IAM ユーザーの MFA を有効化した後、アクセスキーを使用する既存処理に影響があるか教えてください | DevelopersIO
困っていた内容 IAM ユーザーのセキュリティを強化する施策を実施したいと考えています。MFA の有効化を全 IAM ユーザー必須にすることを検討しています。 アクセスキーを使用する IAM ユーザーで後から MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ますか? 既存の処理が停止してしまうのは困りますので、影響の有無を確認したいです。 どう対応すればいいの? アクセスキーを使用する IAM ユーザーで MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ません。 ただし、MFA を有効化する際に、合わせて MFA を強制する IAM ポリシーを付与した場合、既存の処理に影響が出ます。 MFA を強制する IAM ポリシーの例は下記の記事を参照してください。 多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | Developers
AWS Security Hub は、Amazon Simple Notification Service (SNS) を通じてお知らせを発行できるようになりました。これにより、最新の機能リリースやお知らせの情報を入手することができます。AWS Security Hub の新機能に関するお知らせを受け取るには、ご希望のリージョンで AWS Security Hub の SNS トピックをサブスクライブしてください。 AWS Lambda 関数を使用することで、通知を受信したときにイベントをトリガーすることもできます。詳細については、Amazon SNS 通知を使用した Lambda 関数の呼び出しについての説明を参照してください。 グローバルに利用できる AWS Security Hub では、すべての AWS アカウント、すべてのリージョンのセキュリティ体制を一元的かつ包括的に確認できま
AWSでカオスエンジニアリング! AWS Fault Injection Simulatorが利用可能になりました | DevelopersIO
AWSでカオスエンジニアリング! AWS Fault Injection Simulatorが利用可能になりました 2021/03/15より、AWS Fault Injection Simulator(FIS)の利用が可能になりました。 アジア太平洋(大阪)と中国の2つのリージョンを除くすべての商用AWSリージョンで利用できます。 AWS Fault Injection Simulatorとは、 AWSでフォールトインジェクション実験を実行するためのフルマネージドサービスです。 フォールトインジェクション実験はカオスエンジニアリングで使用されます。 フォールト(障害)を意図的に発生させることでシステムに何が起こるのかを確認する、障害にどのように反応するかを学ぶ事によりシステムの回復力、信頼性、パフォーマンスをあげていくことが目的です。 FISを使うと モニタリングの死角、パフォーマンスのボ
AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services
Amazon Web Services ブログ AWS SSO を用いた Amazon EKS への迅速なシングルサインオン 訳注:2022年7月に、AWS Single Sign-On は AWS IAM Identity Center に変更されました。 この記事は A quick path to Amazon EKS single sign-on using AWS SSO (記事公開日: 2022 年 6 月 14 日) を翻訳したものです。 Software as a Service (SaaS) とクラウドの導入が急速に進む中、アイデンティティは新しいセキュリティの境界になっています。AWS Identity and Access Management (IAM) と Kubernetes role-based access control (RBAC) は、強力な最小権限のセ
【日本初導入】 AWS Outposts ラックを徹底解説 第2回 〜AWS CDKによるInfrastructure as Code〜 - NTT Communications Engineers' Blog
はじめに こんにちは、イノベーションセンターの福田です。 前回 に引き続き、 AWS Outposts について紹介していきます。 今回は、特に AWS CDK による AWS Outposts の Infrastructure as Code (以降 IaC) を行う方法について記載していきたいと思います。 AWS CloudFormation AWS CDK では AWS CloudFormation というサービスをバックエンドで利用しているため、まずはこの AWS CloudFormation について解説します。 AWS CloudFormation は、AWS の各種リソースを JSON/YAML 形式で記述した"テンプレート"として管理します。 これによって AWS リソースの IaC を実現してくれますが、サービスとして IaC を実現するものというよりは AWS リソース
dbtでCIを実現するために、Github ActionsでAWSのVPC越えしたい。 - KAYAC engineers' blog
この記事はTech KAYAC Advent Calendar 2023の8日目の記事です。 こんにちわ。その他事業部SREチームの@mashiikeです。 最近、風変わりな記事を連投しているのですが、今回も風変わりです。 ひとことで要約すると、 私は!Github Actionsから!Redshiftにアクセスしたいんだ!!! です。 TL;DR dbtのCIを実現したい。ローカルのunit-testはできてるんだが、Github ActionsからRedshiftへのアクセスに難がある。 Github ActionsからRedshiftにアクセスするために頑張ってみた。 kayac/ecspressoで踏み台となるECS Taskを立ち上げる。 fujiwara/ecstaでportforwardingする。 mashiike/redshift-credentials で一時認証情報を
