[アップデート]Amazon SQSでもタグベースのアクセス制御(ABAC)が可能になりました! | DevelopersIO
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 今日のアップデートでAmazon SQSがABAC(attribute-based access control)に対応し、タグによるアクセス制御が可能になりました。 ざっくりまとめ Amazon SQSがABAC(attribute-based access control)に対応した つまり、タグベースでのアクセス制御が可能になった アプリケーション統合サービスでABACに対応していないのはAmazon SQSだけだった ABAC(attribute-based access control)とは ABAC(attribute-based access control)とは、その名の通り属性ベースでアクセス制御を行う仕組みです。AWSでは各IAMリソースや各AWSリソースに付与する"タグ"がこの属性にあた
![[アップデート]Amazon SQSでもタグベースのアクセス制御(ABAC)が可能になりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8977429ff97da80040f72ef01c062af706039e17/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-sqs.png)
【AWS SSMステートマネージャー】複数のEC2インスタンス(Linux)に対するプロセスチェック | DevelopersIO
全インスタンスに特定アプリケーション(例えばエンドポイントセキュリティ) がインストールされていて、 かつ「稼働もしている」ことを棚卸ししたいケースがあると思います。 今回は特定アプリケーションが「稼働している」ことを棚卸しする一手段を紹介します。 Systems Manager(SSM) ステートマネージャーを使います。 ※1: 「インストールされている」ことは Configルールを使って簡単に実現できます。 (参考: DevelopersIO) ※2: プロセスダウンをすぐに検知しないといけない、といったリアルタイム性が求められる場合は CloudWatch Agent や他 Third Party の「ちゃんとしたプロセス監視」を実装しましょう。 前提条件 EC2インスタンスが SSM管理下であることが前提条件です。 SSM管理下にする方法については以下ブログが参考になります。 EC
CloudFormation StackSets の管理者ロールと実行ロールを変更してみた | DevelopersIO
CloudFormation StackSets の管理者ロールや実行ロールを変更するとスタックの再デプロイが行われるのかな こんにちは、のんピ(@non____97)です。 皆さんは「CloudFormation StackSets の管理者ロールや実行ロールを変更すると、スタックの再デプロイが行われるのか」気になったことはありますか? 私はあります。 セルフマネージド型のStackSetsを作成する場合は、管理者ロールや実行ロールを事前に用意する必要があります。 命名規約に揃えたいや、誤って他のロールを指定していた場合など、場合によってはStackSets作成後に管理者ロールや実行ロールを変更したくなることがあると思います。 管理者ロールや実行ロールを変更する場合、一度スタックインスタンスが削除されて再作成されるような挙動をするのでしょうか。 気になったので検証してみました。 いきなり
IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO
お疲れさまです。とーちです。 IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大8つの MFA を割り当てられる ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン さっそく試してみた 適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。 2022/11/17 追記: MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。 またこの名前については、AWS アカウント内で一意※1である必要 があり、例
AWS WAF でブロックされたリクエストを確認する方法を教えてください | DevelopersIO
困っていた内容 ALB(Application Load Balancer)に AWS WAF の WebACL を適用しています。 WAF によってブロックされたリクエストを調査したいのですが、どのようにすれば確認できますか? どう対応すればいいの? ALB のアクセスログを確認しましょう。 以下の値が記録されているリクエストは、WAF によりブロックされたと判断できます。 ① ~ ③ それぞれの意味について解説します。 ① "elb_status_code" が "403" WAF でブロックされていた場合、ALB のステータスコードは 403(Forbidden)になります。 ② "target_status_code" が "-" WAF でブロックされた場合はターゲット(サーバー)へリクエストが到達しないため、ターゲットのステータスコードは "-" と記録されます。 ③ "act
