困っていた内容 AWS のアカウント内で、複数のサービス（EC2やRDS、S3等）や複数リージョンにまたがったリソースの中から、特定のタグが設定されたリソースの一覧を取得したい。どうすればよいですか？ どう対応すればいいの？ 「タグエディター（Tag Editor）」を利用して、特定のタグが付いたリソースを検索できます。 マネジメントコンソールでの操作 マネジメントコンソールにログインし「Resource Groups & Tag Editor」のコンソール画面を開きます。 左側メニューの「Tag Editor」へ移動し、検索したいリソースの条件を入力して「リソースを検索」をクリックします。 今回は例として「タグキー：Envionment タグ値：Production」が付与されたリソースを、全リージョン・全AWSサービスを横断して検索したいため、以下のように入力しました。 該当するリソー

どうも。小林です。 3度目の投稿にして初めて技術的なことを書こうとしています。 以前書いたAWS認定 セキュリティの対策本にて踏み台サーバ構成の話を書きました。 「インターネットに公開するEC2インスタンスの数は最小にしようね」というお話だったんですが、 今はSSM（AWS Systems Manager）のSession Managerを使えば踏み台サーバがなくとも 直接プライベートサブネット含む各インスタンスのシェル環境を使えるようになってきています。 ということは踏み台サーバへSession Managerで接続するようにすれば、踏み台サーバをインターネットに公開しなくて良いのでは？と思い、 いろいろ考えてみたことを書いておきたいと思います。 なお、計画と検証の記録が主な話で、最初の目論みどおりにはならなかったことをお断りしておきます。 この内容がどなたかの参考になれば幸いです。 そ

目的 今までインスタンスに接続するのにレガシーにTeratermでssh接続していたが、心を入れ替えて、セキュアにSesson Managerを使うように変えていこうかなと思い、使い方を確認する。 AWS Systems Manager Session Manager とは（自分の理解） AWS Systems Managerの中の一機能で、sshをせずに、AWSの機能としてLinuxにシェルアクセス(WindowsにはPowerShell)できる。 やったこと 以下の環境のEC2インスタンス(Amazon linux 2)へSession Managerを用いて接続できることを確認する。 インターネット接続あり(IGW/EIP, NatGateway) インターネット接続なし(VPCエンドポイント) 接続のログが取れることを確認する。 構成図 予習 公式ドキュメント等を見て、Sessio

はじめに AWSのネットワーク周りの知識があやふやなことが判明したため復習。間違ってたらご指摘お願いします。 VPC AWS内の利用者専用の仮想プライベートネットワーク リージョンの中に作成する CIDRブロックは/16〜/28の範囲で作成できる (例：10.0.0.0/16) 可能な限り大きなサイズ(/16)で作成する アドレス不足を防ぐため サブネット VPCをさらに小さなネットワークに区切った単位 CIDRブロックは/16〜/28の範囲で作成できる VPCよりも小さな範囲を指定する (例：10.0.1.0/24) インターネットと通信するサブネット（パブリックサブネット）、通信しないサブネット（プライベートサブネット）など、役割・ルーティングによって分割する 同一の役割を持ったサブネット、リソース群を複数のAZに作成することで、耐障害性の向上に繋がる（マルチAZ） ルートテーブル パ

こんにちは！ スカイアーチHRソリューションズのRyojiです。 いつも、業務でIAMのスイッチロールを使用して作業しているのですが、その設定を修正する機会があり、少々手間取ってしまいました。 そこで、改めてスイッチロールとは？というところから調べなおしてみたので、整理して記事としてまとめてみたいと思います。 スイッチロールとは スイッチロールとは、アクセス権限の切り替えを行うことができる、AWS IAMが提供する機能の一つです。 AWSマネジメントコンソールでのアクセス権限があるユーザーは、スイッチロールを使用することで、異なるAWSアカウント、または異なるIAMユーザーにスイッチすることができます。 これにより、複数のAWSアカウントやIAMユーザーを切り替えることなく、異なるアカウントやユーザーの操作を行うことができるようになります。 スイッチロールの作成 スイッチロールを使用するに

こんにちは！ももんが大好きの小山です。 きょうは、「便利なんだろうなあ」と思いつつ試したことがなかったクロスアカウントアクセスを設定してみました。本当に簡単にできたので、まだ試したことがないという方はぜひやってみてください! クロスアカウントアクセスとは あなたは、今まで所有していたアカウントA (123423453456) に加えてアカウントB (654354324321) のリソースを管理することになりました。そこであなたはアカウントBに新しいIAMユーザーを作成しましたが、これによって管理すべきログイン情報が増えてしまいました。しばらくすると、こんな不安が生まれます。「今は構わないけど、もっとアカウントが増えたらどうなるんだろうか...」 そこでクロスアカウントアクセスの出番です! クロスアカウントアクセスを使うと、「アカウントAのプリンシパル」から「アカウントBのリソース」を操作で