ElastiCacheでメモリ一斉開放はどのくらいCPU使用率が上がるのか検証してみた | DevelopersIO
こんにちは(U・ω・U) ElastiCacheおじさんを目指して日々鍛錬を続ける深澤です。 立派なElastiCacheおじさんに成長することを決意したラスベガスでの出来事でした。 — 深澤俊 (@shun_quartet) December 4, 2019 まだ見習いです。 さて皆さんElastiCacheでメモリがモリモリになったご経験はありますでしょうか。運用をご経験された方には分かるかもしれませんがキャッシュでメモリ使用量がモリモリ成長していくのはとっても恐怖ですよね!!さて今回はそんなモリモリになったメモリを一斉に開放した時、ノードへの負荷がどうなるのか実際に検証してみました。 環境 ElastiCache for Redisに対してやってきます。ノードタイプですが、今回はcache.r4.largeを選択しました!搭載メモリは12.3GBですね。 ノードにデータを投入するには
ConsoleMe: A Central Control Plane for AWS Permissions and Access
ConsoleMe: A Central Control Plane for AWS Permissions and Access By Curtis Castrapel, Patrick Sanders, and Hee Won Kim At AWS re:Invent 2020, we open sourced two new tools for managing multi-account AWS permissions and access. We’re very excited to bring you ConsoleMe (pronounced: kuhn-soul-mee), and its CLI utility, Weep (pun intended)! If you missed the talk, check it out here. MotivationGrowth
Amazon Inspectorから脆弱性情報を取得してGitHub Issuesにチケット発行するのを自動化する - LIVESENSE ENGINEER BLOG
まえがき こんにちは、インフラグループの yjszk です。 インフラグループでは、Amazon Inspectorで検出された脆弱性への対応を定期的に行っています。 ただ、脆弱性情報を収集して適切な対応を行うプロセスは手作業です。作業が面倒であり、トイルとなっていました。 そこで、PythonとGitHub Actionsを使ってGitHub IssuesにAmazon Inspectorで検出した脆弱性情報を登録し、必要な対応内容がひと目でわかるようにしました。 この自動化により、より迅速な脆弱性対応が可能になりました。具体的には以下のようなIssueを自動作成しています。 Amazon Inspectorについて 概要は以下です。 EC2インスタンスにAmazon Inspector エージェントをインストールして、ネットワーク到達性や、プラットフォームの脆弱性を診断し、潜在的なセキ
しばたです。 AWS環境を構築・運用する際は各リソースの識別子となるAmazon Resource Names(ARN)をよく見ることになると思います。 ある日ふとタイトル通りの疑問が湧いたので調べてみることにしました。 Amazon S3のARNにある ::: ってなんだろう? AWSの識別子であるARNの形式については以下のドキュメントに記載されています。 Amazon リソースネーム (ARN) ドキュメントの内容を一部引用するとARNは一般的に以下の:区切りの形式を採ります。 arn:partition:service:region:account-id:resource-id arn:partition:service:region:account-id:resource-type/resource-id arn:partition:service:region:account-
TL;DR ついに kubectl exec 的な機能がECS にもきた https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html 既存のコンテナに新しくなにかをインストールする必要はなく、SSM 経由でつかえる やる チュートリアルのとおりにやる。 https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-exec.html タスク用IAMロール作成 SSM 経由でECS へコマンドを実行するため、その権限用のIAM ロールを作成。 名前は ecsTaskRole にし、Principalは "Service": "ecs-tasks.amazonaws.com" 。 インラインポリシーで以下を定義。 { "Version": "
aws configure でアクセスキーを手打ちせず aws configure import で CSV ファイルからインポートしてみた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS CLI (など)を使用するためにアクセスキーを設定する際、皆さんは以下のような手順をとるのではないでしょうか。 「ひとまずaws configureを叩く。」 $ aws configure ↑(--profileオプションを付与すれば名前付きプロファイルへの設定となりますが、デフォルトではdefaultというプロファイルに対する設定となります。) 「各項目の入力が促されるため、必要な項目を入力していく。」 $ aws configure AWS Access Key ID [None]: #アクセスキーを入力 AWS Secret Access Key [None]: #シークレットキーを入力 Default region name [None]: ap-northeast-1 Default output format [None]: ↑(ここでは
