AWS LambdaのコールドスタートとLLRTによる改善について
コールドスタートとは Lambdaはイベント駆動型のサーバーレスコンピューティングサービスです。 API GatewayやEventBridge等様々なサービスから起動されます。 Lambdaが呼び出されると、AWSはLambdaを実行するために必要なインフラストラクチャを自動的に構成・管理を行います。 関数が初めて呼び出される場合や長時間呼び出されていなかった場合、新しいコンテナを起動する必要があります。これを「コールドスタート」と呼び、時間がかかり、遅延が発生することがあります。 コールドスタートの影響について コールドスタートによる遅延は様々な影響が考えられます。 特にリアルタイム性が求められるようなシステムでは、この遅延で大きな障害や想定していなかった事象が発生することがあります。 例えばAPIのレスポンス時間が重要なアプリや、IoTデバイスからのイベント連携処理等の数100ms以
AWS Lambdaのインメモリキャッシュについて
はじめに AWS Lambdaは、イベント駆動型のサーバーレスコンピューティングサービスであり、API GatewayやEventBridgeなど様々なサービスから起動されます。 この記事ではAWS Lambdaでのインメモリキャッシュのポイントと、その実装方法について解説します。 キャッシュとは コンピューティングにおいて、キャッシュは、データのサブセットが保存される高速のデータストレージレイヤーで、通常は一時的な性質のものです。これにより、それ以降に同じデータのリクエストが発生した場合、データのプライマリストレージロケーションにアクセスするよりも高速にデータが供給されます。キャッシュにより、以前に取得または計算されたデータを効率的に再利用できるようになります。 AWSでキャッシュを活用することのメリット AWSでキャッシュを活用することで以下のようなメリットがあります。 パフォーマンス
自分で考えるAWSサーバーレスアーキテクチャのハンズオンを作ってみた - Qiita
はじめに あまりAWS触ったことがない人向けに、サーバーレスアーキテクチャの勉強会をすることになりました。 座学だけやっても身につかないことはここ1年で感じていましたし、AWS日本語ハンズオンやQiita/Zennは全体的に説明が丁寧すぎて苦労しないので、独自のハンズオンを作ってみようと思いました。 この記事の趣旨 そこで本記事では、初学者が苦労して学ぶハンズオンを目指しています。 自分で調べて、トライ&エラーして知識を学んでいくという感じです。 初学者向けの研修としても、チューターが何人かいればサポートしながら動くものが作れることで、知識だけでなく達成感も得られると思います。 ハンズオン要件編 要件 今回のハンズオンでは図書貸出アプリを作ります。 イメージしやすいと思いますが、図書館で管理する本を利用者に貸し出す、返却するなどを行います。 基本的な要件は以下とします。 利用者は、図書館で
Google Cloud Run と AWS Lambda のコールドスタート時間を言語別に観察してみる - Qiita
コンテナをリクエスト処理時間ベースの料金体系で実行できるサーバレス環境としては、Google の Cloud Run(2019年11月GA)と AWS Lambda(2020年12月にコンテナに対応)が特に有名でしょう。 これらの環境は、一度起動したコンテナインスタンスをしばらく生かしておき、その後のリクエストに使いまわします。しかし、生きているインスタンスが足りない場合は新たなコンテナの起動から始めるいわゆる「コールドスタート」となり、応答のオーバーヘッドが大きく増加します。用途によっては、このコールドスタートにかかる時間が問題になります。 Cloud Run と Lambda でのコールドスタートの様子を観察するため、いくつかの言語で "Hello, World!" を返すだけのWebアプリコンテナを作り、コールドスタートの時間を「雑に」観察してみました。 注意: コストや性能は考慮し
東京海上日動とAWS、サイバー保険で協業--「Security Hub」のデータを利用
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 東京海上日動は5月7日、米Amazon Web Services(AWS)とサイバー保険で協業すると発表した。 この協業では、クラウド環境に特化したサイバーリスクの評価の高度化とサイバーリスク保険の提供を予定する。まずは提供の同意を得たAWSユーザーのデータを東京海上日動が分析し、クラウドに特化したサイバーリスク評価手法の研究と保険引受判断の高度化を行う。 次に、AWSのセキュリティ対策状況管理サービス「AWS Security Hub」のデータを使用したサイバーリスク保険の提供を開始する。一部のAWS Security Hubユーザー向けに提供し、2025年に任意の全ユーザーに提供する。従来の申告ベースのリスク評価だけでなく、AWSク
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
CloudFrontがLambda Functions URLへのOACに対応! の何がすごいか - Qiita
