フレッツ光回線でscpが遅かった話 - Qiita
この記事は、Supershipグループ Advent Calendar 2021の7日目の記事になります。 先日、sshを使用したファイル転送が回線速度と比べて異常に遅いという現象に遭遇したので、その際に行った調査を再現しつつ原因や対策について書いてみたいと思います。 要約 OpenSSHはデフォルトでinteractiveなセッションに af21 、non-interactiveなセッションに cs1 をDSCP値としてIPヘッダに設定する フレッツ網はIPヘッダのDSCP値を帯域優先サービスで使用しており、契約に応じて指定された優先度以外が設定されたパケットの転送は保証されない そのため、OpenSSHをデフォルト設定のままフレッツ網で使うと通信ができなかったり、速度低下などの悪影響を受ける可能性がある OpenSSHがDSCP値を設定しないようにするためには、IPQoS noneを設
【小ネタ】暗号化していない RDS DBの作成を拒否するポリシー | DevelopersIO
ストレージ暗号化が未設定な DB(RDS DBインスタンス、Auroraクラスター)の作成を拒否するポリシーを作成してみます。AWS環境の予防的ガードレールとして、AWS Organizations のサービスコントロールポリシー(SCP)等で活用できると思います。 暗号化していない RDS DBの作成を拒否するポリシー 以下ポリシーを作成しました。 { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreatingNonEncryptedDBCluster", "Effect": "Deny", "Action": [ "rds:CreateDBCluster" ], "Resource": "*", "Condition": { "Null": { "rds:StorageEncrypted": false }, "Bool
VPCの変更系APIを洗い出してCIDR周りの変更をSCPで止めたいなって思ったときに権限を洗い出す手法 | DevelopersIO
こんにちは、臼田です。 みなさん、IAM書いてますか?(挨拶 今回はちょっと調べ物をした際に良さそうなIAM権限確認方法を見つけた(半分教えてもらった)のでそれと、実際に洗い出したVPCの変更権限を紹介します。 背景 「VPCのIPアドレス(CIDR)周りの変更をさせたくないです」という要望をもらいました。 具体的にはAWS Organizationsを利用していて、一度管理側で払い出したVPCに対して、CIDR周りの操作を利用者にさせたくない、という感じです。 払い出しの作業と利用する時のOUが別なので、SCPでVPCの変更系をブロックしよう、という設計方針になりました。 さて、問題は権限の洗い出しです。 変更権限の洗い出し 僕は経験上知っています。 IAMポリシーの設定画面に行くと、かんたんに変更系の権限を洗い出すことができます。何ならそのままいっぺんに選択してポリシードキュメントの作
Control Towerのカスタマイズ(CfCT)を使ってSCPの作成・変更をやってみた | DevelopersIO
Control TowerのカスタマイズソリューションでSCPを実装してみました。結構大きな注意点があるので利用するときは気をつけましょう。 最近Control Towerのカスタマイズソリューション(CfCT)にハマっている鈴木です。 今回はCfCTを使ってSCPを実装してみました。 概要 CfCTはAWSのソリューションでCodeCommit、もしくはS3にアップロードした情報からCloudFormationスタックやSCPを指定したOUやアカウントに自動展開してくれるソリューションです。 CloudFormationスタックの展開は何度か実施していますが、SCPはまだワークショップしか試してなかったので、SCPをCfCTで実装して動作の確認をしていきます。 手軽にマルチアカウント環境にSCPを作成できるのですが、、CfCTを使ってSCPを管理するには問題となる点もあったので合わせて解
Auto Scalingの起動設定で指定できるインスタンスタイプをSCPで制限する | DevelopersIO
こんにちは。サービスグループの武田です。 Auto Scalingグループを使用する際、起動するEC2インスタンスの設定テンプレートとして、「起動設定」と「起動テンプレート」があります。今回は「起動設定」を対象として、作成する際に指定されたインスタンスタイプが含まれていた場合、拒否するようなSCPを設定してみました。 今回作成したポリシーは次のようなものです。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "autoscaling:CreateLaunchConfiguration", "Resource": "*", "Condition": { "StringLike": { "autoscaling:InstanceType": "t2.*" } } } ] } T2ファミリーをインスタ
AWS OrganizationsのSCPでresourceやconditionが指定できるようになりさらに便利になりました | DevelopersIO
こんにちは。サービスグループの武田です。 AWS Organizationsに待望のアップデートがありました!AWS OrganizationsにはSCP(サービスコントロールポリシー)という機能があり、IAMポリシーと同じ文法で組織内のアカウントに対して一括で制限がかけられます。これまでSCPではresourceやconditionの指定ができず、ある操作に対してオンかオフすることしかできませんでした。今回のアップデートでそれが可能となり、柔軟によりきめ細やかなアクセス制御が可能となりました。 Service control policies in AWS Organizations enable fine-grained permission controls 具体的には、メンバーアカウントに対してSCPで次のような制御が可能となりました。 特定リージョンのみアクセスを許可する EC2
[小ネタ]AWS OrganizationsのSCPで特定リージョンのみ使用できるようにする | DevelopersIO
オンジー(@onzuka_muscle)です! 特定のリージョン以外ではなにもできないようにしたいという要件に対応することがあったのでSCP(サービスコントロールポリシー)を使って制限してみます。 やってみた 今回は東京リージョン以外での操作を制限してみたいと思います。 こちらのサンプルからSCPを作成しています。 { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "awsbillingconsole:*", "budgets:*", "ce:*", "chime
[AWS Organizations] SCP(サービスコントロールポリシー)の継承の仕組みを学ぼう | DevelopersIO
はじめに 大阪オフィスの川原です。 AWS Organizations の SCP(サービスコントロールポリシー)の継承 について、 仕組みを学びましょう。 前提知識 AWS Organizationsは マルチアカウントを統率するためのサービス です。 組織単位(OU) による アカウントのグループ化や、 サービスコントロールポリシー(SCP) によるグループ単位のサービス制限が可能です。 – 画像: AWS Organizations の用語と概念 | AWSドキュメント OUとは 組織単位(Organizational Unit: OU) は AWSアカウントのグループ化 を実現する要素です。 OU 配下に他OUをぶらさげる、ツリー構造を構築できます。 SCPとは サービスコントロールポリシー(SCP)は OUまたはアカウントに指定するポリシー です。 OU/アカウントで実行できるサ
SSHでscpを使わずにファイルをコピーする | Webシステム開発/教育ソリューションのタイムインターメディア
え、SSH通るんならscp使えばいいじゃん。 YES、その通り。 しかし、「大容量ファイルを転送中に接続が切れてしまった」なんてときに、コピーが完了した後から残りを引き継ぎたい、みたいな要求にはscpコマンドは答えてくれない。もちろん、sftp使えばレジューム機能もあるんだしそうすればいいじゃんというのは正論だが、sftpの方はsshが通るからといって必ずしも使えるとは限らない。 そんなときは、多少強引だとしても、一歩戻って解決を試みるのもひとつの手だ。 単純転送 単純な転送から試してみよう。まず、リモート先のhostAにあるsrcfileを、手元にdestfileとしてコピーしたいとする。 sshはリモートで実行するコマンドを受け付ける(実際のところ、scpも内部的にはsshのリモートコマンドで実装されていたはずだ)。ということは、リモートでcatコマンドを実行してファイルの中身を「表示
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