AWS X-Rayによる分散アプリケーション分析をFargateで試してみた #Fargate | DevelopersIO
こんにちは、コカコーラ大好きカジです。 AWS X-RayをFargate上でどのように動かすか不明だったため、調べてみたところ、以下の資料が見つかったので、東京リージョンで構築して試してみました。 構築時のコマンドの実行結果も貼っています。 GitHub - aws-samples/aws-xray-fargate: Code examples showing how to run AWS X-Ray as a sidecar container on Fargate for deep application insights. AWS X-Rayによる分散アプリケーション分析(分散トレーシング)とは マイクロサービスが増え、パフォーマンス状況やデバッグが煩雑になっており、サービス間の相互作用やそれぞれの待機時間を把握するのは面倒な問題です。 そんな問題を解決するのが、AWS X-Ray
【新機能】Auth0でAWSリソースをABAC!AWS Session TagとAuth0を組み合わせてみた #reinvent #Auth0JP | DevelopersIO
これらのTagが付いたインスタンスの操作権限を、Auth0経由で実施するというわけです。 IAM Roleの作成 次にAuth0をSAMLプロバイダとしたIAM Roleを作ります。 まずはじめにサービスプロバイダの作成が必要です。本記事では割愛しますが、以下で詳細に解説されていますのでご覧ください。今回はAuth0をSAML IdPとして利用します。 Auth0第一歩 ~複数のAWSアカウントにSAML認証でシングルサインオン~ サービスプロバイダを作成後、IAM Roleを作ります。ウィザードで表示されるタイプは一番右側の「SAML 2.0」を選択します。 Policyは以下のようにします。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances"
この記事は terraform Advent Calendar 2019, エムスリー Advent Calendar 2019 の 3 日目の記事です。 All your AWS Accounts are belong to us. *1 こんにちは、ここ数年で terraform で書いた aws_vpc + google_compute_network の数がようやっと 30 個ぐらいになろうかというエンジニア/CTOの矢崎 id:saiya です。 弊社でまとまった規模の AWS 環境を扱う際に、1 つの terraform プロジェクトで複数の AWS アカウントに対してまとめて plan & apply できるようにしていたのですが、その方法が意外と調べにくい様子でしたので、まとめてみました。 なお、やり方が分かってしまえば実施するのは結構簡単です。 これによって出来ること 1
CloudWatch LogsのログデータをKinesis Data Firehose経由でS3に出力する | DevelopersIO
CloudWatch Logsのデータを、Kinesis Data Firehose経由でS3に出力する手順です。 Lambda Functionなどで作り込みを行わず、CloudWatch LogsのログデータをS3に出力するには、Kinesis Data Firehoseが利用できます。 本エントリでは、Kinesis Data Firehoseを介して、CloudWatch LogsのデータをS3へ出力する設定を紹介しています。CloudWatch LogsからKinesis Data Firehoseへ出力するには、CloudWatch Logsのサブスクリプションフィルタの設定が必要になりますが、こちらの設定はマネジメントコンソールでは行えないので、関連する作業含めAWS CLIを利用して実施しています。さいごに、AWS CLIで構築した同様の構成を定義するCFnテンプレートも添
セッションマネージャーを使用してプライベートサブネットのLinux用EC2にアクセス(NAT Gateway編) | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 先日、セッションマネジャーとVPCエンドポイントによる、プライベートサブネットのLinux用EC2への接続のブログを書きました。 ただ、VPCエンドポイントの代わりにNAT Gatewayを利用することもできるので、今回はNAT Gateway編を書かせていただきます。 前回と内容が重複する部分はありますが、手順等については本記事のみで完結できるように、あえて省略しておりませんので予めご了承ください。 この記事で学べること セッションマネージャーとNAT Gateway使用したプライベートサブネットのLinux用EC2への接続方法 Terraformでのコードの書き方 前提知識 1. AWS Systems Manager Session Managerとは セッションマネージャはAWS Systems Manager
リソースベースポリシーをサポートしないAWSリソースのクロスアカウント設定と、Go による実装 - freee Developers Hub
