セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
ガバメントクラウドAWSで多用されそうな Route 53 Resolver とADを利用し名前解決する方法 - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。先日 AWS Summit Japan 2024 へ参加するために幕張へ行ってきました。毎度ながら会場の熱量には圧倒されます。エンジニアとしてよい刺激を頂ける、毎年楽しみなイベントであります。 今回サミットでガバメントクラウド関係のセッションを聞いたり、参加者のSNS等でのレポートを拝見したりしました。目に留まったのが、AWS上のリソースに対してマイナンバー系ネットワークからDNSで名前解決する必要があることに皆様驚かれている点でした。AWS においては Route 53 Resolver インバウンドエンドポイントを利用することで、インターネットを介さずともDNSでの名前解決を実現できます。ただし、Route 53 Resolver は単体では利用できず、オンプレミスのDNSサーバーまたはActi
ガバメントクラウドのAWS見積で苦労したポイント10選 - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 昨年 令和5年度はガバメントクラウド関連のプロジェクトに関わる機会をいただき、地方自治体様向けにAWSの役務費用・利用料金の見積をお手伝いする機会が多々ありました。そのなかでエンジニアとして感じた苦労ポイントを本BLOGでご紹介させていただきます。 このBLOGを書いているちょうど先日、3月29日に「令和6年度ガバメントクラウド早期移行団体検証事業(第一回)」の公募および採択結果がデジタル庁より公示されました。「第一回」とあることから、年度内に追加で公募が行われると予想されますので、第二回以後に申込を検討している地方自治体ご担当様の参考になれば幸いです。 www.digital.go.jp 役務費用 依頼する作業範囲(スコープ)が不明 マイナンバー系ネットワークとAWSネットワーク間の責任分界点
Elasticsearch ServiceへのアクセスをIPで制限する - サーバーワークスエンジニアブログ
みなさんこんにちは 今年の3月からIoT担当となった中村です。 自宅のスマートホーム化を進めたり、ブリを開発したり、業務中にTwitterを6時間してたら、突然の異動宣告を受けました。 見られていないと思って好き勝手にやっていたら、意外と見られていたようです。 本題 さて、今日はElasticsearch Service(以下ES)にIP制限をかけるお話です。 ESのEndpointはアクセス制限をIAM Policyで定義することが可能です。 ESの画面ではテンプレートが幾つか用意されていて、AWSアカウントによる制限、IPアドレスによる制限などがあります。 今回の記事では、ESへのアクセスをIPアドレスで制限する方法について説明します。 いきなりですが、Policyはこのような感じになります。 { "Version": "2012-10-17", "Statement": [ { "
大事だけど AWS 構成図では省略してしまうことが多いサービスについて - サーバーワークスエンジニアブログ
コーヒーが好きな木谷映見です。 今回は小ネタです。AWS 構成図を書く際、省略してしまうことが多いサービスについて思いを馳せました。 よくある?構成図 リージョン アベイラビリティゾーン ルートテーブル AWS IAM インスタンスプロファイル Amazon EBS Elastic IP Elastic network interface(ENI) セキュリティグループ セッションマネージャーする時のエンドポイント 最終構成図 終わりに よくある?構成図 よくあると思われる構成図を描いてみました。 AWS になじみがある方から見ると、 「ふむ、パブリックサブネットとプライベートサブネットに 1 台ずつ EC2 インスタンスがあって、プライベートサブネットのインスタンスにはセッションマネージャーでログインするのかな?S3 バケットもあるな」 くらいの想像ができるかもしれません。 リージョン
Lambda でバッチ処理を構築する際のエラー通知パターン 5選 - サーバーワークスエンジニアブログ
はじめに パターン1. 直接Publish パターン メリット デメリット パターン2. DLQパターン メリット デメリット パターン3. 失敗時送信先パターン メリット デメリット パターン4. メトリクスフィルターパターン メリット デメリット パターン5. サブスクリプションフィルターパターン メリット デメリット 各パターン比較表 まとめ はじめに アプリケーションサービス部の宮本です。 お仕事でLambda を使ったバッチ処理を構築することが多いのですが、バッチ処理でエラーが発生した場合、通知が必要なケースが大半です。そこで通知の方法について、幾つかパターンがあるので纏めてみることにしました。 イメージとしては以下の様なバッチ処理です。条件に当てはまらない場合は別のアプローチもご検討ください。 ここでいうバッチ処理のイメージ 実行頻度は1日数回程度以下。 失敗すると何かしらの業
AWS Client VPN で iPhone からプライベートリソースを表示してみた - サーバーワークスエンジニアブログ
こんにちは、技術2課の駒井です。 今更ながら NBC ドラマの HEROES を視聴しているのですが、 頻繁にガラケーが登場するのでなんだか不思議な気持ちになりますね。 今回は、AWS Client VPN を手元の iPhone から接続してみようと思います。 これでお手軽にプライベートリソースに接続できますね! ヤッター!\(^o^)/(時空間制御) VPN 接続端末について Client: iPhoneX Software Version 13.3 App: OpenVPN Connect Version 3.1.1 接続までの流れ VPN 接続に際して AD 認証と証明書認証のどちらか、または両方を利用する必要がありますが、 今回は証明書認証のみを採用します。 以下のような流れで環境を作っていきます。 VPC/Public Subnet/Private Subnet を作成 EC2
