AWS STS のサービスエンドポイントとしてグローバルエンドポイントとリージョナルエンドポイントがあります。デフォルトではグローバルエンドポイントが使用されますが、リージョナルエンドポイントの使用が推奨されています。一体それはどういうことなのか、整理してみます。 コンバンハ、千葉（幸）です。 AWS Security Token Service (STS) は、一時的な認証情報を提供するサービスです。 AWS STS に対して一時的な認証情報払い出しのリクエストを行う際、リクエスト先となる AWS サービスエンドポイントには以下の2種類があります。 グローバルエンドポイント リージョナルエンドポイント デフォルトでは前者のグローバルエンドポイントが使用されるものの、後者のリージョナルエンドポイントの利用を推奨する、という記述が各種ドキュメントにあります。 👇 デフォルトでは、AWS S

【アップデート】S3ライフサイクル移行ルール変更：デフォルトの最小オブジェクトサイズの導入でコスト最適化を実現できるようになりました S3 Standard から S3 Glacier Flexible Retrieval・Deep Archive に大量の小さなオブジェクトを移行させていた方に朗報です！ こんにちは！AWS事業本部のおつまみです。 みなさん、S3のライフサイクル管理を実施していますか？私は実施しています。 S3 のライフサイクル管理は、オブジェクトがライフサイクル全体にわたってコスト効率に優れた方法で保存されるように管理するための機能です。この機能によって、データの保存コストを最適化し、長期保存データの管理を自動化できるようになりますね。 S3 ライフサイクル管理は、ライフサイクルルールと呼ばれるルールによって制御され、特定の条件に基づいてオブジェクトに対するアクションを

VPCピアリング先のプロキシサーバーを利用した通信の検証を行います。 検証環境 インフラ構築は主に CloudFormation, プロキシサーバーは squid を使って構築します。 はじめに 少し特殊なケースですが表題の件について、CloudFormationで検証環境を構築して確かめてみました。 次章:背景 でも話しますが、検証したい本番の環境は以下の通り。 背景 Direct Connect (DX) のサービスによっては、AWS側のネットワーク構成・通信用件に制限があったりします。 例えば、 VPCの CIDRはプロバイダの指定値にする などです。 外部サービスのセキュリティ設定で、 指定 CIDRの IPアドレス以外からの接続を拒否 しているケースなどでしょうか。 要件通り新規VPCを作成したとします。 やりたいことは 既存環境の APPサーバーが この新規VPC経由で DX先

[アップデート] Amazon EventBridge のパイプ機能（EventBridge Pipes）でもカスタマーマネージドキーを使った暗号化がサポートされました いわさです。 Amplify Gen 2 をバックエンドとするアプリケーションを最近構築しているのですが、バックエンドコンポーネントの接続に EventBridge Pipes を使ってみようかなというシーンがありました。 EventBridge Pipes というのは 2022 年の re:Invent で登場した EventBridge の機能です。 今回 DynamoDB ストリームをソースとしたかったので EventBridge Pipes 自体は採用出来そうだったのですが、直近のアップデートでカスタマーマネージドキーによる保管時の暗号化をサポートしたことを思い出しました。 従来は AWS マネージドキーで透過的に

こんにちわ。組織開発 がミッションの人事グループ・組織開発室に所属しているてぃーびーです。 目標設定に苦労している場合、その理由は一つではありません。そこで、この記事では目標設定の壁となる要素を整理します。 目標設定の壁となる要素を分解する 目標設定の壁となる典型的な要素は大きく分けると以下の4種類になります。 会社や事業の方針や課題の理解 自分自身の理想と現実の理解 マネージャーの理想と現実の理解 目標設定自体に関する理解 1. 会社や事業の方針・課題の理解 会社や事業の全体的な・課題を理解し、自分が担当している役割や業務とつなげて理解することで、組織の成功に直結し、貢献につながる目標を設定できます。 これは目標を設定する本人だけで実現できることではなく、普段からマネージャーやリーダーが方針・課題などの情報をチームに説明しているかどうかに依存します。また、単に情報を伝えるだけでは、ジュニ

