「ISC2 Japan Chapter勉強会 2024/07」の登壇スライドです。 ※ Speaker Deck上だと太文字が滲んでいるため、手元にダウンロードしてPDFを見ると鮮明に閲覧することができます。 - https://sites.google.com/isc2chapter.jp/mee…
![クラウドセキュリティ入門〜オフェンシブ視点でAWS環境に着目した際の脅威と対策〜](https://cdn-ak-scissors.b.st-hatena.com/image/square/c4150bcf2567b7ef900898cf568399dedf561a26/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F32c13dc4040f4dddbfc61d3f12a21c27%2Fslide_0.jpg%3F30937559)
はじめに サーバーレス大好きなエンジニアです! みなさん、AWS Lambdaを使ってますか? 日常的に利用しているけど、最適化についてはあまり考えていない方も多いのではないでしょうか。 実際、私もあまり意識せずに使っていました。 使い方をちょっと工夫するだけで、Lambdaのパフォーマンスがぐんと上がるんです! 今回は、AWSのドキュメントに書かれているベストプラクティスを参考にしながら、Lambdaを最大限に活用する方法をお伝えします。 各セクションのタイトルを見ると、ちょっと難しそうに感じるかもしれませんが、できるだけわかりやすく解説していきますので、ぜひ参考にしてみてください! 対象読者 Lambdaを使ったことがある人 もっと効果的に使いたいと感じている方 チームの開発効率とコードの品質を向上させたい方 Lambdaに興味がある方 では、早速始めていきましょう! 目次 ハンドラー
コールドスタートとは Lambdaはイベント駆動型のサーバーレスコンピューティングサービスです。 API GatewayやEventBridge等様々なサービスから起動されます。 Lambdaが呼び出されると、AWSはLambdaを実行するために必要なインフラストラクチャを自動的に構成・管理を行います。 関数が初めて呼び出される場合や長時間呼び出されていなかった場合、新しいコンテナを起動する必要があります。これを「コールドスタート」と呼び、時間がかかり、遅延が発生することがあります。 コールドスタートの影響について コールドスタートによる遅延は様々な影響が考えられます。 特にリアルタイム性が求められるようなシステムでは、この遅延で大きな障害や想定していなかった事象が発生することがあります。 例えばAPIのレスポンス時間が重要なアプリや、IoTデバイスからのイベント連携処理等の数100ms以
はじめに AWS Lambdaは、イベント駆動型のサーバーレスコンピューティングサービスであり、API GatewayやEventBridgeなど様々なサービスから起動されます。 この記事ではAWS Lambdaでのインメモリキャッシュのポイントと、その実装方法について解説します。 キャッシュとは コンピューティングにおいて、キャッシュは、データのサブセットが保存される高速のデータストレージレイヤーで、通常は一時的な性質のものです。これにより、それ以降に同じデータのリクエストが発生した場合、データのプライマリストレージロケーションにアクセスするよりも高速にデータが供給されます。キャッシュにより、以前に取得または計算されたデータを効率的に再利用できるようになります。 AWSでキャッシュを活用することのメリット AWSでキャッシュを活用することで以下のようなメリットがあります。 パフォーマンス
はじめに あまりAWS触ったことがない人向けに、サーバーレスアーキテクチャの勉強会をすることになりました。 座学だけやっても身につかないことはここ1年で感じていましたし、AWS日本語ハンズオンやQiita/Zennは全体的に説明が丁寧すぎて苦労しないので、独自のハンズオンを作ってみようと思いました。 この記事の趣旨 そこで本記事では、初学者が苦労して学ぶハンズオンを目指しています。 自分で調べて、トライ&エラーして知識を学んでいくという感じです。 初学者向けの研修としても、チューターが何人かいればサポートしながら動くものが作れることで、知識だけでなく達成感も得られると思います。 ハンズオン要件編 要件 今回のハンズオンでは図書貸出アプリを作ります。 イメージしやすいと思いますが、図書館で管理する本を利用者に貸し出す、返却するなどを行います。 基本的な要件は以下とします。 利用者は、図書館で
コンテナをリクエスト処理時間ベースの料金体系で実行できるサーバレス環境としては、Google の Cloud Run(2019年11月GA)と AWS Lambda(2020年12月にコンテナに対応)が特に有名でしょう。 これらの環境は、一度起動したコンテナインスタンスをしばらく生かしておき、その後のリクエストに使いまわします。しかし、生きているインスタンスが足りない場合は新たなコンテナの起動から始めるいわゆる「コールドスタート」となり、応答のオーバーヘッドが大きく増加します。用途によっては、このコールドスタートにかかる時間が問題になります。 Cloud Run と Lambda でのコールドスタートの様子を観察するため、いくつかの言語で "Hello, World!" を返すだけのWebアプリコンテナを作り、コールドスタートの時間を「雑に」観察してみました。 注意: コストや性能は考慮し
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 東京海上日動は5月7日、米Amazon Web Services(AWS)とサイバー保険で協業すると発表した。 この協業では、クラウド環境に特化したサイバーリスクの評価の高度化とサイバーリスク保険の提供を予定する。まずは提供の同意を得たAWSユーザーのデータを東京海上日動が分析し、クラウドに特化したサイバーリスク評価手法の研究と保険引受判断の高度化を行う。 次に、AWSのセキュリティ対策状況管理サービス「AWS Security Hub」のデータを使用したサイバーリスク保険の提供を開始する。一部のAWS Security Hubユーザー向けに提供し、2025年に任意の全ユーザーに提供する。従来の申告ベースのリスク評価だけでなく、AWSク
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
