、EC2(Windows Server)を複数台構築する際に、一台のマスターイメージを作成して、複数台に展開したい場合など、Windows Serverの複製をすることがあるかと思います。 Linuxでは、EC2からカスタムAMIを作成し、そのカスタムAMIを起動するだけで複製が完了してしまうのですが、Windowsでは、それだけではよくありません。WindowsマシンにはマシンSIDというユニークに付与されるIDがあります。EC2をAMIからそのまま複製すると、このSIDがそのまま複製されてしまうため、バックアップ目的ではなくEC2の複製をしたい場合は、Sysprepを実施したAMIから複製をする必要があります。 バックアップから復元するだけであれば、当手順は不要です。複製される方は参考にしていただければ幸

AWS SSOのコンソール画面を触ってると、「んん？？どういうこっちゃ??‍♂️」みたいに混乱することありませんか？画面に沿ってなんとなく設定はできたけど、どういう仕組みになっているかわからないというか… すみません、うまく言語化できていない自覚があるんですが、以下のような点がモヤモヤしています。 ユーザー&グループ、アカウント、アクセス権限セット各概念の関係性がわからない いや、俺はそもそもアクセス権限セットがどういうものなのか理解していないのでは？(モヤモヤ?) 今回はこのモヤモヤを解消するために、SSOの概念を図解していきたいと思います。SSOコンソール上での以下各操作によってどういうリソースが作成され、それぞれがどう動作するのかまとめます。 初期状態(SSO有効化前) SSOを有効化する ユーザーやグループを作成する アクセス権限セットを作成する アカウントにユーザー・グループを割

この通信はAWS Network Firewallを通らせたくない こんにちは、のんピ(@non____97)です。 皆さんはAWS Network Firewallを通らないバイパスを用意したいなと思ったことはありますか? 私はあります。 Network Firewall、Gateway Load BalancerにおいてTCPの場合はアイドルタイムアウトが350秒、TCPではない場合はアイドルタイムアウトが120秒で固定で設定されています。 既存のフロー Gateway Load Balancer は、プロトコルに基づいて既存のフローを処理します。 TCP: 350 秒以上アイドル状態の場合、既存のフローは閉じられます。 その他のプロトコル: 120 秒以上アイドル状態の場合、既存のフローは閉じられます。 Gateway Load Balancer のターゲットグループ - Elast

こんにちは。AWS事業本部コンサルティング部の戸川です。 このブログでお伝えしたいことはタイトルに全て書いてしまっていて、人によっては「なんのこっちゃ」と思われるかもしれません。 ですが私は「へぇ〜そうなんだぁ」と思ったので、その思いをここに書き残しておきます。 結論 Security Hubのセキュリティスコアは小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。 公式ドキュメントにもしっかりと明記されています。 セキュリティスコアは、有効になっているコントロールのうち、合格の状態にあるコントロールの割合を示します。スコアは、小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。 何故わざわざこんな小ネタを書いたか ここ最近、私は部内で共通利用しているAWSアカウントのSecurity Hubセキュリティスコアを100%にする遊びをしていました。 検知された

こんにちは、CX 事業本部製造ビジネステクノロジー部の若槻です。 Serverless Express は、AWS Lambda などのサーバーレス環境で Express.js を利用した REST API を構築できるライブラリです。 今回は、Serverless Express + AWS Lambda + API Gateway の構成を AWS CDK でデプロイして作成してみました。 試してみた パッケージの導入 いくつかのパッケージ npm からインストールして導入します。 @codegenie/serverless-express をインストールします。 npm i @codegenie/serverless-express 最近、Serverless Express が CodeGenie に移行したので、古い方のパッケージをインストールしないように注意してください。 その

しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決！」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最

AWS Replication Agentをインストールするための要件は、以下ドキュメントに記載があります。 構成図 超シンプルですが、本エントリの構成図です。 ※記載のサービスの他、S3に配置されたスクリプトを取得しています。詳しくはこちらもご覧ください。 初期設定 AWS DRSを利用したことの無い方は、まず初期設定から必要です。 以下のURLから、WELCOME画面を表示します。 https://ap-northeast-1.console.aws.amazon.com/drs/home?region=ap-northeast-1#/welcome 「設定と初期化」メニューから、初期設定を開始します。 セットアップページが表示されます。どうやら6ステップあるようです。 ステップ1. レプリケーションサーバーを設定 レプリケーションサーバのデプロイ先を指定します。 ここで、レプリケーシ

Direct Connectのトラフィックを暗号化したいな こんにちは、のんピ(@non____97)です。 皆さんはDirect Connectのトラフィックを暗号化したいなと思ったことはありますか? 私はあります。 AWS公式ドキュメントでも説明がある通り、Direct Connect内のトラフィックは暗号化されていません。 AWS Direct Connect では、転送中のトラフィックはデフォルトでは暗号化されません。AWS Direct Connect を通過する転送中のデータを暗号化するには、そのサービスの転送暗号化オプションを使用する必要があります。EC2 インスタンスのトラフィック暗号化の詳細については、Linux インスタンス用の Amazon EC2 ユーザーガイドから Encryption in Transit を参照してください。 AWS Direct Connec

神奈川県高校入試のネット出願システムの不具合影響を受けた利用者として、Gmailを扱えないメール環境について外部から調査しました。 出願システムで独自実装されたメールシステムの不完全な実装と、メール関連のDNSの設定不備が原因であった可能性が高いと推測します。 2024年の神奈川県立高校入試出願システムの不具合の影響を受け、@gmail.comのメールアドレス を利用出来なかった一利用者として、 インターネットから参照可能な範囲で、出願システムのメール環境について調査。 被疑箇所の推定と、状況を改善する対策について検討する機会がありましたので、紹介させて頂きます。 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について MX設定 「mail.shutsugankanagawa.jp」のMXレコードを確認しました。 1/18(21時) $ dig mx mail.shut

