GCPのWorkload Identityを使ってAWSのRoleとGCPのサービスアカウントを連携させる 2022.12.09 技術 AWS, GCP 動機と解決法 サービスアカウントのシークレットキーjsonをEC2上に置くのやだなー(何かの拍子に流出とかしたらめんどいなー) アクセス元のバッチがAWSにあるんだから、asumerole的なことがAWSとGCPをまたいでできれば便利なんだけどなー という動機から、表題の通り Workload Identity を使って、AWS IAM Role と GCP Service Account を連携させました。 Workload Identity連携 とは? Workload Identity 連携は、キーなしの新しいアプリケーション認証メカニズムであり、オンプレミス、AWS、Azure で実行するワークロードは、外部 ID プロバイダ(I
AWS Application Composer Now Generally Available – Visually Build Serverless Applications Quickly | Amazon Web Services
AWS News Blog AWS Application Composer Now Generally Available – Visually Build Serverless Applications Quickly At AWS re:Invent 2022, we previewed AWS Application Composer, a visual builder for you to compose and configure serverless applications from AWS services backed by deployment-ready infrastructure as code (IaC). In the keynote, Dr. Werner Vogels, CTO of Amazon.com said: Developers that ne
続:「Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計」 - How elegant the tech world is...!
はじめに 先日、Infra Study Meetup#6にお邪魔させていただき、「Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計」というタイトルでLTしてきました。 speakerdeck.com 運営の皆様、改めて素晴らしいイベントの企画ありがとうございました。 登壇後、Twitterタイムラインやはてなブックマーク上で思ったより大きな反響を頂いたので、鮮度が高いうちに続編として少し踏み込んだ内容をご紹介できればと思い、ブログに書き起こしてみました。 もし、これをきっかけにサーバーレスBastionホストにチャレンジしてみようという方の一助になれれば嬉しいです。 登壇内容の振り返り BastionホストをFargateでサーバーレス化する背景は登壇スライドに譲るとして、達成したい構成は以下でした。 ただ、具体的に実現しようとすると、いくつか考慮すべき点があり
Amazon EventBridge Pipesを使ってプロデューサー/コンシューマー型メッセージ処理のパイプラインを簡略化しよう #reinvent | DevelopersIO
re:Invent 2022で発表されたAmazon EventBridge PipesはProducer/Consumer型のメッセージング処理をメッセージブローカーやワーカーに関係なく一貫した手法で実装するサービスです。 メッセージブローカーにAmazon SQS、ConsumerのワーカーにLambdaを利用する構成で、従来のLambdaイベントソース型とEventBridge Pipes型を比較しましょう。 Producer/Consumer型メッセージ処理 Producer/Consumer型メッセージは、メッセージキューなどで利用される、非同期のメッセージングパターンです。Producerはブローカーにメッセージを送信し、Consumerはブローカーをポーリングしてメッセージを受信します。 SQS-Lambda構成の場合、SQSがメッセージブローカー、LambdaがConsum
KubernetesのSecretをKMSと連携して管理する - SMARTCAMP Engineer Blog
スマートキャンプの入山です。 Kubernetes(k8s)を運用されている方々は、Podに受け渡す機密情報をどうやって管理していますか? k8sでの機密情報の管理といえばSecretリソースが一般的ですが、Secretリソースを管理する上では以下のような課題に悩む方が多いのではないでしょうか? SecretはBase64エンコードのみなので、内容が確認できれば簡単にデコードできてしまう SecretリソースのマニフェストにBase64エンコードのみの機密情報を含むため、GitHubなどにそのままコミットするのは危険 これらの対策として、kubesecやSealed Secretsなどを利用して暗号化を行う方法が主流だと思いますが、今回は外部のKMSなどに保存した機密情報をk8sに直接受け渡すことが可能なKubernetes External Secretsについて、EKSとAWS Sec
[アップデート] EKSがマネジメントコンソールおよびCLIでのワーカーノードの作成・管理をサポートしました | DevelopersIO