はじめに CloudFrontのOrigin Access Control(OAC)がLambda Functions URLに対応しました。 つまり、Functions URLとCloudFrontのインテグレーションが実現できるようになりました!うおおおお! と、このアプデの何がすごいの? という点がいまいち伝わってない人向けに、この記事ではもろもろの経緯とユースケースを紹介します。 経緯 Functions URLs、その課題 2022/4にLambdaの組み込みエンドポイントとしてLambda Functions URLが利用できるようになりました。 これは従来ALBやAPI Gateway経由のリクエストしか扱えなかったAWS Lambdaにとって、同期リクエストを受ける便利な選択肢です。API Gatewayでネックだった29秒制限もないので、Lambdaの起動時間(最大900
はじめに AWS LambdaのFunction URLs(関数URL)は、Lambda単体でHTTPSのURLを発行し、HTTPリクエストをトリガーにLambdaを実行出来るようになる、非常に便利な機能です。 API Gatewayと統合せずともLambdaのみでWebAPIを構築出来るようになり、プロトタイピングやマイクロサービスに有用です。 関数URLの制限 ところで、関数URLの実行の認可は、IAMを用いた方法しかありませんでした(IAMロールベースの認可か、認可なししか無かった)。 Cloudfrontをリバースプロキシ的に前段に配置し、関数URLと繋ぐことで、ドメインを当てたりキャッシュを活用したり、便利な訳ですが、その際に上記が問題となります。というのは、CloudfrontからIAMベースのリクエストを行うには、Lambda@Edgeを利用するしかありませんでした(オリジン
AWSサーバレスアーキテクチャをMonorepoツール - Nxとterraformで構築してみた! こんにちは。DevOpsで開発者を幸せにしたい。KINTO テクノロジーズのCCoEチーム所属の栗原です。 AWS Summit Tokyo 2023:クルマのサブスク「KINTO」のアジリティとガバナンスを両立する DBRE の取り組みでも発表しましたが、弊社DBREチームではSlackからのリクエストをトリガーに、一時的な踏み台サーバーを払い出すプラットフォーム(以降DBREプラットフォーム)を全社に展開しています。 DBREプラットフォームはAWSのサーバレスサービスを組み合わせて実装されています。同サーバレス部分をチームの使い慣れたterraformでIaCしつつ、NxというMonorepoツールで開発者体験の向上に成功した話をこの記事で紹介します。サーバレスに限らず、Monore
最近のAWSはCDKの発表に代表されるようにインフラ以外の開発者が触りやすい環境が整ってきています。ただ、こうした機能やリソースを存分に享受するにはIAM管理だけでは不足しており、AWSアカウントの管理方針を大枠で整理する必要が出てきました。今回は深く考えずに使っていたOrganizationsを整理する際にはまったポイントを記していきます。 > PROBLEMPROBLEM 初期の頃につくったAWSアカウントにコンソリ請求の便利さからとりあえずOrganizations機能をつけてみた その後、当該アカウントに異なるワークロードのリソースを加えすぎてスケールしづらい構成になってきた 例えば 開発環境をAWSアカウント単位で分けられないためIAMや開発サイクルが複雑になり開発スピードに支障が出てきた セキュリティ上望ましくないシステム構成について改修のハードルが上がってきた > SOLUT
前置き 予告編と記事を1つ挟んで、改めて作っていこうと思います。 APIGateWayとLambdaを使って決済システムのAPIを作るお話しです。 全体構成 今回お話しするのはピンクの枠となっている部分です。 注意点 必ずしもAWSのベストプラクティスに準じているわけではありません プログラムの内容は非公開であり、当該環境内で今回出てくる物は説明するサービスしか構成図に載せてません 決済と記載していることからセキュリティの認証系を取るための参考構成としてください 構成図はピンクの枠を変更することから毎回の記事には載せますが、検証環境のアカウントが用意できなかったため設定時の画像はあっても細切れとなります 左のVPCに関しては、細かい所が出せないため、細かい説明はしません。 今回のお話で利用するサービス API Gateway AWS WAF Certificate Manager Rout
注目の新機能Amazon Q 最近、生成系AIに関するアップデートが次々と出てきていますね。 AWSのビックイベントの1つであるre:Invent 2023でも、沢山の生成系AIに関するアップデートが発表されましたが、その中でも私が注目しているのはAmazon Qの発表です。 公式ページでは「Amazon Qは、内部的にはBedrockを駆使した新たなビジネスアシスタントで、企業の情報システムと連携し、会話を通じて問題解決や情報の生成を行う」と紹介されていますが、これだけではイメージが湧きにくいかもしれません。そこで、実際にAmazon Qを使用し、その機能を探ってみました。 Amazon Qとは Amazon Qは機能がかなり多く、アップデートも激しいですサービスです。また、執筆時点では公式ドキュメント数も少ないため全体感を掴むことが難しいと感じております。 そこで、AWS re:Inv
AWSだけで実装する場合の問題点 AWSにもSecurityHubを使うことで発見的統制や予防的統制を管理することができますが、大量アラートが発生することも多いことが実情です。また、セキュリティイベントという性質上、かんたんに無視できず運用負荷になりがちです。 【問題点】 アラートチューニングに適していない ログ検索のプラットフォームとの連動に作り込みが必要で、日々のセキュリティイベントの件数の分析などが難しく、件数を減らすためのチューニングが困難です。 独自ルールの設定ができない AWSのベストプラクティスに則ったルールが適用されますが、社内のルールなど独自ルールを導入しずらく、統制の観点で要求レベルを満たさない場合があります。 アカウントを横断して管理しにくい このような監査基盤はCCoEなど全社横断の組織が管理することが多く、マルチアカウントの管理が必要となります。 NewRelic
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く