はじめに AWS Step Functionsを利用し、音声ファイルがS3バケットに保存されるたびにAmazon Transcribeで文字起こしを行い、文字起こし内容をメール送信する方法を紹介します。 今回構築する構成は以下の通りです。 処理の流れは以下の通りです。 音声ファイル（WAV）をS3バケットにアップロードする アップロードをトリガーにEventBridgeからStep Functionsステートマシンを起動する 音声ファイルからAmazon Transcribeで文字起こしし、文字起こした内容をAmazon SNSでメール送信する この構成を構築するきっかけは、以前執筆した「Amazon Connectでエージェントの介在がない場合でも電話中の発話を録音する」記事の構成に、録音ファイルに対して文字起こしとメール通知機能を追加する必要が生じたためです。 執筆した記事の構成図は以

2024年7月11日に実施された「Classmethod Odyssey 情シスとセキュリティ編」の登壇資料です。 こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 本日開催された「Classmethod Odyssey ONLINE 情シスとセキュリティ編」で登壇する機会を頂きました。 本記事はその登壇資料紹介となります。 資料 セッション概要 近年被害が拡大しているDDoS攻撃。そんなDDoS攻撃を緩和する対策はWAFの活用や攻撃対象領域の縮小など様々ありますが、その中でも特にAWSサービスを用いた方法について分かりやすく網羅的にご紹介します。 DDoS対策の参考になりそうなブログ セッション内で紹介したAWSのサービス、機能について参考になりそうなブログをいくつかご紹介します。(後日追記あるかも) CloudFront+S3による静的サイトにCogni

最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ（設計・構築・ローンチ・最適化）で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur

AWSなどクラウド上のシステム負荷試験について解説した書籍「Amazon Web Services負荷試験入門」のレビュー記事です。負荷試験の基本知識、ツール、PDCAサイクルを使った具体的な進め方が詳細に解説されています。 こんにちは、ゲームソリューション部の入井です。 今回は、AWS等のクラウド上に構築したシステムへの負荷試験について、具体的な手順や試験中に発生しがちな課題とその解決方法等について解説した書籍「Amazon Web Services負荷試験入門」を読んだ感想を書いていきます。 感想 Chapter 1 間違いだらけの負荷試験とWebシステムの失敗事例 タイトルの通り、負荷試験の進め方のよくあるアンチパターンが架空の事例を使って紹介されています。 打ち合わせ、試験準備、試験実施、試験レポートといった段階毎に登場人物同士の対話形式で進んでいくのですが、「お客様の意向で今回は

こんにちは、AWS事業本部の荒平(@0Air)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の47日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう！という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Certificate Manager』です。 AWS Certificate M

はじめに マルチアカウント構成において、アカウント発行後にCloudFormationを使ってアカウントのベースライン(セキュリティ、ネットワーク、ログ等)を構築することがよくあります。 その際、AWSサービスごとに1つのロググループをベースラインで作成するか、メンバーアカウント側で必要に応じてロググループを作成するかを検討する必要があります。 1つのロググループに複数のリソースのログを集約する方法と、リソースごとにロググループを作成する方法には、それぞれメリットとデメリットがあります。 1つのロググループを集約する メリット 管理するリソースが減る 手動で作成する手間が減る ログをクエリする際、関連するログが1つのロググループにまとめられていると効率的になることがある デメリット １秒間のログイベント書き込みには制限があるため、エラーになる可能性がある 各リソースごとに識別できるログスト

もう2度とググりたくない こんにちは！AWS事業本部のおつまみです。 皆さん「VPCエンドポイントとAWS PrivateLinkの違い」を自分の言葉で説明できますか？私は時折、記憶喪失になり違いを忘れてしまいます。 もう2度とググりたくないという思いがあり、今回は違いをまとめました。 実際にハンズオンできるよう初心者向けの内容となっているため、VPCエンドポイントやPrivateLinkの知識が全くない方のお役に立てればと思います！ 結論 VPCエンドポイント VPCと他サービス間でプライベートな接続を提供するコンポーネント サービス利用側のVPC内で作成 AWS PrivateLink プライベート接続を介したサービスを提供するためのサービス 以下の2つがセットとなり、AWS PrivateLinkが提供されている。 - VPCエンドポイント（サービス利用側のVPC内で作成） - VP

サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能

こんにちは、リサリサです。 本番環境のEC2を複製してテスト環境を作成したい場合や、EC2(Windows Server)を複数台構築する際に、一台のマスターイメージを作成して、複数台に展開したい場合など、Windows Serverの複製をすることがあるかと思います。 Linuxでは、EC2からカスタムAMIを作成し、そのカスタムAMIを起動するだけで複製が完了してしまうのですが、Windowsでは、それだけではよくありません。WindowsマシンにはマシンSIDというユニークに付与されるIDがあります。EC2をAMIからそのまま複製すると、このSIDがそのまま複製されてしまうため、バックアップ目的ではなくEC2の複製をしたい場合は、Sysprepを実施したAMIから複製をする必要があります。 バックアップから復元するだけであれば、当手順は不要です。複製される方は参考にしていただければ幸

AWS SSOのコンソール画面を触ってると、「んん？？どういうこっちゃ??‍♂️」みたいに混乱することありませんか？画面に沿ってなんとなく設定はできたけど、どういう仕組みになっているかわからないというか… すみません、うまく言語化できていない自覚があるんですが、以下のような点がモヤモヤしています。 ユーザー&グループ、アカウント、アクセス権限セット各概念の関係性がわからない いや、俺はそもそもアクセス権限セットがどういうものなのか理解していないのでは？(モヤモヤ?) 今回はこのモヤモヤを解消するために、SSOの概念を図解していきたいと思います。SSOコンソール上での以下各操作によってどういうリソースが作成され、それぞれがどう動作するのかまとめます。 初期状態(SSO有効化前) SSOを有効化する ユーザーやグループを作成する アクセス権限セットを作成する アカウントにユーザー・グループを割

この通信はAWS Network Firewallを通らせたくない こんにちは、のんピ(@non____97)です。 皆さんはAWS Network Firewallを通らないバイパスを用意したいなと思ったことはありますか? 私はあります。 Network Firewall、Gateway Load BalancerにおいてTCPの場合はアイドルタイムアウトが350秒、TCPではない場合はアイドルタイムアウトが120秒で固定で設定されています。 既存のフロー Gateway Load Balancer は、プロトコルに基づいて既存のフローを処理します。 TCP: 350 秒以上アイドル状態の場合、既存のフローは閉じられます。 その他のプロトコル: 120 秒以上アイドル状態の場合、既存のフローは閉じられます。 Gateway Load Balancer のターゲットグループ - Elast

Security Hubのセキュリティスコアは小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。　100%の表示に惑わされてはいけません。 こんにちは。AWS事業本部コンサルティング部の戸川です。 このブログでお伝えしたいことはタイトルに全て書いてしまっていて、人によっては「なんのこっちゃ」と思われるかもしれません。 ですが私は「へぇ〜そうなんだぁ」と思ったので、その思いをここに書き残しておきます。 結論 Security Hubのセキュリティスコアは小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。 公式ドキュメントにもしっかりと明記されています。 セキュリティスコアは、有効になっているコントロールのうち、合格の状態にあるコントロールの割合を示します。スコアは、小数点以下を最も近い整数に四捨五入したパーセンテージで表示されます。 何故わざわざこんな小ネ

こんにちは、CX 事業本部製造ビジネステクノロジー部の若槻です。 Serverless Express は、AWS Lambda などのサーバーレス環境で Express.js を利用した REST API を構築できるライブラリです。 今回は、Serverless Express + AWS Lambda + API Gateway の構成を AWS CDK でデプロイして作成してみました。 試してみた パッケージの導入 いくつかのパッケージ npm からインストールして導入します。 @codegenie/serverless-express をインストールします。 npm i @codegenie/serverless-express 最近、Serverless Express が CodeGenie に移行したので、古い方のパッケージをインストールしないように注意してください。 その

しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決！」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最

AWS Replication Agentをインストールするための要件は、以下ドキュメントに記載があります。 構成図 超シンプルですが、本エントリの構成図です。 ※記載のサービスの他、S3に配置されたスクリプトを取得しています。詳しくはこちらもご覧ください。 初期設定 AWS DRSを利用したことの無い方は、まず初期設定から必要です。 以下のURLから、WELCOME画面を表示します。 https://ap-northeast-1.console.aws.amazon.com/drs/home?region=ap-northeast-1#/welcome 「設定と初期化」メニューから、初期設定を開始します。 セットアップページが表示されます。どうやら6ステップあるようです。 ステップ1. レプリケーションサーバーを設定 レプリケーションサーバのデプロイ先を指定します。 ここで、レプリケーシ