こんにちは、サービス基盤のkumashunです。 freeeでは、ほとんどのサービスがAWSをインフラ基盤として利用しています。さまざまな目的や業務上の要件に応じて、複数のAWSアカウントを運用しており、時折、異なるアカウント間でのネットワーク通信やリソースへのアクセス、つまりクロスアカウントアクセスが必要となります。ここでは、リソースベースポリシーをサポートしていないAWSリソースにおける、クロスアカウントアクセスの実現方法についてご紹介します。 事例を "リソースベースポリシーをサポートしないAWSリソース" に限定しているのは、以下の背景からです。簡単に用語を説明します。 IAM Policy AWSリソースへのアクセス定義 誰がどのリソースに何をできる/できないかをJSON形式で定義できる IAM Role 1つ以上のIAM Policyをまとめたもの 人間がマネジメントコンソール
There will be cases like the serverless compute engine ECS Fargate, Google Cloud Run, etc., where some of these pieces are out of our control, so we work on a shared responsibility model. The provider is responsible for keeping the base pieces working and secured And you can focus on the upper layers. Prevention: 8 steps for shift left security Before your application inside a container is execute
はじめに1 この記事は terraform Advent Calendar 2020 2日目の記事です。 1日目は rakiさん の 2020年の terraform-jp 振り返り です! 3日目は rakiさん の aws iam policy で s3 の bucket 制限を書く時に便利かもしれない小技 です! はじめに2 こんにちは。みなさんterraform書いてますか? 最近は日に日にterraformがIaCのデファクトになりつつあるように感じます。 Google Trend もちろんterraform本体の開発が活発なのも一因ですが、terraformを取り巻くecosystemの隆盛も近年普及してきた要因の一つなのかなと感じます。適切にecosystemを使いこなせば一般的なwebアプリケーションの開発時のライフサイクルと同じようなDeveloper Experienc
シェルからのSQL実行をAmazon ECSを使ってサーバーレスに実現してみる - 虎の穴開発室ブログ
こんにちは。虎の穴ラボの鷺山です。 この記事は「虎の穴ラボ 夏のアドベントカレンダー」の3日目の記事です。 2日目は植竹さんによる「GCPの監視機能 Monitoring の推しポイント紹介」が投稿されました。 4日目はH.Y.さんによる「Amazon WorkSpacesで色々試してみる。」が投稿されます。こちらもぜひご覧ください。 はじめに データベースを運用していると、「挿入・変更・削除などのちょっとしたデータ操作を、シェルスクリプトの中にSQLを書いて実行」したりすることはあると思います。 今回はそのような処理をAmazon ECSのタスク実行を使ってサーバーレスに実現する方法をご紹介したいと思います。 コンテナの起動にAWS Lambdaも使用します。 環境 データベース: MySQL 5.7 (Aurora 2.10.2) この記事の付録にPostgreSQLでの方法もご紹介し
Google BigQueryからAmazon Redshiftにデータを移行してみる | NHN テコラス Tech Blog | AWS、機械学習、IoTなどの技術ブログ
更新履歴 – 2020/1/8 記事内容の修正を行いました。 はじめに こんにちは。データサイエンスチームのmotchieです。 データウェアハウス(DWH)を使うことで、大規模なデータに対する高速なクエリ処理が実現し、BIを初めとした様々なデータ活用が可能になります。 クラウドDWHといえば、Amazon RedshiftやGoogle BigQueryなどが有名です。 re:Invent2019では、Redshiftの新機能 Amazon Redshift RA3 ノードが発表されました。 RA3ノードはAWS Nitro Systemベースの次世代コンピュートインスタンスで、頻繁にアクセスされるデータはノード上のSSD、それ以外はS3へ自動で配置されるマネージドストレージを備えています。 RA3ノードによって、以下のように、Redshiftは大きな進歩を遂げました。 ・従来のDS2ノ
trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
こんにちは。READYFOR 株式会社で SRE として働いている ジェダイ・パンくず🚀 と申します。 突然ですが、皆さんの現場ではインフラのテストの仕組みは導入済みですか?我々はまだ出来ていません(笑)。 READYFOR では IaaS として AWS を、IaC として Terraform を導入しているのですがコードのテスト・コードによってデプロイされた状態のテストを何かしらの仕組みを使って実践したいなぁと考え、今調査している最中です。 今回は Terraform のテストを書くツール Terratest について調べた内容を皆さんに共有したいと思っています。また AWS の状態をテストする仕組みとしてよく知られている Awspec との比較も行っていきたいと思っています。 必要になるモノ 事前に必要になるソフトウェアの一覧です。 Golang (requires version
ゆるふわIAM userのadmin権限を奪ってみた(AWSセキュリティ学習環境構築ツールCloudGoatのご紹介) | DevelopersIO