EKS (Elastic Kubernetes Service) で、ワーカーノードの作成・管理がマネジメントコンソールやAWS CLIから行えるようになりました。 みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 Amazon EKS において、ワーカーノードの作成・管理がマネジメントコンソールやAWS CLIから行えるようになりました。 Amazon EKS adds support for provisioning and managing Kubernetes worker nodes Extending the EKS API: Managed Node Groups | Containers 何が変わったのか? これまで 今まで、EKSサービスに関して、マネジメントコンソールやAWS CLIで作成・管理できるのは「コントロールプレーン」のみでした。 ワーカーノー
![[アップデート] EKSがマネジメントコンソールおよびCLIでのワーカーノードの作成・管理をサポートしました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/5bef8406c819ae31c520f2ab23f9913d87cef0fc/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F09%2Famazon-elastic-Kubernetes-service.png)
Github Actionsを利用してAWS Lambdaに自動デプロイをしてみた | DevelopersIO
こんにちは、コンサル部@大阪オフィスのTodaです。 AWS Lambdaのプログラムを構築していて、Githubにプッシュをした時に自動デプロイができないか調べていましてGithub Actionsを利用する方法がございましたので試してみました。 Github Actionsについて Github ActionsはGithubが提供するCI/CDのためのためのワークフローエンジンで、GitHubから直接コードをビルド、テスト、デプロイを自動でする事が可能になります。 ■ アイデアからリリースまでのワークフローを自動化 - GitHub Actions https://github.co.jp/features/actions 実装したいこと Github内の指定ブランチにプッシュしたタイミングで自動デプロイをする。 変更可能なLambda関数を指定する。 IAMロールを利用してAWSとの
歴史・年表でみるAWS全サービス一覧(参考資料編) -アナウンス日、General Availability(GA)の参考URL- - NRIネットコムBlog
小西秀和です。 歴史・年表でみるAWS全サービス一覧 -アナウンス日、General Availability(GA)、AWSサービス概要のまとめの記事で参考にしたURLが多すぎるため、こちらに別記事としてまとめました。 AWSサービスの概要など「歴史・年表でみるAWS全サービス一覧」のメインコンテンツは本編を御覧ください。 ただ、見方によってはこの記事の方が面白いかもしれません。 [English Edition] AWS History and Timeline - Almost All AWS Services List, Announcements, General Availability(GA) AWS全サービスの歴史年表に記載したアナウンス日・GA日(一般提供開始日)の参考URL 「What's New」のURL(例:https://aws.amazon.com/about-
【仕様変更】一部のCloudTrailのログでSourceIPAddressとUserAgentが”AWS Internal”になる件 | DevelopersIO
【仕様変更】一部のCloudTrailのログでSourceIPAddressとUserAgentが”AWS Internal”になる件 中山です とあるCloudTrailの仕様変更について、気がついていない方が多いのではないかと思いましてこの記事を書いています。 結論 AWS Management Console等のProxy client経由で行われるAWS APIへのアクセスについて、CloudTrailのログに含まれるsourceIPAddressおよびuserAgentの情報が"AWS Internal"に置き換わる。 この仕様変更が2022年2月24日から展開されている。 変更された仕様について CloudTrailのDocument historyには以下の記載があります。 Starting Feb 24, 2022, AWS CloudTrail began changin
コンテナイメージ脆弱性管理ツールのKubeClarityを試してみる - 世界中の羊をかき集めて
KubeClarity とは KubeClarityとはKubernetes環境におけるセキュリティ管理を支援するオープンソースツールです。 具体的にはKubernetes上に存在するコンテナイメージのSBOMを生成し、SBOMを元に脆弱性スキャンを行います。 そしてスキャン結果をWeb UI上で見ることができます。 SBOMの生成にはデフォルトではSyftが使用され、SBOMに対しての脆弱性スキャンにはGrypeがデフォルトで使用されます。 SBOMの生成には他にもCyclonedx-gomod、Trivyが選択可能で、SBOMに対しての脆弱性スキャンは他にもDependency-Track、Trivyが選択可能です。 Trivy Operatorとの違い 似たようなツールとしてTrivy Operatorがあります。 Trivy OperatorもKubernetes上のコンテナイメー
