AWSとGCPが日本政府の共通クラウド基盤「ガバメントクラウド」に 「セキュリティや業務継続性で判断」
デジタル庁は10月26日、日本政府の共通クラウド基盤「ガバメントクラウド」として、「Amazon Web Services」と「Google Cloud Platform」を選んだと発表した。「公募に3社の応募があったが、セキュリティや業務継続性など350の項目を満たした2社を選定した」(同庁)という。 デジタル庁は今後、同庁のWebサービスなどをAWSとGCPで構成したマルチクラウド基盤に構築。他省庁の新システムなども、クラウド移行を行う場合はガバメントクラウドの活用を検討する。自治体のシステムの提供基盤も2025年度末までに共通化し、政府・自治体間のデータ移行や、既存システムの機能拡張をしやすくするとしている。 クラウド化により、各自治体のサーバ導入・運用コスト削減も見込む。複数の民間事業者がガバメントクラウド上に業務用アプリなどを開発し、自治体が状況に合わせて導入を判断できるようにす
Improved Filters — JMESPath
Improved Filters¶ JEP 9 Author James Saryerwinnie Status accepted Created 07-July-2014 Abstract¶ JEP 7 introduced filter expressions, which is a mechanism to allow list elements to be selected based on matching an expression against each list element. While this concept is useful, the actual comparator expressions were not sufficiently capable to accomodate a number of common queries. This JEP exp
【AWSセキュリティ】CloudTrailのログ保全に関するIAMポリシー | DevelopersIO
よく訓練されたアップル信者、都元です。CloudTrailは、AWS APIの全ての呼び出しについて、それを行った主体(principal≒ユーザ)やIPアドレス、リクエストやレスポンスの詳細を記録し、そのログをS3に出力してくれるサービスです。このサービスがあることにより、不正アクセスがあった場合の追跡が可能になります。また「記録されているから悪事は働けない」という心理的な予防効果も期待できます。 CloudTrail自体を狙われる危険性 しかし、この証跡ログはS3のバケットにファイルとして配信されるため、悪意のあるユーザによる証拠の隠滅の可能性を考慮しなければなりません。 まず、全リージョンでCloudTrailを有効にした後は、CloudTrail自体の停止を禁止する必要があります。そんなポリシーステートメントはこちら。CloudTrailへの状態変更を行うアクションについては明示的
IAM チュートリアル: AWS アカウント間の IAM ロールを使用したアクセスの委任 - AWS Identity and Access Management
このチュートリアルでは、ロールを使用して、お客様が所有する作成および開発という異なる AWS アカウント のリソースへのアクセスを委任する方法について説明します。特定のアカウントにあるリソースを別のアカウントのユーザーと共有します。このようにクロスアカウントアクセスを設定することで、お客様はアカウントごとに IAM ユーザーを作成する必要がなくなります。また、ユーザーは、異なる AWS アカウント のアカウントのリソースにアクセスするために、あるアカウントからサインアウトして別のアカウントにサインインする必要がなくなります。ロールを設定した後、AWS Management Console、AWS CLI、API からロールを使用する方法について説明します。 IAM ロールとリソースベースのポリシーは、単一のパーティション内のアカウント間でのみアクセスを委任します。たとえば、標準 aws パ
Lambda のアイデンティティベースの IAM ポリシー - AWS Lambda
Lambda へのアクセス権をアカウントのユーザーに付与するには、AWS Identity and Access Management (IAM) のアイデンティティベースのポリシーを使用します。アイデンティティベースのポリシーは、ユーザーに直接適用するか、ユーザーに関連付けられているグループおよびロールに適用することができます。または、アカウントのロールを引き受け、Lambda リソースにアクセスするためのアクセス許可を、別のアカウントのユーザーに付与することもできます。このページでは、アイデンティティベースのポリシーを関数開発に使用する方法の例を紹介します。 Lambda は、Lambda API アクションへのアクセスを許可し、場合によっては、Lambda リソースの開発と管理に使用される他の AWS サービスへのアクセスを許可する、AWS マネージドポリシーを提供します。Lambd
Lambda 関数へのきめ細かなアクセス権の設定