AWS WAF BotControlを導入してみた
AWS WAF BotControlとは AWS WAFマネージドルールの1つ WAFでBotからのアクセスの可視化、制御が可能 WAFが導入できる環境なら、簡単にBot対策が可能に 利用料金 リソースタイプ 料金 AWS WAF の料金 https://aws.amazon.com/jp/waf/pricing/ Bot Controlで見れる情報 全体リクエストからのBotの比率 許可したBotと拒否したBotリクエストの数 Botのカテゴリー 特定のBotのリクエストの数 Bot Controlのルール設定 ルール設定でカテゴリー毎に許可、拒否が可能 カテゴリー中の特定のBotを拒否する事も可能 AWS WAF Bot Control rule group https://docs.aws.amazon.com/waf/latest/developerguide/aws-manage
Advanced Networking - Specialty (ANS-C01) 受験記
はじめに ANS-C01に受かったので、勉強に使った教材や試験の所感を書いていきます 受験歴 1回目: ANS-C00が改訂される前に滑り込もうとしたが不合格 2回目: 試験問題が難しくなったと聞き怯えながら受験。奇跡的に合格 勉強に使った教材 BlackBelt 公式サンプル問題 AWS Skill Builder(AWS Certified Advanced Networking - Specialty Official Practice Question Set (ANS-C01 - English)) 試験対策本(ANS-C00) 勉強方法は下記の3つを繰り返していました 1.試験対策本で基礎知識を付ける(ANS-C00向けだが基礎知識を付けるために使える) 2.触った事がないサービスのBlackBeltを見て、機能の把握やユースケースをざっくり理解する 3.公式サンプル問題とSk
Aurora「グローバルDB」を使って災対発動を想定したDRリージョン切り替えやってみた - Qiita
2023/9/4 追記 本記事の内容をプレゼンする機会がありましたので資料掲載しておきます。 また先月、本件関連機能のアップデートが発表され、Global Databaseの障害時フェイルオーバー操作がマネージド化されました。これはありがたいですね! はじめに AWSの提供するクラウドネイティブな高性能DB「Amazon Aurora」には、グローバルDBという「リージョンまたぎでDBを同期してくれる機能」がある。 これはBCP構成において非常に有用で、例えば「メインの東京リージョンで大災害が発生した際、サブの大阪リージョンにフェイルオーバーする」といったことが可能。 グローバルDBだと何がうれしいの? データベースの異サイト復旧を検討する際、一番面倒なのがデータの同期。 日々更新されるメインサイトのDBをサブDBにも常時複製しておかないと、有事の際にフェイルオーバーしても必要なデータが存
【5分で簡単!】Amazon EventBridge SchedulerでRDSの自動定期停止を実装してみた | DevelopersIO
あ、またRDS停止し忘れた…。 こんにちは!AWS事業本部のおつまみです。 皆さん、検証用に立てたRDSを停止し忘れた経験はありますか?私は何度もあります。 RDSは料金が比較的高いため、停止し忘れると辛いですよね。 ユーザーガイドにも記載されている通りRDSは一度停止しても、7日後に自動的に起動されてしまいます。 DB インスタンスは最大 7 日間停止できます。7 日後に DB インスタンスを手動で起動しなかった場合、DB インスタンスは自動的に起動されます。これにより、必要なメンテナンスの更新が遅延することはありません。 これまではLambdaとEventBridgeルールを組み合わせて、停止処理を実装する必要がありました。 実装方法はこちらのAWS公式サイトより紹介されています。 しかし、先日リリースされたAWSの新機能「Amazon EventBridge Scheduler」を使
令和なのに NAT インスタンスを手作りして使ってみた | DevelopersIO
(※)データ処理は 100 GB の前提で計算していますが、戻りの通信も課金対象であるため実際にはもっと増えるはずです。 NAT Gateway は利用期間に応じた単価が高いのと、データ処理量に応じた料金が発生します。NAT インスタンスは、使わない時間は停止することでオンデマンド料金をさらに減らせます。 大抵の場合、NAT インスタンスの方がコストは安くつきます。 このコストの差を鑑みてもなお 本番環境では NAT Gateway の採用をお勧めします。 NAT Gateway がマネージドでやってくれる部分や性能のメリットの方が大きいと考えるためです。検証環境や、万が一インターネットへのアウトバウンドが途切れてもクリティカルなことにはならない、というワークロードであればコスト抑制をモチベーションに NAT インスタンスを採用するのもアリだと思います。 それぞれの料金の以下をご参照くださ
【アップデート】Lambda Extensionsのオブザーバビリティをさらに強化するTelemetry APIが利用可能になりました | DevelopersIO