福岡オフィスの梶原です。 先日、AWS CLIでSwitch Role してさらに Switch Role してみた。を公開してエゴサしてると 「EC2に割り当てたRoleの場合はどうすんの？」ってつぶやきを発見しました。 あーそういう事か、確かにEC2にAPIキーを置くとかありえんよねー。 ということで、調べました！ まぁ、最悪できんでも、EC2のロールで、一時クレデンシャル取って、それをaws sts assume-roleでRole取得の際に指定して、うわーーーそんなん、めんどい、やっぱ終了 と、思っていたところ つ AWS CLIでインスタンスプロファイルからのAssumeRoleが簡単になりました | DevelopersIO ということで source_profile = role-a ってしていたところを credential_source = Ec2InstanceMeta

こんにちは、山下です。 ‍ 今回はAWS SSOを利用してAWS Profileを設定する方法をご紹介します。一般的な以下の方法と比べて、SSOユーザーでIAMを一元管理できる、有効期限付きの認証情報を都度発行するためセキュリティが高くなる、といったメリットがあります。 ‍ 一般的なローカル環境の認証情報設定: プログラムに直接指定環境変数 AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY を設定環境変数 AWS_PROFILEを設定詳細は公式ドキュメントまで。 ‍ AWS Single Sign-On を使用するための AWS CLI の設定 - AWS Command Line Interface 前提 $ aws configure sso SSO start URL [None]: https://d-xxxxxxxxxx.awsapps.com/s

この記事では、AWS(Amazon Web Services)上のネットワーク系サービスであるAmazon Virtual Private Cloud (以下、VPC)に焦点を当て、セキュリティをどう設定するかを判りやすく解説していきます。VPC は、AWS上に作成できるプライベート仮想ネットワーク空間です。AWSアカウント内に専用のネットワークを作成し、このネットワーク内にAmazon EC2などのAWSリソースを配置します。 1つのVPCを論理的なまとまりとして分離でき、複数のVPC間の接続も可能です。AWSのセキュリティの基本はどうやってVPCを守るかということになります。 AWSのセキュリティグループとは？ セキュリティグループは、VPC（AWSネットワーク）上で通信制御をするファイアウォール機能です。 サーバやロードバランサー毎に立ちはだかる壁であり、IPや通信プロトコル単位、も

Azureかなり理解した気になっていましたが、可用性ゾーンを考慮した設計が全然できていなかったので初心者です。Azure全然わからん。 本記事の内容はドキュメントを読めば大体書いてある内容ですが、書いてなかったりすることも書いてあるかもしれません。 可用性ゾーン（Availability Zones）について 可用性ゾーンについて完全に理解している人は多いと思いますが、私の理解も兼ねて書きます（誤ってたらこっそり編集リクエストください）。 可用性ゾーンとは Azureにおいては、1つのリージョンに1つ以上のゾーンが存在し、その中に1つ以上のデータセンターが存在しているという設計になっています。 （なお、データセンターの電源、冷却、およびネットワークインフラストラクチャは独立しており、この部分の障害が別のデータセンター影響を与えないように作られている。） 複数のゾーンを組み合わせて使うことで

はじめに Azure Files は オンプレミス AD DS との連携も可能な、マネージドなファイル共有サービスです。 今回は、Azure Files へのアクセス経路を検討し、プライベートエンドポイントを構成してみます。 アクセス経路の検討 Azure Files は PaaS サービスですので、既定ではストレージアカウント の パブリックIPアドレスと通信して利用することになります。 しかし、プライベートエンドポイント と組み合わせれば、プライベートIPアドレスでアクセス可能になります。VPNで張ったトンネル内を通るように構成することもできますし、ExpressRoute で接続している場合は、インターネットを経由しないアクセスも可能です。 また、ストレージアカウントにはファイアウォール機能があり、パブリックIPアドレスへのアクセス経路を制限することで、接続元を限定できます。パブリッ