こんにちは、望月です。 最近は CentOS 8 の公式 AMI が来ることを楽しみにしている日々です。 なかなかこないなーと思っていたところ、CentOS Stream で CentOS 8 の EC2 で使えそうなイメージが公開されていたので、公式の CentOS8 がこない寂しさを埋めるため、試してみました。 CentOS Cloud images CentOS Stream は開発者向けのプラットフォームとなり、Fedora Linux と Red Hat Enterprise Linux の中間に位置するローリングリリースの Linux ディストリビューションとなるようです。 そのため、本番利用などには向かないディストリビューションとなるのでご注意ください。 ja/Manuals/ReleaseNotes/CentOSStream - CentOS Wiki やってみた 環境 M
[速報] AWS re:Invent 2019 キーノート以外で発表された新サービス/新機能まとめ #reinvent | DevelopersIO
こんにちは、菊池です。今年もre:Invent 2019 キーノートではたくさんの新サービス/新機能が発表されていますが、一方で、キーノート以外でも各セッションやイベントの中で発表されるサービスも多数あります。本エントリでは、それらのアップデート情報をまとめます。 随時更新中! AWS re:Invent 2019期間中、随時更新していきます。 AI/機械学習 AWS DeepComposer(Preview) 12/1(日)に開催されたre:Invent の前夜祭的なイベント、「MIDNIGHT MADNESS」で発表されました。キーボードを使って、または予め録音しておいた音源をpre-trainingしておいたモデルを使ってポップ、ロック、ジャズなどの「アレンジ」ができる、というサービスです。re:Inventでは実機を使ったワークショップも開催されていて、ワークショップ参加者にはキー
![[速報] AWS re:Invent 2019 キーノート以外で発表された新サービス/新機能まとめ #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/11cdf60f5bc17dab3ab72491d33d269d32c92246/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F12%2Fexcept-key-000.jpg)
生成 AI を使用して従業員の生産性向上を支援する Amazon Q Business の一般提供開始 | Amazon Web Services
Amazon Web Services ブログ 生成 AI を使用して従業員の生産性向上を支援する Amazon Q Business の一般提供開始 AWS re:Invent 2023 では、Amazon Q Business のプレビューを行いました。Amazon Q Business は、エンタープライズシステム内のデータと情報に基づいて質問に答え、要約を提供し、コンテンツを生成して、タスクをセキュアに完了することができる、生成 AI 駆動のアシスタントです。 Amazon Q Business を使用することで、組織のユーザーが想像力、効率性、および生産性を高め、データに基づいて行動し、準備を整えることを可能にする、セキュアでプライベートな生成 AI アシスタントをデプロイできます。プレビュー中、私たちはお客様からたくさんのフィードバックをいただき、そのフィードバックを使用してサ
Proactively keep resources secure and compliant with AWS CloudFormation Hooks | Amazon Web Services
AWS Cloud Operations & Migrations Blog Proactively keep resources secure and compliant with AWS CloudFormation Hooks Organizations want their developers to provision resources that they need to build applications while maintaining compliance with security, operational, and cost optimization best practices. Most solutions today inform customers about noncompliant resources only after those resource
コンサル部@大阪オフィスのYui(@MayForBlue)です。 最近、CloudWatch Logs から S3 へのログデータの転送に Kinesis Data Firehose を初めて使ってみたので、勉強したことをまとめてみました。 ドキュメントを読んだり概要を学んだだけではなかなか理解しにくかったので、実際に触ってみた内容が中心となります。 Kinesis Data Firehose とは リアルタイムのストリーミングデータをS3やRedShift、Elasticsearchなどのデータストア、分析ツールに配信するAWSのマネージドサービス。 複雑な設定をすることなく、データ送信元から送信先へのデータの転送を実現することができます。 イメージ Kinesis Data Firehose は、Kinesis ストリーミングデータプラットフォームの一部で、他に、Kinesis Dat