Amazon リソースネーム (ARN) で識別される特定の AWS Lambda 関数に読み取りおよび書き込みアクセス権を付与する必要があります。Lambda 関数にきめ細かなアクセス権を提供するにはどうすればよいですか? 簡単な説明 AWS Identity and Access Management (IAM) を使用して、Lambda 関数に対するアクセス許可を設定できます。 Lambda 関数の作成 Lambda 関数の削除 Lambda 関数の設定詳細の表示 Lambda 関数の変更 Lambda 関数の呼び出し Lambda 関数のモニタリング 次のポリシー例では、リソースレベルのアクセス許可をサポートする Lambda API アクションは各ステートメントの Resource 要素にリストされている特定の Lambda 関数に制限されます。特定の関数名がこれらの要素をサポー
IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management
AWS Identity and Access Management ベストプラクティスは 2022 年 7 月 14 日に更新されました。 AWS のリソースを保護するには、AWS Identity and Access Management (IAM) を使用する際の以下のベストプラクティスに従ってください。 人間のユーザーが一時的な認証情報を使用して AWS にアクセスする場合に ID プロバイダーとのフェデレーションを使用することを必須とする 人間のユーザーとは、別名人間 ID と呼ばれ、人、管理者、デベロッパー、オペレーター、およびアプリケーションのコンシューマーを指します。人間のユーザーは AWS の環境とアプリケーションにアクセスするための ID を持っている必要があります。組織のメンバーである人間のユーザーは、ワークフォースアイデンティティとも呼ばれます。人間のユーザーには
AWS Lambda関数の特定バージョンのコードをダウンロードする | DevelopersIO
AWS Lambdaは2015年の10月からバージョン管理機能に対応し、この機能を有効化すると、コードをバージョン管理できるようになりました。 残念なことに、Lambda関数をバージョン管理しても、管理コンソールからは最新版のコードしか取得出来ません。 そこで今回は、コマンドライン(AWS CLI)からバージョン・エイリアスを指定してLambda関数をダウンロードする方法を紹介します。 バージョン管理されたLambda関数 例として、バージョン管理された Lambda 関数 "test" に対して 3 4 $LATEST の版が存在し、エイリアスとして「prod」が版「3」を指しているとします。 Lambda 関数のバージョニング・エイリアス機能については、次のページをご確認ください。 http://docs.aws.amazon.com/lambda/latest/dg/versioni
機密情報を一元管理できる「AWS Secrets Manager」とは?概要と主要機能、動作原理、各種リソースまとめ | DevelopersIO
AWS Summits 2018 | San Franciscoにて突如発表された、AWS Secrets Manager。自分も速報記事(【完全新機能】DB認証情報やOAuthキーを一元管理可能なAWS Secrets Managerが発表されました!)書いて以降、あれこれ触ってみています。 この記事では、これからAWS Secrets Managerを触ってみようという人に向けて、公式ドキュメントの内容を中心に、その概要と動作原理、各種チュートリアル、詳細を学ぶためのリソースをまとめてみました。 とりあえず読んでおいてもらえれば、幸せになれるかと思っております。 目次 各種リソース AWS Secrets Managerとは? AWS Secrets Managerの主要機能3点 AWS Secrets Managerの動作原理 AWS Secrets Managerのローテーション機
新サービス「AWS Secrets Manager」をチュートリアル2種(基本設定、RDSローテーション)で基礎から学ぶ | DevelopersIO
詳細設定画面では、「パブリックアクセシビリティ」を「はい」に設定します。これにより、自動的にデータベースにElastic IPが付与され、LambdaローテーションファンクションにVPCをアタッチする必要が無くなります。その他のネットワーク設定は初期値で設定します。 これは、チュートリアル用の最低限の設定です。プライベートVPCを利用する場合(普通はこっちすね)は、データベースが格納されているサブネットからルーティングテーブルにNAT gatewayへのルーティング設定を行います。また、適切なセキュリティグループの設定も必要です。LambdaをVPC内の設置する場合の構成については、弊社菊池のこちらの記事(機密管理サービス AWS Secrets Manager で RDS のパスワードローテーションを試す | Developers.IO)を参照ください。 その他の設定はデフォルト(ポート
暗号化していないRDS DBインスタンスを暗号化する | DevelopersIO
