EKSクラスターへ「kubectl」コマンドでアクセスする際の認証・認可の仕組みと設定 | DevelopersIO
上記のデフォルトロールに当てはまらないアクセス権限を定義したい場合は、新たなロールを定義することになります。 例えば、ポッドの参照のみ行えるアクセス権限は、以下のロールで定義できます。 pod-reader-clusterrole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] $ kubectl apply -f pod-reader.yaml clusterrole.rbac.authorization.k8s.io/pod-reader created ただし、実際には「ポッドの参照のみ」のアクセス権
サンドボックス、開発、テスト環境で IAM ポリシー作成を一元化および自動化する方法 | Amazon Web Services
Amazon Web Services ブログ サンドボックス、開発、テスト環境で IAM ポリシー作成を一元化および自動化する方法 本番環境に対応したアーキテクチャに移行する際、お客様のアプリケーションチームはサンドボックス環境で AWS のサービスを試して、AWS の進化していくイノベーションに対応することができます。アプリケーションチームは、さまざまな AWS のサービスとリソースにタイムリーにアクセスする必要があります。つまり、最低限の権限を与えられることを保証するメカニズムを必要とします。通常、アプリケーションチームは、定期的に Amazon Elastic Block Store のスナップショットバックアップを行う AWS Lambda 関数や、セキュリティチームが管理する一元化された情報セキュリティアカウントにイベントを送信する Amazon CloudWatch Even
いわさです。 先週、プレビュー中だった Amazon CodeWhisperer のエンタープライズ統合機能を紹介しました。 統合手順などをまとめていたのですが、昨日 Amazon CodeWhisperer が GA となりました。 上記検証を行った際には IAM Identity Center との兼ね合いなど気になる点がいくつかありましたね。 GA 後はどのようになったか変更点などを見ていきたいと思います。 プレビュー時との比較 料金が確定 プレビュー時は CodeWhisperer は料金が無料でしたが GA に伴って料金プランが確定しました。 専用の料金ページが用意されているのでこちらを確認しましょう。 Individual と Professional の 2 つの Tier が用意されています。 Individual は無料 個人が所有する AWS Builder ID を使
初夏の訪れとともに, terraform-github-actionsがsetup-terraformに変わりましたがいかがお過ごしでしょうか. ActionsでTerraformをデプロイする方法がより便利になったので今回は, setup-terraformを利用したワークフローを定義して, AWSにデプロイしたいとおもいます. Difference between terraform-github-actions and setup-terraform まずは従来利用していたterraform-github-actionsとsetup-terraformの違いについて記載していきます. 大まかに言えば, 下記が相違点になります. terraform-github-actionsは実行するコマンドまでActionsで提供していた setup-terraformはCIを実行するコンテナでの
Terraform 1.8 provider functions for AWS, Google Cloud, and Kubernetes
Today, we are announcing the general availability of provider-defined functions in the AWS, Google Cloud, and Kubernetes providers in conjunction with the HashiCorp Terraform 1.8 launch. This release represents yet another step forward in our unique approach to ecosystem extensibility. Provider-defined functions will allow anyone in the Terraform community to build custom functions within provider
バッチ resource "aws_sfn_state_machine" "xxx" { name = "xxx" role_arn = aws_iam_role.state_machine.arn definition = jsonencode({ StartAt = "Run ECS Task", States = { "Run ECS Task" = { Type = "Task" Resource = "arn:aws:states:::ecs:runTask.sync" Parameters = { LaunchType = "FARGATE" EnableExecuteCommand = true NetworkConfiguration = { ... } Cluster = ... TaskDefinition = ... Overrides = { ContainerOv
チェシャ猫 on Twitter: "本日の発表資料です。AWS IAM の意味論を SMT ソルバに解かせることで、デプロイ前にセキュリティ上の問題を検出するエンジン Zelkova の論文について解説します。 #CICD2021 #CICD2021B 君のセキ… https://t.co/RwhQyMY7Rh"
本日の発表資料です。AWS IAM の意味論を SMT ソルバに解かせることで、デプロイ前にセキュリティ上の問題を検出するエンジン Zelkova の論文について解説します。 #CICD2021 #CICD2021B 君のセキ… https://t.co/RwhQyMY7Rh