前提条件 CloudGoatを使用するためには下記の環境が必要です。 公式サイト等を参照しインストールしてください。 Linux or MacOS. Windows is not officially supported. Argument tab-completion requires bash 4.2+ (Linux, or OSX with some difficulty). Python3.6+ is required. Terraform 0.12 installed and in your $PATH. The AWS CLI installed and in your $PATH, and an AWS account with sufficient privileges to create and destroy resources. 初期設定 Quick Startを参照
Amazon が所有する AWS Systems Manager ドキュメントの一覧を AWS CLI で取得して眺めてみた | DevelopersIO
Amazon が所有するものがあるほか、カスタマー側で作成することもできます。他のアカウントと共有したり、パブリックに公開することもできます。 詳細は以下を参照してください。 AWS Systems Manager ドキュメント - AWS Systems Manager Amazon が所有するドキュメントのタイプを確認する 今回は以下の AWS CLI コマンドを使用し、 SSM ドキュメントをリスト化します。 list-documents — AWS CLI 2.1.29 Command Reference 先に結論から言うと、 Amazon が所有するドキュメントは 250個以上あります。 一気に出力しても分かりづらいので、まずはどういったドキュメントタイプが用意されているかを確認します。 aws ssm list-documents\ --filters Key=Owner,Va
Step Functionsをローカル環境でテストできるStep Functions Localのモックサービス統合機能がリリースされたので試してみた | DevelopersIO
Step Functionsをローカル環境でテストできるStep Functions Localのモックサービス統合機能がリリースされたので試してみた 上記の記事で紹介されていた Step Functions をローカル環境で実行する方法を実際にためしてみました。 Step Functions Local について 従来、AWS Lambda や Amazon SQS と連携した Step Functions をテストするには実際の AWS リソースのエンドポイントを叩く必要がありました。Step Functions Local ではローカル環境で Lambda などのサービスのレスポンスをモックすることで完全に隔離された環境で Step Functions の動作確認を行うことができます。 本記事の大まかな流れ SAM のサンプルプロジェクトを Pull Docker 環境でテストを実行
Announcing Amazon ECS deployment circuit breaker | Amazon Web Services
Containers Announcing Amazon ECS deployment circuit breaker Today, we announced the Amazon ECS deployment circuit breaker for EC2 and Fargate compute types. With this feature, Amazon ECS customers can now automatically roll back unhealthy service deployments without the need for manual intervention. This empowers customers to quickly discover failed deployments, while not having to worry about res
Amazon ECS deployment circuit breaker のご紹介 | Amazon Web Services
Amazon Web Services ブログ Amazon ECS deployment circuit breaker のご紹介 ※日本語字幕の表示には、設定 → 字幕 → 自動翻訳 → 日本語をご選択ください EC2 および Fargate コンピュートタイプ用の Amazon ECS deployment circuit breaker をパブリックプレビューで発表しました。この機能により、Amazon ECS をご利用のお客様は、手動での作業を行うことなく、不健全なサービスデプロイを自動的にロールバックできるようになります。これにより、お客様は失敗したデプロイを迅速に発見できるようになり、失敗したタスクのためにリソースが消費されたり、デプロイが無期限に遅延したりすることを心配する必要がなくなります。 以前は、Amazon ECS でデプロイメントタイプにローリングアップデートを使
New – AWS Proton Supports Terraform and Git Repositories to Manage Templates | Amazon Web Services
AWS News Blog New – AWS Proton Supports Terraform and Git Repositories to Manage Templates Today we are announcing the launch of two features for AWS Proton. First, the most requested one in the AWS Proton open roadmap, to define and provision infrastructure using Terraform. Second, the capability to manage AWS Proton templates directly from Git repositories. AWS Proton is a fully managed applicat