はじめに CloudFrontのOrigin Access Control(OAC)がLambda Functions URLに対応しました。 つまり、Functions URLとCloudFrontのインテグレーションが実現できるようになりました!うおおおお! と、このアプデの何がすごいの? という点がいまいち伝わってない人向けに、この記事ではもろもろの経緯とユースケースを紹介します。 経緯 Functions URLs、その課題 2022/4にLambdaの組み込みエンドポイントとしてLambda Functions URLが利用できるようになりました。 これは従来ALBやAPI Gateway経由のリクエストしか扱えなかったAWS Lambdaにとって、同期リクエストを受ける便利な選択肢です。API Gatewayでネックだった29秒制限もないので、Lambdaの起動時間(最大900
AWS Lambda Function URLs(関数URL)がCloudfrontのOACに対応したので試す - Qiita
はじめに AWS LambdaのFunction URLs(関数URL)は、Lambda単体でHTTPSのURLを発行し、HTTPリクエストをトリガーにLambdaを実行出来るようになる、非常に便利な機能です。 API Gatewayと統合せずともLambdaのみでWebAPIを構築出来るようになり、プロトタイピングやマイクロサービスに有用です。 関数URLの制限 ところで、関数URLの実行の認可は、IAMを用いた方法しかありませんでした(IAMロールベースの認可か、認可なししか無かった)。 Cloudfrontをリバースプロキシ的に前段に配置し、関数URLと繋ぐことで、ドメインを当てたりキャッシュを活用したり、便利な訳ですが、その際に上記が問題となります。というのは、CloudfrontからIAMベースのリクエストを行うには、Lambda@Edgeを利用するしかありませんでした(オリジン
AWSサーバレスアーキテクチャをMonorepoツール - Nxとterraformで構築してみた!
AWSサーバレスアーキテクチャをMonorepoツール - Nxとterraformで構築してみた! こんにちは。DevOpsで開発者を幸せにしたい。KINTO テクノロジーズのCCoEチーム所属の栗原です。 AWS Summit Tokyo 2023:クルマのサブスク「KINTO」のアジリティとガバナンスを両立する DBRE の取り組みでも発表しましたが、弊社DBREチームではSlackからのリクエストをトリガーに、一時的な踏み台サーバーを払い出すプラットフォーム(以降DBREプラットフォーム)を全社に展開しています。 DBREプラットフォームはAWSのサーバレスサービスを組み合わせて実装されています。同サーバレス部分をチームの使い慣れたterraformでIaCしつつ、NxというMonorepoツールで開発者体験の向上に成功した話をこの記事で紹介します。サーバレスに限らず、Monore
AWS Organizationsを別のAWSアカウントに移行する - On Blahfe
最近のAWSはCDKの発表に代表されるようにインフラ以外の開発者が触りやすい環境が整ってきています。ただ、こうした機能やリソースを存分に享受するにはIAM管理だけでは不足しており、AWSアカウントの管理方針を大枠で整理する必要が出てきました。今回は深く考えずに使っていたOrganizationsを整理する際にはまったポイントを記していきます。 > PROBLEMPROBLEM 初期の頃につくったAWSアカウントにコンソリ請求の便利さからとりあえずOrganizations機能をつけてみた その後、当該アカウントに異なるワークロードのリソースを加えすぎてスケールしづらい構成になってきた 例えば 開発環境をAWSアカウント単位で分けられないためIAMや開発サイクルが複雑になり開発スピードに支障が出てきた セキュリティ上望ましくないシステム構成について改修のハードルが上がってきた > SOLUT
APIGatewayとLambdaを使って決済システムのAPIを作る話・・・その1 - 白”雪姫”の雑なエンジニアブログ
前置き 予告編と記事を1つ挟んで、改めて作っていこうと思います。 APIGateWayとLambdaを使って決済システムのAPIを作るお話しです。 全体構成 今回お話しするのはピンクの枠となっている部分です。 注意点 必ずしもAWSのベストプラクティスに準じているわけではありません プログラムの内容は非公開であり、当該環境内で今回出てくる物は説明するサービスしか構成図に載せてません 決済と記載していることからセキュリティの認証系を取るための参考構成としてください 構成図はピンクの枠を変更することから毎回の記事には載せますが、検証環境のアカウントが用意できなかったため設定時の画像はあっても細切れとなります 左のVPCに関しては、細かい所が出せないため、細かい説明はしません。 今回のお話で利用するサービス API Gateway AWS WAF Certificate Manager Rout
【re:Invent 2023 新機能】Amazon Qの全体像を把握しよう! - Qiita