[アップデート] EKSでIAMロールを使ったPod単位のアクセス制御が可能になりました! | DevelopersIO
EKS (Elastic Kubernetes Service) のアップデート「IAM Roles for Service Accounts」が発表されました。概要の説明とチュートリアルを行った際の流れをご紹介します。 みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 AWSのマネージドKubernetesサービスである「EKS」(Amazon Elastic Kubernetes Service) に、多くの人が待望していた (かもしれない) 機能がついに追加されました! Amazon EKS Adds Support to Assign IAM Permissions to Kubernetes Service Accounts タイトルを直訳すると「Amazon EKSがIAMアクセス許可をKubernetesサービスアカウントへ割り当てるサポートを追加」です。 今
GitHub Actionsを使ってコンテナ版AWS Lambdaにデプロイしてみた | DevelopersIO
GitHub Actionsを使い、コンテナイメージをAmazon ECRにプッシュし、AWS Lambdaにデプロイする方法を紹介します。 GitHubからAWSへの認証では、OpenID Connect(OIDC)を利用します。 本ブログでは、GitHub Actionsを使い、main ブランチへの push をトリガーにコンテナイメージをビルドしてコンテナレジストリのAmazon ECRにプッシュし、AWS Lambdaにコンテナイメージをデプロイする方法を紹介します。 実質的にやっていることは、GitHub の ECS 向けドキュメントをベースに、以下の変更を加えています。 GitHub から AWS への認証に、IAMアクセスキーの代わりに OpenID Connect(OIDC)を利用 デプロイ先をAmazon ECSからAWS Lambdaへ変更 大前提として、デプロイのゴ
自分がニッチだと思っているテーマについて発表する「Qiita Engineer Festa 2023〜私しか得しないニッチな技術でLT〜」。ここでNTTテクノクロス株式会社の渡邉氏が登壇。Gitpodを“オレ好み”に準備するための方法を紹介します。 渡邉氏の自己紹介 渡邉洋平氏:では始めていければと思います。「Web IDE環境を俺好みに準備するための技術」という話をしたいと思います。ということで、NTTテクノクロス株式会社というところに勤めている渡邉洋平と申します。Twitter(現X)IDが「@_watany」と書いていますが、ほかのアカウントも、Qiitaもwatany名義でいろいろ書いているので、よかったら見てもらえればと思います。 主にAWSを中心にインフラやアーキテクト周りの仕事をしているというところで、AWS的なところで活動する機会が多いので、そのあたりの方には今日の内容も話
Amazon OpenSearch Serviceへ移行:AWS CDKで構築するSAML+OktaでOpenSearch Dashboardsにログインできる環境 - Uzabase for Engineers
こんにちは。NewsPicksでエンジニアをやっております崔(チェ)です。現在は Data / Algorithm チームで検索エンジンの開発を担当しております。 弊社は、検索エンジンとしてElasticsearch(以下、ES)をAmazon EC2に乗せて構築しておりましたが、ヤクの毛刈りも含め、約1年かけてマネージドサービスであるAmazon OpenSearch Service(以下、OpenSearch)に移行することができました!今回は、マネージド化のための諸タスクの中から、かなりハマっていたセキュリティの設定部分を中心にお話したいと思います。ご興味ある方は是非読んでいただけると嬉しいです。 はじめに OpenSearch DashboardsにOktaでログインできるようにしたい SAML認証とは きめ細かなアクセスコントロールとは Dashboards接続時にOktaのログ
クラウドやAWSは障害が多いイメージありますが?と聞かれた時【ガバメントクラウド】 - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。 4月からガバメントクラウドのBLOG記事を書き始めましたが、応援いただいた有志の方にアイキャッチ画像を作っていただきました。とてもうれしく、今回からこちら画像を利用させていただきます。ドキュメンタリー番組のタイトルっぽくてイイ感じです 本BLOGでは、過去にあったAWSの大規模障害とその影響、対策についてご紹介させていただく内容となります。 弊社お客様よりよくお尋ねされるのが「クラウドって障害がよくあるイメージありますが、AWSだと過去どんな障害ありました?」というものがあります。 ガバメントクラウドへの移行に向けて、地方自治体のご担当様も同じ不安をもたれたり、人から説明を求められることも多いのではないでしょうか。 もし過去にあった障害がガバメントクラウドAWS上で再度起こった場合、地方自治体様の
Getting started with AWS IAM Identity Center delegated administration | Amazon Web Services
AWS Security Blog Getting started with AWS IAM Identity Center delegated administration September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. Recently, AWS launched the ability to delegate administration of AWS IAM Identity Center (AWS IAM Identity Center) in your AWS Organizations or
[アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent | DevelopersIO
[アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent ついにECS on Fargateでコンテナランタイムのセキュリティ対策ができるようになりました!Fargate利用者は全員必見のアップデートです! こんにちは。AWS事業本部トクヤマシュンです。 本日より、Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました!! 当機能はECS on Fargate、ECS on EC2のどちらにも対応しています!! (2023/11/29追記:ECS on EC2は現在プレビュー機能のようです。) 立ち位置としては、これまでAmazon GuardDuty EKS Runtime MonitoringとしてEKSのみに提供されてきた機能が、 Runti
![[アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f099104aaa09df58f234f4f90b04b2f5cefbb675/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F11%2Feyecatch_reinvent-2023-newservice-update.png)
EKSの運用を楽に安くするためにSpotinst Oceanを使って工夫してる話 - ABEJA Tech Blog
こんにちは。ABEJAのインフラ管理してる村主 @rwle1221 です。 この記事は Amazon EKS Advent Calendar 2019 2日目の記事です。 1日目は AWSの中の方が re:Invent 直前のアツい想いを書く ということで、ハードルが上がってそうですがそんなことは気にせずに書いていきたいと思います。 [課題] ワーカーノードを管理したい EKSのコントロールプレーンは簡単に作れる => AWS マネジメントコンソール の開始方法 この手順だと、単純な種類のワーカーノードをデプロイするだけに止まり、複数種類のワーカーノードを管理しようとすると自分でCloudFormationなどを作る必要がある CloudFormationでワーカーノードを作るのはやぶさかではないが、CloudFormationはあくまでAutoScalingGroupを作っているだけでワ
以前 Windows の開発環境を scoop で構築しているということを書きました。 tech.guitarrapc.com その際に、scoopを継続的に使っていくためのツール ScoopPlaybook を書いたことに触れました。 今回はその ScoopPlaybook の紹介です。 目次 目次 TL;DR 目指す姿 WindowsでAnsiblePlaybook のようなアプリケーションインストール基盤を作る scoop の通常のインストール ScoopPlaybook で定義からインストールする 利用例 普段の利用例 できること バケットの追加、削除 ツールのインストール、アンインストール 管理者権限で実行したい まとめ TL;DR ScoopPlaybook という PowerShellモジュールを作った(2年近く使っている) scoop で何をインストールするかをYAML定義
tfaction の導入ガイド
tfaction という、 GitHub Actions で良い感じの Terraform Workflow を構築するための Action を開発しています。 今回は tfaction の導入ガイドのようなものを書こうかと思います。 AWS Account が必要です。 執筆時点で tfaction の最新バージョンは v0.4.5 です。 2022-02-07 追記 Getting Started を作成しました。 README に従っていけば tfaction の workflow を動かして terraform を実行するのを体験できると思います。 IAM OpenID Connect provider の作成 IAM OpenID Connect provider を作成します。 data "tls_certificate" "github" { url = "https://t
At LocalStack we are committed to constantly improve the cloud dev experience. Here is how our AWS Server Framework and a new snapshot testing framework help us to stay on top of AWS changes. Parity for LocalStack means that when you, as a cloud developer, make an AWS API call to LocalStack’s cloud emulator, it behaves the same way AWS would. Keeping parity with AWS has been our mission at LocalSt
FirehoseのHTTP配信機能でMackerelにメトリックを投稿する - 酒日記 はてな支店
先日、Amazon Kinesis Data Firehose が任意の HTTP エンドポイントに対しての配信機能をサポートしました。 aws.amazon.com 従来の S3 / Redshift / Elasticsearch Service などのマネージドなリソースに対してデータを配信する機能に加えて、自分で作った HTTP(s) のエンドポイントに対しても Firehose からデータを投げ込んでくれる機能です。 Amazon Kinesis Data Firehose now supports data delivery to Datadog 既に Datadog や New Relic へもマネージドでデータを配信できていて、それらに送りたいデータはとりあえず Firehose に流しておけば、実際の送信やバッファリングやリトライは Firehose が面倒を見てくれると