[登壇レポート]「防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023 | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、AWS不正利用対策していますか? AWSを安全に使うために、不正利用対策は避けては通ることができません。 今回は弊社年1の一大イベントであるDevelopersIO 2023でAWS不正利用対策について登壇したので、その内容を共有します! 登壇動画 登壇資料 前提 セッション概要 今回のセッションの概要は以下のとおりです。 被害総額が膨らむAWSアカウント不正利用。脅威は常にあなたの身近に潜んでいます…。本セッションでは、アクセスキー漏洩やパスワード流出による不正利用から身を守るための防止対策をお伝えします。今日からできる実践的な知識で、あなたが大切にしているAWSアカウントを守り抜く力を身につけましょう! というわけで、今回はAWSアカウントで不正利用を起こさせないための超初級のセキュリティ対策のお話しです。 セッションのテーマ セッ
![[登壇レポート]「防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ」というタイトルでDevelopersIO 2023に登壇しました #DevIO2023 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ae4ad44b9fc4a03f08079943ac833c126bf3a95e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F07%2Fdevio2023-aws-abuse-protection.png)
毎回ググってるので備忘録。 Google Cloud はこっち。 概要 GitHub Actions では OpenID Connect (OIDC) がサポートされています。 OIDC を使用することにより長期間有効なアクセスキーなどを用意することなく AWS 認証を行うことができます。 詳細については下記ページをご参照ください。 この記事では GitHub Actions で OIDC を使用して AWS 認証を行うまでの手順をまとめます。 リポジトリ この記事内で使用しているサンプルコードは下記リポジトリで管理しています。 手順 1. ID プロバイダを作成する まず OIDC に使用する ID プロバイダを AWS で作成します。 Terraform で作成する場合のサンプルコード data "http" "github_actions_openid_configuration"
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる Azure AD と AWS IAM Identity Center を連携させて、Azure AD の認証情報で AWS アカウントにアクセスする設定方法をまとめました。 Azure AD ユーザーの認証情報を使って AWS IAM Identity Center 経由で AWS アカウントにアクセスする方法を紹介します。以前にも同様のブログを書きましたが、AWS Single Sign-On 時代だったため、改めて書き直しました。手順に変わりがないか確認したい意図もありましたが、ほぼ同じ手順で設定できました。 構成と全体の流れ 構成図と設定内容を示します。 ユーザー/グループ情報の同期は SCIM による自動同期を採用しています。 設定の流れ SA
【日本初導入】AWS Outposts ラックを徹底解説 第3回 〜TerraformによるPrivate EKS構築〜 - NTT Communications Engineers' Blog
はじめに こんにちは、イノベーションセンターの鈴ヶ嶺です。 engineers.ntt.com engineers.ntt.com 第1回、第2回に引き続きAWS Outposts ラックについて紹介していきます。 本記事では、Terraform を用いてOutposts上でオンプレ環境からのみ管理・アクセス可能なPrivate Elastic Kubernetes Service(EKS) を構築する方法を紹介します。 Terraform Terraformとは、HashCorpが提供するインフラをコード化して自動構築を可能とするInfrastructure as Code(IaC)を実現するためのツールです。OutpostsをTerraformでIaC化するためには、対応した各リソースに outpost_arn を渡すことでOutposts上のリソースが作成されます。 以下はsubne
