GMO Research Tech Conference 2023 で発表しました。

Amazon Aurora ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents Duration: 00:01:00 Amazon Aurora ☘️ はじめに 👀 Contents Aurora について知るには Aurora について知るには(その他) Amazon Aurora とは サポートされているデータベースエンジン Aurora の基本的な構成 SLA 可用性 単一構成 レプリカ構成 レプリカの昇格 インスタンスタイプ スケールアップ/ダウン ストレージの自動スケーリング Aurora のログ Serverless Global Database Blue

もう2度とググりたくない こんにちは！AWS事業本部のおつまみです。 皆さん「VPCエンドポイントとAWS PrivateLinkの違い」を自分の言葉で説明できますか？私は時折、記憶喪失になり違いを忘れてしまいます。 もう2度とググりたくないという思いがあり、今回は違いをまとめました。 実際にハンズオンできるよう初心者向けの内容となっているため、VPCエンドポイントやPrivateLinkの知識が全くない方のお役に立てればと思います！ 結論 VPCエンドポイント VPCと他サービス間でプライベートな接続を提供するコンポーネント サービス利用側のVPC内で作成 AWS PrivateLink プライベート接続を介したサービスを提供するためのサービス 以下の2つがセットとなり、AWS PrivateLinkが提供されている。 - VPCエンドポイント（サービス利用側のVPC内で作成） - VP

はじめに IAMのPassRole、使ったことありますか？何がなんだかわからない方も、その名前からだいたい想像できると思います。 IAMのPassRoleとはその名のとおりIAMロールをパス(Pass)することです。ただし、このパスの対象は人ではなくAWSのサービスです。 PassRoleによって認証情報をセキュアにAWSサービスに渡すことができますが、一方で丁寧に使用しないとセキュリティリスクに繋がってしまいます。本記事ではそんなIAMのパスロールとセキュリティについて解説したいと思います。 IAMのPassRoleとは IAMのPassRoleは、IAMポリシーの記述の中で iam:PassRole と表現するアクセス許可です。これは ポリシーがアタッチされているプリンシパル(IAMユーザとIAMロール) が、 AWSのサービス(EC2やLambdaなど) にロールを渡すことを意味して

Amazon Web Services(AWS)ではCloudWatchでさまざまな監視をすることができます。この記事ではCloudWatchでS3を監視する手順を詳しく紹介します。また、無料かつ簡単にS3をはじめとするAWSの監視を始める方法も紹介しますので参考にしてみてください。 S3を監視する理由 AWSのS3は、さまざまなデータを保存できるオブジェクトストレージサービスです。ウェブサイト、モバイルアプリケーション、バックアップ、ログの保管、IoT デバイス、ビッグデータ分析などの様々な用途に使うことができます。 S3は容量を使った分だけ料金がかかる従量課金制で、基本的に容量無制限で利用できます。しかし、安価だからといってデータを入れたまま放っておいたり、間違った設定をしていると意図せず料金がかかってしまいます。 また、S3への正常なアクセス状態を監視し、異常があれば早期発見して調査

全てのユーザーはデフォルトで Public ロールに属しています。 ¥l データベースの一覧 「xx00」「xy00」が自分で作成したデータベースです。これらは Public ロールによるアクセスを制限しています。 masterdb=> \l データベース一覧 名前 | 所有者 | エンコーディング | 照合順序 | Ctype(変換演算子) | アクセス権限 -----------+------------+------------------+-------------+-------------------+--------------------------- masterdb | masteruser | UTF8 | en_US.UTF-8 | en_US.UTF-8 | masteruser=CTc/masteruser postgres | masteruser | UTF

コンバンハ、千葉（幸）です。 KMS 向けの VPC エンドポイント（インタフェース）がエンドポイントポリシーの設定に対応しました！ AWS Key Management Service (AWS KMS) now supports VPC Endpoint Policies より細かいアクセス制御を行うことができるようになりましたね！（でもその分、全体の設計はややこしくなるぞ！） 目次 VPC エンドポイントとは ゲートウェイ型の場合 インタフェース型の場合 VPC エンドポイントポリシー とは ドキュメントを確認してみる パターン1. 特定のユーザーが特定のキーに対して特定のアクションを可能 パターン2. 外部アカウントのプリンシパルによるアクションを拒否 やってみた カスタマー管理 CMK の準備 VPC エンドポイントポリシーを設定しないで試してみる VPC エンドポイントポリシー