パット見た感じplatform.initxxxというイベントが増えていそうですね。 実際にPOSTされるデータのサンプルをいくつか紹介しておきます。 typeがplatform.initStartの場合 { "time": "2022-10-12T00:00:15.064Z", "type": "platform.initStart", "record": { "initializationType": "on-demand", "phase": "init", "runtimeVersion": "nodejs-14.v3", "runtimeVersionArn": "arn" } } Provisioned Concurrencyの利用有無やランタイムの情報がPOSTされてきます typeがfunctionの場合 { "time": "2022-10-12T00:03:50.000Z
【登壇資料】JAWS-UG 朝会で「(今更ながら)AWSのコンテナサービスについてざっくりまとめてみる」というLT登壇をしました | DevelopersIO
こんにちは、つくぼし(tsukuboshi0755)です。 2022/11/9に開催されたJAWS-UG朝会 #39にて、「(今更ながら)AWSのコンテナサービスについてざっくりまとめてみる」というタイトルでLT登壇しました! JAWS-UG 朝会とは? @MasaruOguraさん主催の、朝に開催されているJapan Amazon Web Servicesのユーザグループの勉強会です。 こちらの朝会では、AWSに関する様々なテーマのLTを視聴する事が可能です。 スライド 補足 LT中に気になったコメントやツイートについて、以下で挙げさせて頂きます。 chroot使ってました。その後FreeBSDでJailというのがありました。 今回はコンテナの歴史について、chrootを元に簡単に説明させて頂きました。 ただ実際はそれだけでなく、上記のFreeBSD JailやSolaris Co
リソースの消し忘れを簡単にチェックしてコストを節約する方法を教えて下さい(CLI版) | DevelopersIO
困っていた内容 検証したリソースを消し忘れてしまい思わぬコストがかかってしまいました。簡単に毎日チェックする方法を教えて下さい。 どう対応すればいいの? 自動でチェックしてSlackに通知してもらいましょう!そこで AWS CLI(以下 CLI)で毎日のコストと EC2 数を調べるスクリプトを作ってみました。 毎日の利用コスト EC2 インスタンス数 上記を CLI / シェルで作って cron で定期的に Slack に通知します。 やってみた 使用した CLI と jq のバージョンは以下のとおりです。今回は、結果を見やすくするために jq がインストールされていることを前提としています。 実行環境 $ aws --version aws-cli/1.18.107 Python/2.7.18 Linux/4.14.287-148.504.amzn1.x86_64 botocore/1.
[アップデート] EC2 インスタンスの無停止でのルートボリューム置き換え時に任意の AMI を復元のソースとして指定可能になりました! | DevelopersIO
コンバンハ、千葉(幸)です。 EC2 インスタンスのルートボリュームを無停止で置き換える際、任意の AMI をソースとして指定できるようになりました。 Amazon EC2 enables easier patching of guest operating system and applications with Replace Root Volume ここでの任意とは、置き換え対象のインスタンスおよびルートボリュームと関係ないものを指定できる、という意味で使っています。 この新機能は、OS、アプリケーションの迅速なパッチ適用を可能にするものとして想定されているようです。 何が変わったのか 実行中の EC2 インスタンスのルートボリュームを無停止で置き換える、という機能は 2021年4月にリリースされました。 ルートボリュームの置き換えはルートボリュームの復元を伴います。そうすると何をソ
![[アップデート] EC2 インスタンスの無停止でのルートボリューム置き換え時に任意の AMI を復元のソースとして指定可能になりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b78e1b00fb2da19e9cae6ca64621e34b0d3796b7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-ec2.png)
AWS CLI を簡単に使い始める方法を教えてください | DevelopersIO
困っていた内容 マネジメントコンソールを利用した手順書を作成し、社内で運用しています。 マネジメントコンソールを利用した手順ですと、画面のアップデートが行われた際に、手順書を更新する必要があります。 そこで、AWS CLI を利用した運用に切り替えたいと考えています。 AWS CLI を利用するのに、どのような設定をすれば良いですか。 AWS CLI を簡単に使い始める方法を教えてください。 どう対応すればいいの? セキュリティの観点から、アクセスキーを使わずに AWS CLI を使用する方法をお勧めしています。 下記のブログで、4つの方法をご紹介していますので、どの方法がご自身の環境に適しているか、一度ご検討ください。 [3] 以下では アクセスキーが不要 環境構築・運用が不要 が長所となる、CloudShell 上で AWS CLI を使用する方法をご紹介します。 CloudShell