はじめまして。ソフトウェアエンジニアのやぎーです。 コロナが再燃してますね。 在宅勤務を継続している方も多いのではないでしょうか。 最近、在宅時にローカル開発環境をもっと充実させたいなー、と感じることが増えてきたので 今回はAWSのローカルモック環境をご紹介したいと思います。 LocalStackとは 特徴 手軽に環境が作れる 複数のAWSサービス(モック環境)が利用できる 料金など気にせずにテストや動作確認ができる つくるもの 設定 準備 LocalStackインストール&起動 AWS CLI設定 S3バケット作成 Lambda設定 動作確認 さわってみた感想 使いやすい点 使いにくい点 おわりに LocalStackとは 開発環境においてAWSのサービスを擬似的に使用できるモックフレームワークです。 github.com 特徴 手軽に環境が作れる Dockerイメージを利用するか、pi
CDK Pipelines: AWS CDK アプリケーションの継続的デリバリ | Amazon Web Services
Amazon Web Services ブログ CDK Pipelines: AWS CDK アプリケーションの継続的デリバリ AWS Cloud Development Kit(AWS CDK)は、使い慣れたプログラミング言語でクラウドインフラストラクチャを定義し、AWS CloudFormation を通じてプロビジョニングするためのオープンソースのソフトウェア開発フレームワークです。AWS CDK は、次の 3 つの主要なコンポーネントで構成されています。 再利用可能なインフラストラクチャ・コンポーネントをモデリングするためのコアフレームワーク CDK アプリケーションをデプロイするための CLI AWS Construct Library(クラウドリソースを抽象化し、実績のあるデフォルト値をカプセル化する高レベルのコンポーネントのセット) CDK を使用すると、cdk deploy
Amazon EKS on Fargate で ALB Ingress Controller を使用する | Amazon Web Services
Amazon Web Services ブログ Amazon EKS on Fargate で ALB Ingress Controller を使用する 2019 年 12 月、Amazon Elastic Kubernetes Service を使用して AWS Fargate で Kubernetes ポッドを実行できることを発表しました。Fargate を使用すると、Kubernetes アプリケーションの EC2 インスタンスを作成または管理する必要がなくなります。ポッドが起動すると、Fargate はそれらを実行するために計算リソースをオンデマンドで自動的に割り当てます。 Fargate は、マイクロサービスの実行とスケーリングに最適です。特に、スパイクが発生し、予測できないトラフィックパターンがある場合に役立ちます。Amazon Elastic Load Balancing A
Amazon Fargate for Amazon EKSを試してみた #reinvent | DevelopersIO
みなさん、こんばんは! AWS事業本部の青柳@福岡オフィスです。 今、私は猛烈に感動しています!!(大げさ) [速報] Fargete for EKSがGAされました!!! #reinvent | Developers.IO そう、以前からリリース予定とされてきた Amazon Fargate for Amazon EKS がとうとう正式発表されたのです! しかも、即日使えるようになっています! ということで、さっそく試してみました。 やってみた AWS公式ブログ (英語) が公開されていますので、こちらを参考に進めてみます。 Amazon EKS on AWS Fargate Now Generally Available | AWS News Blog 準備その1: EKSクラスターの作成 まず、通常通りにEKSクラスターを作成します。 サクっと作成するために eksctl コマンドを
Amazon Connect フローでの離脱箇所と放棄呼をStep FunctionsとLambdaを組み合わせてDynamoDBに保存してみた | DevelopersIO
Amazon Connect フローでの離脱箇所と放棄呼をStep FunctionsとLambdaを組み合わせてDynamoDBに保存してみた はじめに Amazon Connectのフローで離脱箇所や放棄呼をAmazon Kinesis Data Streams(以降、KDS)とAWS Step Functions、AWS Lambdaを用いて取得し、Amazon DynamoDBに保存する方法をまとめました。 本記事の内容は以下のような用途に役立ちます。 IVRでの途中離脱箇所を知りたい オペレーターにつながる前に切られる放棄呼の有無を知りたい Connectは、各通話ごとに問い合わせレコード(Contact Trace Record, CTR)として通話記録を保存します。 Connectでは、KDSに問い合わせレコードを出力できます。通常は問い合わせレコードは、どのフローで切断され
目的 クラスメソッドタイランドの清水です。 本記事では Amazon Athena を使って、S3 と MySQL を JOIN するクエリを発行します。 大まかに以下のような構成になります。 前提条件・知識 AWS アカウントを作成済み IAM Role, Policy, Cloud9 の環境を作成できる権限がある 使いたいAWS アカウントのリージョンで cdk bootstrap コマンドを実行済み aws cli の使い方 手順 環境構築 Cloud9 を使って CDK をデプロイしたり、必要なコマンドを実行するための環境を構築します。 もし手元に環境があればこの工程はスキップしても問題ありません。 まずは Cloud9 の環境が使う EC2 インスタンスにアタッチするロールを作成します。 ロールには以下のポリシーを関連付けます。 ⚠️ 最小権限ではありません。実際のプロジェクトで