初めに Aurora を使う機会があったので自分なりに触ってみたことのメモです。 データベースの作成 マネジメントコンソールから「データベースの作成」をクリックし、作成方法とエンジンのタイプを選択します。エディションは PostgreSQL 互換を選択します。 エンジンバージョンは最新の 13.6 を選択します。検証用なのでテンプレートは「開発/テスト」を選択します。 以下、必要な情報を入力します。認証情報はログイン時に必要になります。 検証用のため、汎用の小さいインスタンスタイプを選択します。 VPC などは適切なものを選択します。 以下はデフォルトのまま進めます。 データベース名はデフォルトで作成されるデータベースです。空欄にすると作成されません。ログイン後、手動で作成するので空欄にします。 検証用ため、暗号化や Perfomance Insight や無効化しておきます。 メンテナン

勉強前イメージ これ で勉強したからやってみる。 パスワードとかを格納したらいいのかね。 まず AWS Secrets Manager とは サービス、環境、アプリケーションに接続するためのパスワードなどの機密情報を管理するためのサービスです。 詳細は こちら で見てください さっそくやってみる 構成 EC2を立てて、RDSへ接続する簡単な構成。 接続情報はSecrets Managerを使用するって感じで設定していきたいと思います EC2 instanceを作成 いつものことなので詳細は省きますが、 こちら を参考にしていい感じにEC2 instance作ってください。 以下のように適当にインスタンス作りました。 aws configure コマンドで設定も終わらせます。 jqコマンドが必要なので、今のうちに入れておいてください RDSを作成 こちらも適当にRDSを作ります。 全然違う記

こちらの記事では、AWS Systems Managerの一部の機能であるSession Managerを利用して、EC2インスタンスへキーペアなしでアクセスするまでの方法を解説します。 Session Managerを使用することで、セキュリティグループのSSH接続用の22番ポートの開放が必要なくなり、アクセス履歴をCloud Trailへ保存できるようになるなどのメリットがあり、セキュリティ面においてより堅牢に運用することが可能です。 AWSが公開しているEC2インスタンスにアクセスするベストプラクティスとしても、Session Managerについて触れられています。 AWS公式 AWS Systems Managerとは、EC2を中心とするAWS環境の運用や、オンプレミス環境の運用を効率化する機能が多数提供されているサービスになります。このサービスを上手に使いこなすことで、日々必要

困っていた内容 AWS のアカウント内で、複数のサービス（EC2やRDS、S3等）や複数リージョンにまたがったリソースの中から、特定のタグが設定されたリソースの一覧を取得したい。どうすればよいですか？ どう対応すればいいの？ 「タグエディター（Tag Editor）」を利用して、特定のタグが付いたリソースを検索できます。 マネジメントコンソールでの操作 マネジメントコンソールにログインし「Resource Groups & Tag Editor」のコンソール画面を開きます。 左側メニューの「Tag Editor」へ移動し、検索したいリソースの条件を入力して「リソースを検索」をクリックします。 今回は例として「タグキー：Envionment タグ値：Production」が付与されたリソースを、全リージョン・全AWSサービスを横断して検索したいため、以下のように入力しました。 該当するリソー

どうも。小林です。 3度目の投稿にして初めて技術的なことを書こうとしています。 以前書いたAWS認定 セキュリティの対策本にて踏み台サーバ構成の話を書きました。 「インターネットに公開するEC2インスタンスの数は最小にしようね」というお話だったんですが、 今はSSM（AWS Systems Manager）のSession Managerを使えば踏み台サーバがなくとも 直接プライベートサブネット含む各インスタンスのシェル環境を使えるようになってきています。 ということは踏み台サーバへSession Managerで接続するようにすれば、踏み台サーバをインターネットに公開しなくて良いのでは？と思い、 いろいろ考えてみたことを書いておきたいと思います。 なお、計画と検証の記録が主な話で、最初の目論みどおりにはならなかったことをお断りしておきます。 この内容がどなたかの参考になれば幸いです。 そ