注目の新機能Amazon Q 最近、生成系AIに関するアップデートが次々と出てきていますね。 AWSのビックイベントの1つであるre:Invent 2023でも、沢山の生成系AIに関するアップデートが発表されましたが、その中でも私が注目しているのはAmazon Qの発表です。 公式ページでは「Amazon Qは、内部的にはBedrockを駆使した新たなビジネスアシスタントで、企業の情報システムと連携し、会話を通じて問題解決や情報の生成を行う」と紹介されていますが、これだけではイメージが湧きにくいかもしれません。そこで、実際にAmazon Qを使用し、その機能を探ってみました。 Amazon Qとは Amazon Qは機能がかなり多く、アップデートも激しいですサービスです。また、執筆時点では公式ドキュメント数も少ないため全体感を掴むことが難しいと感じております。 そこで、AWS re:Inv
NewRelicでCSPM (Cloud Security Posture Management) - Qiita
AWSだけで実装する場合の問題点 AWSにもSecurityHubを使うことで発見的統制や予防的統制を管理することができますが、大量アラートが発生することも多いことが実情です。また、セキュリティイベントという性質上、かんたんに無視できず運用負荷になりがちです。 【問題点】 アラートチューニングに適していない ログ検索のプラットフォームとの連動に作り込みが必要で、日々のセキュリティイベントの件数の分析などが難しく、件数を減らすためのチューニングが困難です。 独自ルールの設定ができない AWSのベストプラクティスに則ったルールが適用されますが、社内のルールなど独自ルールを導入しずらく、統制の観点で要求レベルを満たさない場合があります。 アカウントを横断して管理しにくい このような監査基盤はCCoEなど全社横断の組織が管理することが多く、マルチアカウントの管理が必要となります。 NewRelic
AmplifyCLIのオーバーライド機能まとめ - Qiita
本記事は AWS AmplifyとAWS×フロントエンド #AWSAmplifyJP Advent Calendar 2023の19日目の記事です。 はじめに 最近発表のあったAmplifyのGen2についてまだ詳しく情報収集はできていませんが、開発方法が大きく変わり、Gen1では手が届かなかった痒いところにも手が届きやすくなって開発体験はより良くなりそうな印象です。 近い将来にはAmplifyのGen2がベターな方法になって行くかとは思いますが、まだプレビューのお試し状態ですので、本番運用で使うAmplifyについてはまだしばらくGen1が続きそうです。 そんなGen1をまだまだ現役として少しでも快適に使うために今回は、AmplicyCLIのオーバーライド機能について簡単に書いていきたいと思います。 Amplifyのオーバライド機能 AmplifyCLIの対話方式では設定ができない細かい
ChatGPT-4にamplify overrideの使い方を聞いたらバグっていたので、この記事を読んで学習しろ
amplify override storage について書いた後に、ChatGPTに触れます。 AmplifyのOverride機能を使って、S3にバージョニングとライフサイクルポリシーを設定する方法 実行したいこと Amplifyが作ったS3バケットに対して、以下の設定をしたいと考えました。 バージョニングをONにする ライフサイクルポリシーを設定して 最新のオブジェクト以外を30日で削除する 最新のオブジェクト以外を10世代で削除する これを、AmplifyのOverrideを使って実現してみました。 AmplifyのOverride機能とは Amplifyが生成したAWSのリソースをカスタマイズする機能になります。 AmplifyはWebサービスに必要なリソースを簡単にデプロイできる非常に便利なサービスですが、簡単な故にリソースの様々な設定が自動で行われます。スモールスタートには良
「GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023 | DevelopersIO
こんにちは、臼田です。 みなさん、GuardDutyと戯れてますか?(挨拶 今回は弊社年1の一大イベントであるDevelopersIO 2023で登壇した内容の共有です。 スライド 解説 大前提 今回のセッションの概要は以下のとおりです。 GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう! クラスメソッドではAmazon GuardDutyを利用したセキュアアカウント インシデント自動調査機能を提供しています。日頃からGuardDutyを嗜んでいる立場から、みなさんに普段知る必要がないくらい深いGuardDutyの情報を提供します。念の為最新のGuardDutyのアップデートも織り交ぜつつ、みなさんがGuardDutyマスターになるために、GuardDutyの検知内容(Findings)のフォーマットがどの様になっているのかディープダイブして解説します。 というわけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Platform Engineering on Serverless
コードファーストの考え方。 Amplify Gen2から学ぶAWS次世代のWeb開発体験
開発者体験を変えるInfrastructure as Codeの新機能6選!