New – Amazon ECS Exec による AWS Fargate, Amazon EC2 上のコンテナへのアクセス | Amazon Web Services
Amazon Web Services ブログ New – Amazon ECS Exec による AWS Fargate, Amazon EC2 上のコンテナへのアクセス この記事は、 NEW – Using Amazon ECS Exec to access your containers on AWS Fargate and Amazon EC2 を翻訳したものです。 本日、開発者、運用者を含むすべての Amazon ECS ユーザに向けて、 Amazon EC2 もしくは AWS Fargate にデプロイされたタスク内のコンテナに “Exec” する機能を発表しました。この新しい機能は、 ECS Exec と名付けられ、コンテナに対して対話型のシェル、あるいは一つのコマンドを実行できるようになります。これは AWS コンテナロードマップ上で最も要望の多かった機能の一つであり、一般
AWS Single Sign-On (AWS SSO) adds support for AWS Identity and Access Management (IAM) customer managed policies (CMPs)
AWS Single Sign-On (AWS SSO) now supports AWS Identity and Access Management (IAM) customer managed policies (CMPs) and permission boundary policies within AWS SSO permission sets. The new capability helps AWS SSO customers to improve their security posture by creating larger and finer-grained policies for least privilege access and by tailoring policies to reference the resources of the account t
やらなきゃ損!? 円安時代の AWS Graviton2 移行 - BIGLOBE Style | BIGLOBEの「はたらく人」と「トガッた技術」
AWS Fargate コンテナの Graviton2 移行について実例を交えてご紹介します。 こん**は。 新型コロナウイルス感染症は5類感染症に移行となりましたが、読者の皆様はお変わりなくお過ごしでしょうか。お久しぶりの投稿となります、プロダクト技術本部の江角です。 前回執筆させていただきましたGitログの記事では「ほぼフルリモート!」とお伝えしていましたが、近況に変化がありましたので少しお話できれば、と思います。 BIGLOBEは4月より組織改編等もあり、「リアルでの会話、議論を重視したい」という流れのもと、今までは疎らだったオフィスに人が戻って来つつあります。 私が今所属しているグループでは「会議が被る曜日はメンバーで出社を揃えよう」という試みも実施していたりします。 『ほぼフルリモートだと聞いていたのに全然違った!😡』ということが無いよう、あくまで直近のご報告とさせていただきま
Terraformで構築する機械学習ワークロード(Batch on Fargate編) | DevelopersIO
こんちには。 データアナリティクス事業本部 インテグレーション部 機械学習チームの中村です。 今回も「Terraformで構築する機械学習ワークロード」ということで、前回の記事ではLambdaを使いましたが、今回はその処理をBatch on Fargateに載せてみたいと思います。 前回記事は以下です。 構成イメージ 構成としては以下のようなものを作成していきます。 前回との違いとしては、まずLambdaの代わりにBatch on Fargateを使う点です。 Fargateのタスク(ジョブ)上のコンテナイメージで物体検出モデルの一つであるYOLOXを動かしていきます。 また、それ以外にもBatchを使用する場合は、S3イベントとBatchの間にEventBridgeが必要となります。 動作環境 Docker、Terraformはインストール済みとします。 Terraformを実行する際の
[アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! | DevelopersIO
[アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! コンバンハ、千葉(幸)です。 IAM アクセスアドバイザーで、新たに EC2、IAM、Lambda もアクションレベルで最終アクセス時刻を確認できるようになりました! Review last accessed information to identify unused EC2, IAM, and Lambda permissions and tighten access for your IAM roles 必要最小限の権限に絞っていく、そのアプローチがまた一つ楽になりました。 何が変わったのか IAM アクセスアドバイザーは、特定の IAM リソース(ユーザー/グループ/ロール/ポリシー)に対して以下を分析、取得してくれる機能です。 アクセス