[速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent | DevelopersIO
こんにちは。サービスグループの武田です。 現在re:Invent 2019に参加していますが、キーノートを前にして新機能のリリースが止まりません!今回新しく、AWS Identity and Access Management Access Analyzer(以下、IAM Access Analyzer)がリリースされましたのでお届けします。 Introducing AWS Identity and Access Management (IAM) Access Analyzer IAM Access Analyzerとは IAM Access Analyzerはサポートしているリソースが、意図したどおりのアクセスのみを提供しているかを継続的にチェックできるサービスです。リリース時点でサポートしているリソースは次のとおりです。 Amazon S3バケット AWS KMSキー Amazon S
![[速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/098a01a332248d791825217579652e1b7f202bcb/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Freinvent2019_update_eyecatch.jpg)
IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する | Amazon Web Services
Amazon Web Services ブログ IAM Roles Anywhere で AWS IAM ロールを AWS 外部のワークロードに拡張する この記事は Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere を訳したものです。 IAM Roles Anywhere のリリースの通り、AWS Identity and Access Management (IAM) を用いて AWS 外部で稼働しているワークロードに IAM ロールを簡単に使用できるようになりました。この機能は、IAM ロールの機能を AWS 外部のワークロードに拡張します。IAM Roles Anywhere を利用することで、オンプレミスのサーバー、コンテナ、またはアプリケーションが一時的な AWS クレデンシャルを取得
IAM Permissions boundary(アクセス権限の境界)で明示的に許可していないアクションでも条件次第で実行できるということを評価論理の流れを眺めて再認識してみた | DevelopersIO
コンバンハ、千葉(幸)です。 突然ですが問題です。 以下の条件があったとします。 同一の AWS アカウントに S3 バケット A と IAM ユーザー A が存在する IAM ユーザー A の Permissions boundary には AWS 管理ポリシーViewOnlyAccessが設定されている ここで、IAM ユーザー A が S3 バケット A に対してPutObjectを実行したいとします。(補足しておくと、ViewOnlyAccessにはPutObjectの Allow は含まれていません。) 以下のうち、アクションの結果について最も適切に説明しているものを選択してください。 IAM ユーザー A の Permissions policy で適切な Allow が設定されていればアクションは成功する S3 バケット A のバケットポリシーで適切な Allow が設定され
[AWS CDK] SlackとRaspberry PiでエアコンをONにする仕組みを作った(涼しい家に帰宅できるぞ!!) | DevelopersIO
外出から帰って自宅が暑いと嫌です。でもエアコン付けっぱなしも電気代的な意味で嫌です。 そこで、「自宅に帰る1時間ぐらい前に、エアコンをONにできないか?」と考え構築してました。 仕組み自体は約1年前に構築済ですが、AWSの画面ポチポチで作成していたので、AWS CDK(Cloud Development Kit)を使って作り直してみました。 目次 構成 補足 Raspberry Piに学習リモコンを装着した様子 環境 リポジトリ構成 AWSの環境構築 API仕様 AWS CDKのインストール AWS CDKプロジェクトの構築 Lambdaコードを書く! インフラをコードで書く!!! ビルドする デプロイする Slackアプリの構築 チャンネル作成 Slackアプリの作成 Slash Commandsの作成 Slash Commandsのインストール Raspberry Piのスクリプト作成
![[AWS CDK] SlackとRaspberry PiでエアコンをONにする仕組みを作った(涼しい家に帰宅できるぞ!!) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/c00620b6f6be656fe7d768ced1b8ca1653247881/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F08%2Feyecatch_slack_aircon.png)
Amplify Hostingのプレビュー環境をGitHub Actionsでデプロイする - ROUTE06 Tech Blog