プライベートなEC2にファイルを転送したい~WinSCPとFileZilla~ - サーバーワークスエンジニアブログ
クラウドインテグレーション部の村上です。 パブリックIPアドレスを持たないEC2に、ローカルからファイルを転送したい場面ってありますよね。 今回は備忘も兼ねてその方法をまとめます。ファイル転送ツールはいくつかありますが今回はWinSCPとFileZillaをピックアップします。 やること まとめ SCPでファイル転送 WinSCPでファイル転送 警告が表示される場合 FileZillaでファイル転送 AWS Systems Managerでファイル転送 ※補足※ Permission denied対策(2021年3月26日追記) ec2-userの所属グループを変更する htmlディレクトリの所有グループにも書き込み権限を付与する やること 以下の図のように、プライベートサブネットにあるEC2にローカル端末からファイルを転送します。 SCP WinSCP FileZilla (おまけ)AW
Active Directoryを通して知る認証・認可(承認) - サーバーワークスエンジニアブログ
技術2課の鎌田です。 前回記事で、AWSとActive Directoryとの連携をご紹介しました。 今回は、仕組みを見てみたいと思います。 ※なお、この記事では広く用いられているSAMLプロトコルの用語をベースとし、Active Directoryの用語は()書きで補足しています。 目次はこちら。 認証と認可(承認) ADFSサーバーの仕組みと用語 ADFSでサポートされるプロコトル まとめ 1.認証と認可(承認) まず、アクセスしてきたユーザーの確認に関わる用語と中身を見ていきましょう。 「認証」とは、本人確認の機能を指します。 一般的には、ユーザー名とパスワードを入力して、本人かどうかの確認をします。 認証を行うシステムとして、Active Directoryがある、という訳ですね。 認証では、認証に成功すると、TGT(Ticket Granting Ticket)というチケットをA
【速報】Linuxカーネル脆弱性【CVE-2016-0728】 - サーバーワークスエンジニアブログ
サーバーワークス サポート窓口より緊急でお知らせいたします。 速報 Linuxカーネル3.8以降のシステムにおいて ローカルユーザがroot権限を取得可能となる脆弱性が発見されました。 脆弱性の概要 脆弱性の詳細は以下の記事をご参照ください ANALYSIS AND EXPLOITATION OF A LINUX KERNEL VULNERABILITY (CVE-2016-0728) 主にドライバがセキュリティデータ、認証キー、暗号化キーとカーネル内の他のデータを保持またはキャッシュする キーリングという機構においてこのキーリングデータを置き換えるプロセスにおいて脆弱性が存在することにより 以前に解放されたキーリングオブジェクトによって使用されるメモリを介してユーザー空間から別のカーネルオブジェクトを割り当てコードの実行が可能となります。 この脆弱性の回避策はありません。 可能な限り早急
Slackでらくらく工数管理 - サーバーワークスエンジニアブログ
皆さんこんにちは、飯田橋のブリこと技術1課の中村です。 引っ越しして都民になってから早くも半年が経ちそうです。 引っ越し先には最低限のものしか持って行ってなかったのですが、最近羽毛布団を買いました。 毛布一枚から毛布+羽毛布団にパワーアップしたことで、ぬくぬくしながら寝られるようにはなったのですが、朝布団から中々出られなくなってしまいました…。 というわけで、今日は工数のお話です。 本題 皆さん、工数管理してますか? 工数とは、一般的には「ある作業に費やした作業時間」のことで、サーバーワークスでは案件毎にエンジニアがかけた工数を集計し、各案件の利益率を可視化しています。 また、工数は案件だけではなく、今書いているブログを書く時間や、社内会議を行っている時間についても管理をしています。 これにより、社員が働いた時間の有償稼働と無償稼働の割合も可視化することができます。 …と、ここまではわりと
Amazon S3で始める写真管理 ー スタート編 - サーバーワークスエンジニアブログ
はじめに:ご挨拶 はじめまして!2013年4月から中途入社いたしました @mana_cat こと平です。エンジニアブログの記事についても定期的にアップしていく予定ですので、どうぞよろしくお願いします。 まずは簡単に自己紹介させて頂きます。1才の子どもを育てながらママエンジニアをしています。1年半ほど、子育てのためにお仕事を休業していました。仕事と子育てを両立しつつも、エンジニアとして世の中に貢献していきたい想いがあり、転職を決意し現在に至ります。 また、対外活動として、勉強会コミュニティ「Linux女子部」を主宰したり、LPI-Japan主催の「LPIC勉強会」でチューターのお手伝いをしたりしています。 趣味は写真。休日は家族でのんびりお散歩しながら写真を撮っています。出身はくまもんの国、熊本。夫の出身は北海道なので、北国独自のカルチャーに刺激を受けながら楽しい夫婦生活を送っています。(最
AmazonAutoScaling機能について « サーバーワークス技術ブログ
こんにちは、開発・運用部の川口です。 最近は僕個人として繁忙期を過ぎたので今のうちにと技術検証に明け暮れている毎日を過ごしています。今まで機能のみを知っていてなかなか手が出せなかった多くの機能に触れていくたびに新たな発見が有り、「もっと早く検証していれば楽ができたのに・・・」と思うことしきりです。 さて、現在検証しているのはAmazonAutoScaling機能についてです。発表当時は話題になり多くの人が実際にスケーリング機能を試したようですがここ最近での検証・実証例が少なく、 2010/08/1以降に行われたAPIバージョンアップ以降の日本語の情報は特に少なかった為ので今回の検証を行いました。なお、以降の検証内容に関する説明については基本的に「EC2インスタンスをAPI経由で操作できる程度のAWS経験者」を基準としていますので基礎的な説明はいくつか省かせていただいています。 なお、EC2
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