マネージドIDとKeyVaultの違いマネージド ID と IMDSマネージド ID とは「(ユーザーの操作ではなく) 稼働中の Azure サービスが Azure AD に保護されたリソースへアクセスするときの認証主体 ID」のことです。 認証主体は仮想マシン (Azure VM) だったり App Service のような Azure Managed Service だったりします。 例えば App Service で稼働しているアプリケーションが Blob Storage と連携したいが Blob Storage には匿名アクセスは許可されておらず Azure AD による認証が必要な場合、やり方の 1 つとして「App Service に記述するソースコード自体に認証情報を埋め込む」というものがあります。 ですがこれはセキュリティリスクが高い行為であり、また、パスワード等の認証情報

ネットワーク設計のキモ “Azure Gateway” を調査する！ 2016/10/6 2019/5/23 Virtual Network Azureでの仮想マシンの利用において、先ず「ネットワーク設計」が気になるポイントかと思います。 今まで、仮想ネットワークに関係する Azureサービスの記事を書いて来ましたが、ここで一度「仮想ネットワーク」周りを整理したいと思います。 ※ちなみに、Azure Gateway とは、仮想ネットワークを作成した際に、自動作成されるゲートウェイを指しています。システムゲートウェイとも呼ばれます。 先ず最初に仮想ネットワークを構成するAzureサービスを整理します。 ・接続先を追加する機能：VPNGateway(S2S,P2S,V2V)、ExpressRoute、VNetピアリング ・ルーティングを制御する機能：UDR ・フィルタリング機能：NSG ※図に

Azure Virtual Desktop (AVD) ネットワーク アーキテクチャ 2020/12/4 2023/6/12 Azure Virtual Desktop Azure Virtual Desktop (AVD) を導入する際に、先ず検討の対象となるのがネットワークの構成です。ネットワークは、後から変更するのが難しいので、最初にキチンと設計しておきたいところです。 そこで、今回は、大規模な展開にも対応できるオススメ構成を考えてみました！ ジャジャーーーン！ ・１つのAzureADテナントで構成しています。 ・Azureネットワークの大原則である、ハブ＆スポークにて構成しています。 ・サブスクあたり、5000VMを推奨。 ・サブスクあたり、ANFアカウントを１つ作成し、スポークに対してボリュームを提供する。 ・ユーザーあたり、50IOPSとした場合、9175人ほどをボリュームに収

この記事では、Azure プラットフォームのメトリック、リソース ログ、アクティビティ ログを異なる宛先に送信するための診断設定を作成し、構成する方法について詳しく説明します。 各 Azure リソースには、次の条件を定義する独自の診断設定が必要です。 ソース: 設定に定義された宛先に送信するメトリックとログ データの種類。 使用可能な種類は、リソースの種類によって異なります。 宛先: 1 つ以上の宛先。 1 つの診断設定では、各宛先を 1 つだけ定義することができます。 特定の種類の複数の宛先 (たとえば、2 つの異なる Log Analytics ワークスペース) にデータを送信する場合は、複数の設定を作成します。 各リソースには、最大 5 つの診断設定を作成できます。 警告 リソースの削除、リソースの名前変更、または移動、またはリソース グループまたはサブスクリプション間での移行が必

過去の記事で、Azureのプライベート/パブリックサブネットについて記載し、 その中で少しだけルートテーブルについて記載しておりますが、 今回はルートテーブルについて深堀り致します。 ↓過去の記事↓ www.guri2o1667.work ■公式サイト ■システムルートについて ■システムルートの削除/更新について ■カスタムルート（UDR：ユーザ定義ルート）について ■カスタムルート（UDR：ユーザ定義ルート）で指定できるネクストホップについて 【仮想ネットワークゲートウェイ】 【仮想ネットワーク】 【インターネット】 【仮想アプライアンス】 【なし】 ■ネクストホップの種類について ■カスタムルート（BGP：ボーダーゲートウェイプロトコル）について ■公式サイト Azure 仮想ネットワーク トラフィックのルーティング | Microsoft Docs ルートベースの VPN Gate

Azure PaaSサービスを安全に使いたいと考えた時、Private Endpointを検討するのはよくあると思います。ただ、Private Endpointは存在していると時間単位で課金されていったり、開発のアジリティに影響が出るため、テスト用やシンプルなファイル共有にはハードルが少し高い場合があります。よって、PaaSを普通にPaaSとして使う(自分でも何を言っているのか、、、)需要ももちろんあります。その際の最小限の穴あけについて挙動の確認をしました。 前提条件として、PaaSにアクセスするVMのSubnetにはデフォルトルートを仮想アプライアンスに向けるような設定がされているとします。 穴あけ L3/L4レベルでの穴あけが必要です。 NSG NSGはデフォルトでは送信規則が実質なにも設定されていない 自由に外部アクセスさせたくない環境には送信規則でInternet拒否のルールが必