こんにちは、ROUTE06でソフトウェアエンジニアをしている @MH4GF です。 Amplify Hosting を利用してホスティングしている Web アプリケーションで、プレビュー環境を GitHub Actions でデプロイする方法を紹介します。 背景 Amplify Hosting では、実はプルリクエストベースのプレビューを機能として提供しています。 docs.aws.amazon.com プルリクエストの作成と同時に環境にアクセスする URL が払い出され、Gitのコミットのプッシュと同時に再ビルドし、プルリクエストのマージと共に環境を削除します。 ビルドの進捗状況もプルリクエストの Checks として確認できるため、概ね期待する機能は揃っています。 ただ、運用する上でどうしても気になる点がありました。 モノレポで構築されているリポジトリで、ビルドの発火するディレクトリパ
IAMユーザーやAWSアカウントのルートユーザー に複数の MFA デバイスを割り当てる事ができるようになりました | DevelopersIO
お疲れさまです。とーちです。 IAM に複数の MFA デバイスを割り当てる事ができるようになったというアナウンスを見たので試してみました。 かんたんまとめ AWS アカウントのルートユーザーや IAM ユーザーに最大8つの MFA を割り当てられる ログインするときには割り当てられた中のどれか一つの MFA を使ってログイン さっそく試してみた 適当な IAM ユーザーを用意してどんな動きになるのかを確認してみました。 まずは MFA の設定をします。MFA の設定方法は従来と変わらず、AWS マネージメントコンソールの IAM 画面から登録をしていきます。 2022/11/17 追記: MFA の設定方法について従来と変わらずと記載しておりましたが、正確には従来と異なり MFA の名前をつける必要があります。 またこの名前については、AWS アカウント内で一意※1である必要 があり、例
AWS Cloud Control API, a Uniform API to Access AWS & Third-Party Services | Amazon Web Services
AWS News Blog AWS Cloud Control API, a Uniform API to Access AWS & Third-Party Services Today, I am happy to announce the availability of AWS Cloud Control API a set of common application programming interfaces (APIs) that are designed to make it easy for developers to manage their AWS and third-party services. AWS delivers the broadest and deepest portfolio of cloud services. Builders leverage th
Auth0のRBAC(Role-Based Access Control)を使ってAPIのアクセス制御をやってみた | DevelopersIO
RBACとは RBAC(Role-Based Access Control)とは、アクセス制御の方法の1つで、アクセスする主体(ユーザやサービス)に直接権限を設定するのではなく、ロールに権限を設定してアクセスする主体にはロールを設定する権限管理方法のことです。こうすることでアクセス主体ごとに権限を管理するよりも、ミスが起きにくく効率的に権限を管理できるなどのメリットがあります。代表的な例として、AWS IAMのロールを想像していただけるとわかりやすいかと思います。 Auth0でできること 注意: 現在、Auth0でRBACを実現する方法として Authorization Core と Authorization Extension の2つの方法がありますが、公式のアナウンスにて Authorization Core に統合されることが予告されていますので、本記事でも Authorizati
Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service | Amazon Web Services
AWS News Blog Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service To identify potential security threats and vulnerabilities, customers should enable logging across their various resources and centralize these logs for easy access and use within analytics tools. Some of these data sources include logs from on-premises infrastructure, firewalls, and endpoint security so
AWSを着よう | DevelopersIO
AmazonにAWS関連のTシャツが結構たくさん売られていることを知ったので、気になったものをいくつかご紹介します。 AWS IAM アイデンティティとアクセスマネージャーシステム管理者 DevOps Tシャツ AWSを学んだ人は誰しも一度は考えたことがあるであろうダジャレ。 Amazon | AWS IAM アイデンティティとアクセスマネージャーシステム管理者 DevOps Tシャツ | Tシャツ・カットソー 通販 AWS マイクロサービス最新の AWS リージョン マップ Tシャツ 「最新リージョンっていうくせに大阪リージョンが入ってないじゃないか!」と社内でツッコミが入りました。 Amazon | AWS マイクロサービス最新の AWS リージョン マップ Tシャツ | Tシャツ・カットソー 通販 分散アプリケーションを構築するためのステップ機能 Tシャツ ステップ機能はStep F
KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 先日、Keycloakの環境を検証する機会があったので、構築手順をまとめました。 本ブログはその備忘録です。 Keycloakとは KeycloakはOIDC認証等を利用してシングル・サインオンを実現するOSSです。 Keycloak より詳細に知りたい方は、@ITの記事がわかりやすいので、こちらを御覧ください。 マイクロサービス時代のSSOを実現する「Keycloak」とは:Keycloak超入門(1) - @IT 構成図 こんな感じの構成をCloudFormationで作ります。Keycloakは、EC2上のDockerで動かします。 HTTPS接続できるようにするため、ALBをSSL終端にし
SREの本田(@mov_vc)です。 Kaizen Platformではインフラ構築にPulumiを採用し始めています。今回は、Pulumiの基本的な説明+ECS環境をPulumiで構築した手順をまとめました。結論から言うとPulumi、かなり便利なので、導入を考えているよ〜という人はぜひ読んでみてください。 TL;DR 汎用言語で書ける TypeScript, JavaScript, Pythonで記述できます。 依存関係解決してくれる リソース間に依存関係があってもPulumiさんがよしなにやってくれます。 WebUIやべーじゃん WebUIはこんな感じでプロジェクト、環境一覧画面があり、イケてます。 作業履歴とかもWebUIで確認できる 環境ごとのstate情報、Pulumi作業履歴などが確認できます。 開発めっちゃ活発 リリースサイクルが週1ペース。ちゃんと寝てる??? ぷ…Pul
NEW – Using Amazon ECS Exec to access your containers on AWS Fargate and Amazon EC2 | Amazon Web Services
Containers NEW – Using Amazon ECS Exec to access your containers on AWS Fargate and Amazon EC2 Today, we are announcing the ability for all Amazon ECS users including developers and operators to “exec” into a container running inside a task deployed on either Amazon EC2 or AWS Fargate. This new functionality, dubbed ECS Exec, allows users to either run an interactive shell or a single command agai
社外の開発メンバーをAWSアカウントに入れるときのIAM設定を考えている - kmiya_bbmのブログ
サービスを開発する際に、社外の業者さんに開発をお願いしたり、社外パートナーに開発に参加してもらう、ということがよくあります。 開発に使うAWS環境として、うちの会社で作成したAWSアカウントに入ってきてもらうこともあるのですが、このときにAWSアカウントの管理者として社外の開発メンバーにどのような権限を持たせるのが良いか、それをどう実現するのが良いか、いつも悩みます。 このエントリでは現時点での考えと実装方法をまとめておこうと思います。 課題 私が関わる案件で社外の開発メンバーに協力を仰ぐ場合、大抵はPoCから始まるような新規サービスの構築案件となるためAWSのどのサービスを使うか最初からすべて決まっていることは稀です。 最初は ALB + EC2 + RDS で作り始めたシステムにDynamoDBが導入され、AWS IoT coreが導入され、Kinesis Stream が導入され、、
AWS Security Reference Architecture (AWS SRA) を利用したマルチアカウントのセキュリティ対策 - Qiita
AWS Security Reference Architecture (AWS SRA) を利用したマルチアカウントのセキュリティ対策AWSSecurityIAMOrganizations はじめに AWSによって 「AWS Security Reference Architecture (AWS SRA)」 と呼ばれるセキュリティリファレンスアーキテクチャが公開されています。 SRAは、AWSのセキュリティ対策をどう実装すべきかを指し示すガイドとしての位置付けであり、SRAを参考にすることで、AWSの数多くのセキュリティサービスをマルチアカウントの環境に最適化する形でデプロイする方法が分かります。 本記事では、このSRAの中身を紐解き、SRAを活用してAWSアカウントのセキュリティ対策がどう実装できるのかを記します。 企業の課題 オンプレミスからAWSにサーバ環境を移行し始めたばかりか
TypeScript+webpack+AWS CDKで開発環境を構築してLambdaをデプロイしてみた | DevelopersIO
webpackを使う利点 TypeScriptは現状そのままだとLambdaで実行できないのでJavaScriptへトランスパイルする必要があります。単なるコードの変換だけでなく依存関係のあるライブラリもバンドルしてデプロイする必要があります。 Lambda Layerにnode_modulesを追加する方法などもありますが、node_modulesに入っている余分なファイルもアップロードされます。webpackであればバンドルする際に、実行で必要なライブラリだけ選別してまとめることができるなどバンドル設定を細かく指定ができたり色々利点があります。 webpackの詳細については公式ドキュメントか以下の記事が詳細に書かれているのでおすすめです。自分も公式ドキュメントと以下の記事をみてパラメータなどを理解しました。 実行環境の整備 本章では実行環境に必要なコマンドラインツールなどをインストー
最終更新 : 2022/07/27 イベントアーカイブ動画を公開次第、本記事も動画リンクを随時追加していきます。 AKIBA.AWS ONLINE とは? AKIBA.AWS ONLINE は、クラスメソッド株式会社のメンバーで運営している「技術が好きなみんなのためのイベントコミュニティ」です。 技術を愛するたくさんの人が、より技術のことを楽しめるように、AWS や IT の知見をシェアする勉強会イベントを定期開催しています。 過去に開催したイベントのアーカイブ動画は、 YouTube にて公開しています。よろしければ、一度ご覧いただけると嬉しいです。 動画リンクまとめ プレイリスト 公開中のアーカイブ動画のプレイリストは以下よりご覧いただけます。 https://youtube.com/playlist?list=PLL6J8djFsPBXKSznwRt4nKOKP4XwtGJCF #0