Security-JAWS 第17回レポート #secjaws #secjaws17 #jawsug | DevelopersIO
Security JAWS 第17回のレポートです。AWSを使うときに最初にやる初心者向けの話もあり、ガッツリ深い話もありな回でした! こんにちは、臼田です。 Security JAWS 第17回が開催されましたのでレポート致します。 Security-JAWS 【第17回】 勉強会 2020年5月29日(金) - Security-JAWS | Doorkeeper レポート Session0: アマゾン ウェブ サービス ジャパン株式会社 沼口 繁さん「本日のライブ配信環境ざっくりと」 JAWSといえばオフラインだった 最初はセミナールームで 第2形態としてセミナールームを使ってAmazon Chimeを利用して配信 第3形態では人数制限を超えるためにTwitchを使った 2019年1月からはAWSJのエキスパートのオンライン配信をやっていた 第4形態OBS Studio + Twit
最近 Mackerel の AWS インテグレーション機能にいくつかセキュリティ強化のアップデートが入りました。 (「最近」と言っても最も古いアップデートは 2 年前ですが・・・) AWS インテグレーションで IAM ロールによる認証利用時の権限チェック頻度を変更しました ほか AWS インテグレーション CloudFront 連携で取得できるメトリックを追加しました ほか 【リリース予告】AWS インテグレーションの権限チェックを強化していきます AWS Step Functions インテグレーションをリリースしました ほか これらのアップデートは「混乱した代理問題(Confused deputy problem)」に対応するものです。 僕が AWS インテグレーションの設定をしている際にふと 「この機能、攻撃に利用できるのでは?」 と思いついてしまったので、 Mackerel サポ
[アップデート] AWS Step FunctionsのAWS SDK Integrationで、35のAWSサービスと1100のAPIアクションが追加でサポートされました | DevelopersIO
[アップデート] AWS Step FunctionsのAWS SDK Integrationで、35のAWSサービスと1100のAPIアクションが追加でサポートされました こんにちは、CX事業本部 Delivery部の若槻です。 このたびのアップデートにより、AWS Step FunctionsのAWS SDK Integrationで、35のAWSサービスと1100のAPIアクションが追加でサポートされました。 AWS Step Functions adds integration for 35 services including EMR Serverless 195個のAPIが追加された前回のアップデートと比べてかなり大規模なアップデートとなっています。 アップデート内容 AWS SDK IntegrationのサポートするAWSサービスの変更ログはChange log for s
![[アップデート] AWS Step FunctionsのAWS SDK Integrationで、35のAWSサービスと1100のAPIアクションが追加でサポートされました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b9963196a6be76ae8c10aadfbaab76adf01bf565/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-step-functions.png)
GitHub Actions on AWS with CDK - NTT Communications Engineers' Blog
はじめに こんにちは、イノベーションセンターの福田です。 今回、開発環境改善の取り組みとして GitHub Actions の self-hosted runners を AWS 上に構築しました。 この構築で得られた知見について共有します。 概要 GitHub Actions は GitHub で CI/CD を手軽に実現する機能です。 GitHub が提供している環境を利用して、 CI/CD のジョブを実行できます1。 一方で、ハードウェア等をカスタマイズできないため、例えば容量が大きくより速度の早いストレージを利用したい場合や、より多くのメモリを利用したい場合に対応ができません。 そこで、GitHub Actions には self-hosted runners という機能があり、自身の環境で GitHub Actions の CI/CD ジョブを走らせる環境を用意できます。 今回は
Mackerel cloudwatch logs aggregatorを使ってログの監視をする|Kurashicom Tech Blog
こんにちは、テクノロジーグループの矢田です。 我が家には猫が一匹おりまして、毎日のように窓から外を眺めて鳥が飛んでいるのを監視しています。今日も捗ってるな〜と思いながらそんな猫を眺めて仕事しているのですが、今日は監視の話をしたいと思います。 クラシコムでは「北欧、暮らしの道具店」の監視を行うためにMackerelを利用しています。 MackerelではサーバーのCPU・メモリなどのメトリック監視や外形監視、サービスメトリックを送っての監視など多方からサービスの状態を監視することができます。 今回は先日α版が公開されたMackerelのcloudwatch logs aggregatorについて紹介したいと思います。 このモジュールではアプリケーションからAWS CloudWatch Logsに吐き出したログをメトリック化しMackerelに送ることでアプリケーションログをメトリックとして監
AWS Control Tower Landing Zone3.0の変更内容と詳細解説 - NRIネットコムBlog