![[アップデート] IAM アクセスアドバイザーによる「アクションレベルでの最終実行履歴の表示」に EC2、IAM、Lambda が対応しました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/be87d4dc194a448afd90d0a4b97626b36839fd3a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iam.png)
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
[前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO
CX事業本部Delivery部のアベシです。 こちらの記事では、API Gateway + Lambda のREST APIに Auth0 + Lambda Authorizerの認可を導入する方法について紹介します。 前編、更編に分けて紹介します。 今回の前編ではLambda Authorizer と Auth0を使ったAPI Gatewayの保護の仕組みと、土台となるAPIのCDKコードについて紹介しようと思います。 Lambda Authorizer と Auth0を使った認可の仕組み 以下のフローで認可が行われます。 ① クライアントがAuth0に認可をリクエストする。 ② 認可されたらAuth0がアクセストークンを返す。 ③ クライアントがAPIコールする。その際にアクセストークンをヘッダーとしてAPI Gatewayに渡す。 ④ API GatewayがLambda Autho
![[前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/43f916d5196c95657ed7fdc9da3617ebc49ca9af/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F12%2Feyecatch_auth0_1200x630.png)
Amazon EventBridgeからEC2インスタンスを起動•停止•再起動する簡易な方法5選 | DevelopersIO
EC2のインスタンスの指定方法 EC2のインスタンスの指定方法は、インスタンスIDを指定とタグ指定の2つがあります。 EC2インスタンスを削除することがなくインスタンスIDが変わらない場合は、インスタンスIDを指定するとよいですが、インスタンスIDが変わる可能性があれば、タグ指定を推奨します。 タグ指定が必要な場合は、LambdaあるいはSSMオートメーション(自作ドキュメント)のいずれかを選択します。 個人的には、まずSSMオートメーション(自作ドキュメント)を検討し、起動停止に関して複雑なことが必要な場合は、Lambdaを検討すると思います。 タグ指定でなく、インスタンスIDを指定する場合、まず「EventBridgeからEC2のAPIを呼ぶ」を検討するとよいです。 各方法の設定方法 次に、各方法の具体的な設定方法を簡単に説明します。 Lambda すでにブログで解説が公開されているた
New – Amazon Managed Apache Cassandra Service (MCS) | Amazon Web Services
AWS News Blog New – Amazon Managed Apache Cassandra Service (MCS) Managing databases at scale is never easy. One of the options to store, retrieve, and manage large amounts of structured data, including key-value and tabular formats, is Apache Cassandra. With Cassandra, you can use the expressive Cassandra Query Language (CQL) to build applications quickly. However, managing large Cassandra cluste
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
技術部の小池です。 2024年7月19日に 北欧、暮らしの道具店 を運営している株式会社クラシコムさんと合同勉強会を開催しました。 クラシコムさんとは SRE と データ基盤 領域の協業によるご縁があり、2019年にも勉強会を開催しています。 クラシコムさんの新オフィス 今回の勉強会は2024年3月に移転したクラシコムさんの新オフィスで開催しました。 白を基調とした開放的で広々とした空間でとても居心地がよかったです。 勉強会の様子 はじめに乾杯をして軽くピザを食べ、穏やかな雰囲気で発表が始まりました。 OpenAI/Gemini APIを使って EPUBを翻訳するCLIツールをつくってみた OpenAI/Gemini APIを使って EPUBを翻訳するCLIツールをつくってみた クラシコム冨田さんの発表です。 speakerdeck.com EPUB のデータ構造や OpenAI API
You can now assign multiple MFA devices in IAM | Amazon Web Services
