AWS IAMユーザーに対して一時的な認証情報をリクエストする(STS:GetSessionToken) | DevelopersIO
IAM ロールに対して STS:AssumeRole 系APIを実行すると、そのロールを引き受ける一時的な認証情報が発行されます。アクセス許可を委任したいときなどに利用され、利用頻度・利用パターンが非常に多いため、本サイトでも大量にブログが書かれています。 同様に STS:GetSessionToken API を実行すると、IAM ユーザーの一時的な認証情報が発行されます。 MFA 付きリクエストを実行する場合 モバイルデバイスやウェブブラウザのような安全性の低い環境から IAM ユーザーで AWS リソースにアクセスする場合 などに利用されます。 本ブログでは、あまり触れられることのない STS:GetSessionToken API についてかんたんに紹介します。 やってみた IAM ユーザーの一時認証情報を利用するには、STS:GetSessionToken API で発行された一
こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。 今回は、Snyk IaCを使用してTerraformコードのセキュリティスキャンをしてみようと思います。 Snyk IaCとは Snyk IaCとは、Snyk社が作成したIaCのセキュリティスキャンツールです。 Terraform, CloudFormation, ARMに対応しており、幅広いIaCツールのセキュリティスキャンが行える利点があります。 事前にルールセットが用意されており、迅速にコードの評価を行うことができます。また、自身でカスタムルールも定義可能なため柔軟な評価基準を設けることができます。 やってみた Snyk IaCは、Snyk CLIまたはGUI(Web)でセキュリティスキャンを実行できます。 今回は、Snyk CLIを使用してTerraformのコードを解析したいと思います。使用する
コンテナ実行に特化したAWS製オープンソースOS「Bottlerocket」がGAになりました! | DevelopersIO
衝撃の発表 (ハマコー氏談) から半年、いよいよ「Bottlerocket」が正式リリースとなりました。 みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 今年3月、AWSからコンテナ実行に特化したOS「Bottlerocket」が発表されました。 Announcing the General Availability of Bottlerocket, a new open source Linux-based operating system purpose-built to run containers 発表と同時にパブリックプレビューとして試すことができる状態でしたが、このたび正式版としてリリースされました! ※ なお、Bottlerocketは「EKS」および「ECS」のホストOSとして利用可能ですが、今回GAになったのはEKS向けの利用についてのみですので、ご注意
こんにちは。SRE2課の福島です。 はじめに ポイント 検証 ①ACMで証明書の発行 ②EC2インスタンスの作成(特定のAMIを利用する。) ③IAMロールの作成 ④③で作成したIAMロールを証明書に関連付け ⑤③で作成したIAMロールにポリシー適用 ⑥②で作成したEC2にIAMロールをアタッチ ⑦Nginxの設定 /etc/nitro_enclaves/acm.yamlの編集 /etc/nginx/nginx.confの編集 終わりに おまけ dry-runが成功したインスタンスタイプ一覧 はじめに 今回は、以下のアップデートを実際に試してみましたので、ブログにまとめたいと思います。 Announcing SSL/TLS certificates for Amazon EC2 instances with AWS Certificate Manager (ACM) for Nitro E
RubyKaigi 2024 のサイネージについて
今月中旬に沖縄県那覇市で RubyKaigi 2024 を開催した。COVID-19 対応をしていた RubyKaigi Takeout 2020, RubyKaigi Takeout 2021, RubyKaigi 2022, RubyKaigi 2023 とは異なり、今回は配信を伴わないオフラインのみの開催だった。 わたしは Organizer の一人として Sponsor Relations 業などをしつつ、Wi-Fi の支度をしたり、サイネージの支度をしたりしていた。Wi-Fi の話はこれまでもいくつか書いている のでまた今度として、今回はサイネージの話をかきます。 RubyKaigi ではいくつかのサイネージの映像を用意して会場のあちこちに表示している。各セッション会場の横に添えて字幕やチャット, LT タイマーを流すサブスクリーン、お知らせやセッション案内を廊下に設置したモニタ
こんにちは、SRE部の谷口(case-k)です。 本記事では、EC2 Image Builderを使いRedashの運用改善を行った事例をご紹介します。運用しているRedashについてご紹介し、その後、Redashの運用課題に対してEC2 Image Builderでどのように解決したかTipsも踏まえご紹介します。 余談ですが全国どこでも働けるようになったので沖縄に住めています(感謝!) https://press-tech.zozo.com/entry/20210118_zozotechpress-tech.zozo.com 目次 目次 運用しているRedashの紹介 役割 インフラ構成 クエリ実行の流れ EC2インスタンス起動時の処理 Redashの運用課題 EC2 Image Builderによる課題解決 EC2 Image Builderの紹介 各リソースのTips 事前準備 コ