Amazon RDS リソースの暗号化オプションを有効化すると、AES-256 暗号化アルゴリズムにより以下のデータを暗号化することができます。 ※対応しているインスタンスクラスや制限事項についてはAmazon RDS リソースの暗号化をご確認ください。 DB インスタンス 自動バックアップ リードレプリカ スナップショット ログ 暗号化オプションはDB インスタンスの作成時にのみ有効にすることができ、作成後のインスタンスでは有効にすることができません。ただし暗号化されていないスナップショットのコピーは暗号化することが可能です。 そのため暗号化してコピーしたスナップショットから暗号化されたインスタンスを復元することができます。 今回は、暗号化していない既存インスタンスを暗号化オプションを有効化にしたインスタンスにする方法をご紹介します。 要件 MySQLエンジンの暗号化オプションを有効にし
【AWS】暗号化されていないRDSを暗号化したい | 大阪のシステム開発なら 株式会社ウィズテクノロジー
「このRDS、暗号化できたらいいのにな」ってこと、ありませんか? ネットセキュリティ対策が求められる昨今、稼働中のRDSが「暗号化」されていないものも多少なり存在していると思います。 コンプライアンス要件の達成も含め、掲題のようにお考えの方もいいらっしゃるのではないでしょうか? そこで今回は、稼働中のRDS暗号化の方法・手順をご紹介します。 RDSを暗号化するメリット 文字通り、RDSのデータ保護が最大のメリットになります。 万一、AWSデータセンタへ不正アクセスや侵入被害にあった場合に効力を発揮しますので、リスクヘッジとしては大きな役割を担います。 ※XSSなどによるアプリケーションの脆弱を突かれた場合、RDS暗号化では侵入・漏えいは防げません。 一方で暗号化によるRDSパフォーマンス低下が気になるところですが、大幅なパフォーマンス低下はなさそうです。それでも不安という方は、負荷テストを
10分でわかる!Key Management Serviceの仕組み #cmdevio | DevelopersIO
こんにちは、虎塚です。 先日のCM re:Growth Developers.IO Meetup 11 Tokyo で「10分でわかるKey Management Serviceの仕組み」という発表をしました。今日は、イベントに参加されなかった方がご覧になっても内容が伝わるように、発表内容を記事に起こしてみました。 はじめに Key Management Service(KMS)は、先月開催されたre:Invent 2014で発表された新サービスです。すでに全リージョンで利用できます。このサービスを使うと、データの暗号化/復号用の鍵をAWS上で管理できます。 ところで、KMSのAPIドキュメントを流し読みすると、マスターキーとデータキーという言葉が出てきます。そうです、KMSが扱う鍵は2種類あるんですね。 2つの鍵の違いは何か? どう使い分けるのか? などが、ぱっと見ではわかりづらいかもし
AWS再入門 – Amazon KMS編 | DevelopersIO
当エントリはDevelopers.IOで弊社AWSチームによる2015年アドベントカレンダー『AWS サービス別 再入門アドベントカレンダー 2015』の5日目のエントリです。 昨日4日目のエントリはしんやの『Amazon Redshift 』でした。 このアドベントカレンダーの企画は、普段AWSサービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 本日5日目のテーマは『Amazon Key Management Service』です。 Amazon KMSとは Amazon Key Management Service(AWS KMS)はデータの暗号化に使用する暗号化キーを簡単に作成および管理できるマネージドサービスです。 以下のような特徴があります
Amazon Route 53のALIASレコード利用のススメ | DevelopersIO
よく訓練されたアップル信者、都元です。 Amazon Route 53は、AWSが提供するDNSサービスです。通常、ドメインを取得すると、ドメインレジストラからDNSがサービスで提供されることが多いと思います。費用は大抵ドメイン代に含まれていて、追加費用は無いことが多いです。しかしAWSで利用するドメインは、下記のような理由から、ドメインのオマケで付いてくるDNSではなく、Route 53を利用するメリットが大いにあります。 無料じゃないとは言え、とにかく安い。Route 53のコストが月10ドル超えるような人気サービスを作れたら勝ち組です。 プログラマブルである。レコードの定義と書き換えをスクリプトで実行できる。デプロイの自動化に寄与。 CloudFormationからレコードの定義と書き換えができる。まぁ↑とほぼ同じことを言ってますが。 SLAは100%(!?) ELB, CloudF
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon SNS と SES の違い | メール送信機能差
AWS Key Management Service
AWS Secrets Manager シークレットをモニタリングする - AWS Secrets Manager
https://slideship.com/users/@okzk/presentations/2018/10/Jgn6TyetK7jFvSbd6ciosd/?p=12
Python3+boto3でKMSのdata-keyを利用して暗号化、復号化するサンプル