![【随時更新】AKIBA.AWS ONLINE の動画まとめ[#01〜#08] | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/cb262aeee0404af82eaa7e178ef02aa7fd08a221/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F08%2Feyecatch_akibaaws.jpg)
Monitor AWS resources created by Terraform in Amazon DevOps Guru using tfdevops | Amazon Web Services
AWS DevOps Blog Monitor AWS resources created by Terraform in Amazon DevOps Guru using tfdevops This post was written in collaboration with Kapil Thangavelu, CTO at Stacklet Amazon DevOps Guru is a machine learning (ML) powered service that helps developers and operators automatically detect anomalies and improve application availability. DevOps Guru utilizes machine learning models, informed by y
はじめに こんにちは、ZOZOMO部OMOバックエンドブロックの杉田です。普段はFulfillment by ZOZO(以下、FBZ)が提供するAPIシステムを開発・運用しています。 FBZでは、昨年からビルドの高速化や自動デプロイをはじめとしたCI/CDパイプラインの最適化に取り組んできました。本記事では、それらの取り組みの詳細とその効果についてご紹介します。 目次 はじめに 目次 FBZにおけるCI/CDと構成管理の現状 リリースサイクルの見直し リリースまでの流れ 顕在化した課題 長時間のデプロイ ビルド環境のメンテナンス性の低さ 手動デプロイが抱える人為的なリスク CI/CDパイプラインの改善に向けて デプロイフローの見直し CodeBuildのバッチビルド タスク定義の実装例 個々のタスクを高速化 Direct deploymentsの有効化 devDependenciesの依存
GitHub ActionsにAWSクレデンシャルを直接設定したくないのでIAMロールを利用したい | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回と前々回でGitHub ActionsからECSのCI/CDやIAMポリシーの最小権限作成を試してみました。 [初心者向け] GitHub ActionsからECS FargateにCI/CDしてみた GitHub ActionsからECSとECRへのCI/CDを最小権限で実行したい 今回はGitHub ActionsでAWSの一時的なクレデンシャル(アクセスキーID、シークレットアクセスキー)を利用したいので、IAMユーザーの代わりにOIDCプロバイダとIAMロールを設定していきます。 IAMユーザーのクレデンシャルだとダメなの? IAMユーザーで発行したクレデンシャルは永続的に利用可能です。 GitHubではAWSのクレデンシャルをSecretsにより秘匿化できますが、AWS外のサービスに永続的なクレデンシャル
CDKプロジェクトと必要なライブラリのインストール $ mkdir aws-cdk-construct-library-sample $ cd aws-cdk-construct-library-sample $ cdk init app --language=typescript $ npm install --save @aws-cdk/aws-lambda @aws-cdk/aws-apigateway @aws-cdk/aws-iam @aws-cdk/aws-ecs-patterns @aws-cdk/aws-ecs High Level Constructで実装 まずは、High Level Constructで実装します。Lambda + API Gatewayのリソースを作成します。 サンプル用のLambdaのコード src/handler/app.ts export as
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon CodeWhisperer が GA となりました | DevelopersIO
GitHub Actionsでsetup-terraformを試す | DevelopersIO
Poolにおける足を止めないシステム基盤構築
Gitpodを“オレ好み”に準備するための技術 欲しい設定を組み込み、楽しくOSSにコントリビュートする
Windows開発環境をscoopで継続的に構築する - tech.guitarrapc.cóm
LocalStack and AWS Parity Explained
KeycloakをALB+EC2構成で構築してみた | DevelopersIO
PulumiでECS環境を構築する - Kaizen Platform 開発者ブログ
【随時更新】AKIBA.AWS ONLINE の動画まとめ[#01〜#08] | DevelopersIO
FBZにおけるCI/CDパイプライン改善の取り組み - ZOZO TECH BLOG
AWS CDK の3種類の Construct を使ってデプロイしてみた | DevelopersIO