AWS Security Blog You can now assign multiple MFA devices in IAM At Amazon Web Services (AWS), security is our top priority, and configuring multi-factor authentication (MFA) on accounts is an important step in securing your organization. Now, you can add multiple MFA devices to AWS account root users and AWS Identity and Access Management (IAM) users in your AWS accounts. This helps you to raise
SSE-KMSで暗号化したS3に対して、ファイルアップロードする際に必要な権限について整理する - NRIネットコムBlog
本記事は AWSアワード記念!夏のアドベントカレンダー 12日目の記事です。 🎆🏆 11日目 ▶▶ 本記事 ▶▶ 13日目 🏆🎆 はじめに こんにちは、西本です。AWSアワード記念!夏のアドベントカレンダー 12日目を担当させていただきます。 2024 Japan AWS All Certifications Engineersに選出 昨年に引き続き、「2024 Japan AWS All Certifications Engineers」に選出いただきました。受賞者数も激増、試験も新しいものが増えてきていますが、引き続き頑張っていきたいと思います。 今回のテーマ AWS Key Management Service(以降、KMS)は使われていますでしょうか?多くのシステムで利用しているサービスかと思います。 例えば、「Amazon S3の暗号化に使用している」、「AWS Syst
新機能 – AWS ECS Cluster Auto ScalingによるECSクラスターの自動スケーリング | Amazon Web Services
Amazon Web Services ブログ 新機能 – AWS ECS Cluster Auto ScalingによるECSクラスターの自動スケーリング 本日、AWS ECS Cluster Auto Scalingを発表します。この機能は、スケールアウトを高速化し信頼性を向上させる、クラスター内の空きキャパシティ管理の提供と、スケールイン時に終了されるインスタンスの自動管理を提供し、クラスターの自動スケーリングをより使いやすいものにします。 ECS Cluster Auto Scalingを有効にするには、Capacity Providerと呼ばれる新たな項目を設定する必要があります。1つのCapacity Providerは1つのEC2 Auto Scaling Groupに関連づきます。あるAuto Scaling GroupにECS Capacity Providerを関連付け
[AWS CDK]Control TowerのアカウントセットアップをStepFunctionsから実行するフローを実装してみた | DevelopersIO
[AWS CDK]Control TowerのアカウントセットアップをStepFunctionsから実行するフローを実装してみた Control Tower上でよく初期セットアップとして利用される機能をStepFunctionsからまとめて実行する仕組みをCDKで実装してみました。 リポジトリはこちら。あくまでサンプルなので、ご利用の環境に合わせてカスタマイズしながらご利用ください。 前提 Control Tower有効化済み Security HubのOrganizations統合で新規アカウントの自動有効化が設定されている 構成 EventBridgeでControl Towerのアカウント発行イベント(ライフサイクルイベント)を取得して、ターゲットとして指定したステートマシンを実行します。 ステートマシン内はLambdaが複数タスクとして定義されていて、各Lambda内で新規アカウン
![[AWS CDK]Control TowerのアカウントセットアップをStepFunctionsから実行するフローを実装してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/1486b2da4d87633e58aebde2114c02dc06f61935/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-control-tower.png)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GCPのWorkload Identityを使ってAWSのRoleとGCPのサービスアカウントを連携させる
CentOS Stream の CentOS 8 を EC2 で使ってみた | DevelopersIO
Kinesis Data Firehose をゼロからざっくり理解する | DevelopersIO
GitHub Actions で OIDC を使用して AWS 認証を行う
LocalStackでAWSサービスを試してみた - クイック エンジニアリングブログ
Athena で S3 と MySQL を JOIN する | DevelopersIO
パスキーがAWS IAMの多要素認証として利用可能に
クラシコムさんと合同勉強会を開催しました! - KAYAC Engineers' Blog