Gmailに届かないと報告されている2024年神奈川県立高校入試の出願システム自動返信メール、 2024年1月15日にYahooメールに届いたメールヘッダー情報などから、送信ドメイン認証(SPF、DKIM、DMARC)の確認を試みました。 2024年2月の神奈川県立高校の受験を予定している家族から、 "インターネット出願システムの登録を試みたが、システムからの返信メールがGmailのアドレスが届かないため、代わりにYahooメールを利用した。" との報告を受けました。 今回、2024年1月15日にYahooメールで受信したインターネット出願システムのメールを調査する機会がありましたので、紹介させて頂きます。 2024年1月19日 追記 ネット出願システムの不具合解消後のメールの調査結果を公開しました。 2024年1月18日 追記 ネット出願システムのメールサーバ側の問題について調査結果を公

AWS事業本部のHaradaです。 仕事をしてると誰しも、失敗したり、問題から逃避したくなることがあると思います。 そんな時に見つけた一冊を本日は紹介させていただきます。 学習塾ロジム代表 苅野進著「仕事の不安・悩みがなくなる ロジカルシンキング」です。 ■どんな本 困難な状況・目標に、心身共に動けなくなる、逃げ出したくなる人 またはそういった部下や子供を抱えるリーダーに向けての一冊です。 Haradaは小学校1年生の子供の母親でもあるので、仕事のみならず 実生活でも活かせるとなれば一石二鳥！と張り切って手に取った次第です。 ■困った時のSATE（さて） 本書では、「ロジカルシンキング」＝明確な答えがなくても「知らない」「分からない」と投げ出さず試行錯誤しながら前進するための「考える技術」 と定義付けています。 困難に直面した際にどう立ち向かうか、ロジカルシンキングの「SATE」というスキ

困っていること 弊社では ○○ の課題を抱えています。 すでに誰かが該当の課題を解決をしていて、公開している構築方法やアーキテクチャ図があれば教えてください。 どう対応すればいいの? 先ずは、AWS ソリューションライブラリよりご確認ください。 すでに構築された解決策や参考となるアーキテクチャを再利用することが可能で、業界別（自動車、ゲームなど）やテクノロジー別（武関、機械学習、セキュリティなど）で構築済みのソリューションや参考となるアーキテクチャ図を公開しています。 ※ 他参考資料 具体的には以下を提供されています。 すでに組み合わされた AWS サービスをデプロイする CloudFormation テンプレート GitHub にて公開されたソースコード 使い方が記載されたデプロイガイド AWS ソリューションの一例 Instance Scheduler on AWS 起動と停止のスケジ

はじめに こんにちは。データアナリティクス事業本部ビッグデータチームのkasamaです。 普段は主にデータ分析基盤エンジニアというポジションでお客様のデータ分析基盤構築を支援しています。 ある日、書店に立ち寄った際に目に止まってパラパラ読んでいると、もの凄く刺さる内容がいくつも書いてあったため思わず購入し、あっという間に読み終わりました。最初から最後まで勉強になると思うことばかりなので、今回は紹介させていただきたいと思います。ブログとしてアウトプットすることで、より理解を深めようという目的があります。 書籍情報 世界一流エンジニアの思考法 2023年10月23日発売 著 者 牛尾剛 発行所 株式会社文藝春秋 目次 第1章 世界一流エンジニアは何が違うのだろう？ - 生産性の高さの秘密 第2章 アメリカで見つけたマインドセット - 日本にいるときにはきづかなかったこと 第3章 脳に余裕を生む

はじめに 弊社が提供する無料のAWS運用かんたん自動化ツール「opswitch」を使って、夜間や土日祝日などの使わない時間帯に開発環境のAWS Fargate、Amazon ECSを停止させる方法を紹介します。プログラムなどの知識はなくても、Webの操作だけで設定を行えます。Fargateを例に説明をすすめます。ECS(ECS on EC2)の場合は「タスクの作成」が少し違いますので補足をご覧ください。 準備 ユーザーガイド opswitchを開始するを参考に以下の初期設定を完了させてください。 opswitchのアカウント作成 opswitchアカウントの初期設定 ユーザー属性情報登録 組織作成 AWSアカウント連携作成 タスクの作成 それではFargateを起動させるタスクから作成します。 Management Consoleでタスク数を変更したいECSサービスにタグをつけます。どのサ

みなさん、監視してますか！（挨拶 さる 10/7 (土) 開催されました JAWS FESTA 2023 in Kyushu、今回こちらのメイントラックにて 20 分お時間を頂いて、標題のタイトルで話してきました。 当日は目測で 40〜50 人前後は集まって頂いたかと思います。本当にありがとうございました！ 何名かの方にはその後懇親会でも声をかけて頂き、登壇冥利に尽きます。 本記事ではその資料の公開と、簡単に「どんな話をしたか」を記述したいと思います。 資料 資料はこちらになります。20 分枠なのに 50 枚あるんですが、そういうものだと思って頂けますと幸いです。 以下、簡単にお話しした内容を。 内容 AWS の環視事情 「AWS の環視 (モニタリング)」と言ったら、多くの場合 CloudWatch が最初に思い浮かぶかと思います。が、それだけではない、というのがここで話した主題になりま