こんにちは、上野です。 AWS Control TowerのLanding Zone 3.0がリリースされました。 変更内容が多いですが、ざっくりまとめると以下のとおりです。 組織レベルのAWS CloudTrail証跡が設定可能になった CloudTrailの設定をControl Towerからオプトアウト可能になった(オプトアウトした場合は独自で設定する必要あり) CloudTrailで各アカウントに出力されていたCloudWatch logsは、マネジメントアカウントに集約される CloudTrailアップデートに伴い、Control Towerが管理するIAMポリシーAWSControlTowerServiceRolePolicyの内容変更 AWS Config のグローバルリソースの記録がホームリージョンのみに変更 リージョン拒否ガードレールの変更(許可対象グローバルサービスの追
この1年の Amazon EKS アップデートを振り返る Amazon EKS Advent Calendar 2019 の1日目です. アメリカ時間だとまだ12/1なので許して… 他の AWS サービス同様、Amazon EKS もこの1年間で多くのアップデートを発表してきました. 本記事では、ざっくりとこの1年間の主なアップデートを振り返りつつ、いよいよ本日から開催される re:Invent に備えていこうではありませんかという、そんな目論見がございます. 日付順にアップデートを追って書いていたんですが、なんだか読みにくかったのでカテゴリごとに分けて書いていきます. 目次です. Security & Reliability Regions & Versions Nodes Storage & Networking Tooling Machine Learning その他 まとめ Sec
外部サービスからのローカル用コールバックをLambdaのビルトインHTTPSエンドポイントにした話 - Hatena Developer Blog
AWS Lambdaの組み込みHTTPSエンドポイント使ってますか? 先日*1、Lambda関数の組み込みHTTPSエンドポイント機能がリリースされました。 aws.amazon.com これまで、Lambda関数をHTTPリクエストで実行したいと考えたらAPI Gatewayを通す必要があるところ、Lambda単体で行えるようになった形です。 プライベートでAzure Functionの同様機能を愛用していた身としては待望の機能でした。 というわけで早速? 使ってみました。 この記事は id:koudenpa が書いています。Hatena Developer Blogの記事としては小さな出来事ですが、ガンガン発信していきます! ユースケース とても簡単な実装 まとめ? ユースケース Webサービスの開発に当たっては他のWebサービスと連携する場面が多々あります。 連携の手法の1つとして「
GitHub ActionsにてAWS_ACCESS_KEY_IDやAWS_SECRET_ACCESS_KEYを取得する - YOMON8.NET
GitHub Actionsの中で立ち上げるDockerコンテナに AWS_ACCESS_KEY_ID や AWS_SECRET_ACCESS_KEY 、 AWS_SESSION_TOKEN を渡してAWS認証を行いたいと思い調べていました。 どうやら以下のモジュールを使うことで、OIDCでWebIdentityとしてIAM RoleをAssumeできるみたいということでやってみました。 github.com AWSにOIDC ProviderとIAM Roleの作成 定義 2022/04/05修正 内容 GitHub Actionsから認証情報を取得してみる 定義 内容 AWSにOIDC ProviderとIAM Roleの作成 定義 以下のCloudFormationでOIDC ProviderとGitHub Actionsから利用するIAMロールを作成します。以下のIAMロールには特
脆弱性の修復コマンドをGitHubのIssueから実行するAction作ってみた - LIVESENSE ENGINEER BLOG
はじめに イメージ 実行 フローチャート しんどいポイント VS インタラクティブな操作 APIからstdoutが取れるが、途中で切れる sudoでコマンド叩こうとするとttyがなくてエラーになったが… 実装 Issueへのコメントを実行トリガーにする 実行トリガーのコメントにリアクションでいいねをつける Issue本文からコマンドと対象インスタンスを取得する サンプルIssue本文 コマンドの取得 インスタンスIDの取得 OIDCでAWSへの操作権限を安全に取得する 【参考】IAMロールの権限 OIDCで権限の取得 コマンドの実行 実行結果の取得 実行結果をissueにコメントで貼り付ける debugに役にたつ結果をissueにコメントで貼り付ける 作ってみて はじめに インフラGの鈴木です。先日高知競馬で負けた後、朝5時に起き、エクストリーム出勤してこの記事を書いています。 ところで、
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Security Hub がお知らせ通知トピックの提供を開始
Amazon S3のARNにある ::: ってなんだろう?と気になったはなし | DevelopersIO
ECS Fargate でshell を起動する - y-ohgi's blog
1つの terraform で複数 AWS Account をまとめて構築・管理する - エムスリーテックブログ
Container security best practices: Comprehensive guide
Terraform開発時のDeveloper Experienceを爆上げする
Terraform のテストを Golang で書く! - READYFOR Tech Blog
Mackerelにおける「混乱した代理」問題に対応しよう
この1年の Amazon EKS アップデートを振り返る