Private SubnetのRHEL EC2インスタンスにSSM Agentをインストールする方法 | DevelopersIO
こんにちは。AWS事業本部トクヤマシュンです。 EC2インスタンスをAWS Systems Managerのマネージドインスタンスとして管理するには、SSM Agentがインストールされていることが必要です。 多くの場合、AWSが提供するAMIにはSSM Agentがプリインストールされているため、ユーザーによるインストールは不要です。 参考:SSM Agent がプリインストールされた Amazon Machine Images (AMIs) ただしRHEL(RedHat Enterprise Linux)などのように、SSM AgentがインストールされていないAMIからインスタンスを起動する場合には、インストールが必要です。 今回はインターネット接続のないPrivate Subnetに配置したRHEL EC2インスタンスに対し、SSM Agentをインストールする機会がありましたので
CDK Bootstrapをカスタマイズしてみた | DevelopersIO
こんにちは。たかやまです。 CDKを利用する場合cdk bootstrapを実施して、アカウントにCDKが利用するECR/IAM/S3/SSMといったリソースを作成する必要があります。 このBootstarpを作成する場合に、組織の制約によってはBootstrapの作成ができなかったり、bootstrapの内容を変えたい場合があります。 このようなニーズを満たすため、Bootstrapをカスタマイズしてみたいと思います。 カスタマイズをするユースケース例 CloudFormation Hooksを利用してガバナンス強化をしている場合 IAM Permissions BoundaryでRole作成に制約をつけている場合 組織ルールに合わせた機能を有効化したい場合 etc... やってみた Bootstrapテンプレートをエクスポートする cdk bootstrap --show-templa
AWS Security Hub の自動修復ソリューションの既存の修復処理をカスタマイズしてみた | DevelopersIO
AWS事業本部 梶原@福岡です。 SecurityHubの自動修復ソリューションの公開されているGitHubの手順(下記)にしたがって既存の処理のカスタマイズを行ってみました。 https://github.com/aws-solutions/aws-security-hub-automated-response-and-remediation 事前準備 a Linux client with the following software AWS CLI v2 Python 3.7+ with pip AWS CDK 1.155.0+ Node.js with npm が必要となります。事前にインストールまた環境構築を行っておきます。 また、展開時にS3バケットが最低2つ(本体とリージョン毎)で必要になります。 バージョン確認 AWS CLI $ aws --version aws-cli
GuardDutyログをS3クロスアカウントレプリケーションしてみた | DevelopersIO
こんにちは。ネクストモードの倉地です。 業務アプリケーションなどの用途で使用するシステムアカウントのGuardDutyログを、ログ集約アカウントのS3バケットへクロスアカウントレプリケーション設定を実施したのですが、権限周りの理解が難しく実装に苦労しました。今回はこちらを整理しながら技術検証しましたので、内容を共有できればと思います。 やりたいこと GuardDutyからS3バケットへログを出力する (KMS暗号化が必要) システムアカウント側S3バケットからログ集約アカウント側S3バケットへクロスアカウントレプリケーションをする ログ集約アカウント側S3バケットに保存されたGuardDutyログが確認できれば成功 システムアカウント側 GuardDutyのログ出力設定 S3バケット作成 まずシステムアカウント側でGuardDutyログの出力先バケットを作成します。検証のため設定は基本的に
AWS IAMリソースの棚卸し方法をまとめてみた | DevelopersIO
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 皆さんは定期的にIAMリソースの棚卸しや管理をしていますか?いつの間にか溜まっちゃってる不要なIAMユーザーやIAMポリシーは無いですか? 不要なIAMリソースを放置することはセキュリティ的に危険です。不要なものは定期的に削除しちゃいましょう。 そこで今回は不要なIAMリソースを少しでも楽に棚卸しする方法をまとめてみました。下記ターゲットに当てはまる方は是非ご一読ください。 本記事のターゲット IAMリソースを管理していない方/出来ていない方 IAMリソースの棚卸しをマネジメントコンソール上から手動でポチポチやって時間がかかっている方 やりたいこと あまり時間をかけずにIAMリソースの棚卸しをしたい 普段使っていないIAMリソースや新規作成したIAMリソースを定期的に確認したい やってみた 今回は以下の3つの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