目的 今までインスタンスに接続するのにレガシーにTeratermでssh接続していたが、心を入れ替えて、セキュアにSesson Managerを使うように変えていこうかなと思い、使い方を確認する。 AWS Systems Manager Session Manager とは（自分の理解） AWS Systems Managerの中の一機能で、sshをせずに、AWSの機能としてLinuxにシェルアクセス(WindowsにはPowerShell)できる。 やったこと 以下の環境のEC2インスタンス(Amazon linux 2)へSession Managerを用いて接続できることを確認する。 インターネット接続あり(IGW/EIP, NatGateway) インターネット接続なし(VPCエンドポイント) 接続のログが取れることを確認する。 構成図 予習 公式ドキュメント等を見て、Sessio

はじめに AWSのネットワーク周りの知識があやふやなことが判明したため復習。間違ってたらご指摘お願いします。 VPC AWS内の利用者専用の仮想プライベートネットワーク リージョンの中に作成する CIDRブロックは/16〜/28の範囲で作成できる (例：10.0.0.0/16) 可能な限り大きなサイズ(/16)で作成する アドレス不足を防ぐため サブネット VPCをさらに小さなネットワークに区切った単位 CIDRブロックは/16〜/28の範囲で作成できる VPCよりも小さな範囲を指定する (例：10.0.1.0/24) インターネットと通信するサブネット（パブリックサブネット）、通信しないサブネット（プライベートサブネット）など、役割・ルーティングによって分割する 同一の役割を持ったサブネット、リソース群を複数のAZに作成することで、耐障害性の向上に繋がる（マルチAZ） ルートテーブル パ

こんにちは！ スカイアーチHRソリューションズのRyojiです。 いつも、業務でIAMのスイッチロールを使用して作業しているのですが、その設定を修正する機会があり、少々手間取ってしまいました。 そこで、改めてスイッチロールとは？というところから調べなおしてみたので、整理して記事としてまとめてみたいと思います。 スイッチロールとは スイッチロールとは、アクセス権限の切り替えを行うことができる、AWS IAMが提供する機能の一つです。 AWSマネジメントコンソールでのアクセス権限があるユーザーは、スイッチロールを使用することで、異なるAWSアカウント、または異なるIAMユーザーにスイッチすることができます。 これにより、複数のAWSアカウントやIAMユーザーを切り替えることなく、異なるアカウントやユーザーの操作を行うことができるようになります。 スイッチロールの作成 スイッチロールを使用するに

こんにちは！ももんが大好きの小山です。 きょうは、「便利なんだろうなあ」と思いつつ試したことがなかったクロスアカウントアクセスを設定してみました。本当に簡単にできたので、まだ試したことがないという方はぜひやってみてください! クロスアカウントアクセスとは あなたは、今まで所有していたアカウントA (123423453456) に加えてアカウントB (654354324321) のリソースを管理することになりました。そこであなたはアカウントBに新しいIAMユーザーを作成しましたが、これによって管理すべきログイン情報が増えてしまいました。しばらくすると、こんな不安が生まれます。「今は構わないけど、もっとアカウントが増えたらどうなるんだろうか...」 そこでクロスアカウントアクセスの出番です! クロスアカウントアクセスを使うと、「アカウントAのプリンシパル」から「アカウントBのリソース」を操作で

福岡オフィスの梶原です。 先日、AWS CLIでSwitch Role してさらに Switch Role してみた。を公開してエゴサしてると 「EC2に割り当てたRoleの場合はどうすんの？」ってつぶやきを発見しました。 あーそういう事か、確かにEC2にAPIキーを置くとかありえんよねー。 ということで、調べました！ まぁ、最悪できんでも、EC2のロールで、一時クレデンシャル取って、それをaws sts assume-roleでRole取得の際に指定して、うわーーーそんなん、めんどい、やっぱ終了 と、思っていたところ つ AWS CLIでインスタンスプロファイルからのAssumeRoleが簡単になりました | DevelopersIO ということで source_profile = role-a ってしていたところを credential_source = Ec2InstanceMeta

こんにちは、山下です。 ‍ 今回はAWS SSOを利用してAWS Profileを設定する方法をご紹介します。一般的な以下の方法と比べて、SSOユーザーでIAMを一元管理できる、有効期限付きの認証情報を都度発行するためセキュリティが高くなる、といったメリットがあります。 ‍ 一般的なローカル環境の認証情報設定: プログラムに直接指定環境変数 AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY を設定環境変数 AWS_PROFILEを設定詳細は公式ドキュメントまで。 ‍ AWS Single Sign-On を使用するための AWS CLI の設定 - AWS Command Line Interface 前提 $ aws configure sso SSO start URL [None]: https://d-xxxxxxxxxx.awsapps.com/s