pt-online-schema-change の実行が必要かどうか判断するタイミングをより早くした話 - Repro Tech Blog
Repro では Aurora MySQL を使用しています。いくつか数千万行を越えるデータを持つ大規模なテーブルもあります。 大規模なテーブルのスキーマを変更するときは pt-online-schema-change1 を使用していますが、今回はその必要性を判断するタイミングを早めた話です。 pt-osc が必要になる理由等は次の記事が詳しいです。 - pt-online-schema-changeの導入時に検討したこと、およびRailsアプリとの併用について - freee Developers Hub 解決したい課題 Repro では Rails アプリケーションが管理画面や API を提供しています。これらについて、目的別に複数の環境を用意しています。 member: 主に管理画面の動作確認目的で開発者が自由に使ってよい環境 いくつかのミドルウェアは dev_staging と共用
AWS Support App in Slackを試してみました|Kurashicom Tech Blog
はじめに😱 AWS Support App in Slackは英語のケースのみで利用できるようです AWS Support App in Slackが発表されましたね! 今まではマネジメントコンソールからぽちぽちケースを起票していましたが、明らかにSlackから起票できる方が気軽です。せっかくサポートを利用しているのに起票が面倒で質問できないなんてもったいないので少しでも手間が省けるのはすごく嬉しいです。 利用できる条件Support Appを利用するには Slackを利用している AWSサポートプランがビジネスプラン以上である ことが必要です。 クラシコムではSlackを利用しておりビジネスプランを契約しているため、設定を行いました。 前準備Slackで連携するためのchannelを作成します Support AppにアタッチするためのIAM RoleとPolicyを作成します Cha
こんにちは、上野です。 2020年のAWS re:Inventで発表されたAWS Proton、以下のハンズオンを参考に色々触ってみました。(作者の山口さんありがとうございます!) AWS Proton で ECS Fargate のアプリケーション実行環境を作ってみようハンズオン これは実際の本番運用で使用できるのでは?という良いポイントがけっこうあったので、まとめてみます。 AWS Protonとは AWSでは「コンテナおよびサーバーレスアプリケーションのための初のフルマネージドデリバリーサービス」と紹介されています。 私の感想としては、プラットフォーム管理者とアプリケーション開発者の境界線を明確にし、各担当者が管理する範囲をテンプレートおよび世代管理できるサービスです。この管理をAWSマネージドでできるため、負荷を下げながら整理されたデリバリー構成を維持できるようになります。 説明だ
最小権限の原則に一歩近づく - Entra ID の "Just-in-time application access with PIM for Groups" 機能の紹介 - LayerX エンジニアブログ
LayerX Fintech事業部(※)の piroshi です。 ※三井物産デジタル・アセットマネジメント (MDM)に出向しています。 沖縄からリモートワークで働いており、蒸し暑い日が続いています。クーラーをつけないと寝苦しくなってきました。 ところでみなさん、特権 (ちから) が欲しいですか?ここでの権限はシステム上の各種権限です。私は小心者で、大きすぎる力は持ちたくない派です。特権をもっていると「オレは今、セキュリティリスクの塊だ...」と気になってしまい、輪をかけて夜も眠れません。 さて、Microsoft の IdP サービスである Entra ID には Privileged Identity Management (PIM) という特権管理機能があります。PIM により「必要最低限の権限」を「必要な期間」に限定して付与することが可能です。ユーザは特権へのエスカレーションを自
AWS Step FunctionsとSSM RunCommandでWebシステムの起動・停止のジョブネットを組んでみた | DevelopersIO
ジョブ管理システムから抜け出したくないですか? こんにちは、のんピ です。 皆さんはジョブ管理システムから抜け出したいと思ったことはありますか? 私は常に思っています。 ジョブ管理システムとは、バッチ処理やOSの起動の一つ一つの処理をジョブとして、制御・運用をするシステムです。 ジョブ管理システムを使うことによって、定型業務を自動化するなどのメリットがあります。 しかし、私が思うに、ジョブ管理システムが便利だからこその辛みもあると思っています。 私が感じるジョブ管理システムの辛いところを以下にまとめます。 ジョブ管理システムで全てのシステムのジョブネットを管理しているがために、ジョブ管理システムのメンテナンスが大変 ジョブ管理システムが停止すると、全てのシステムに影響があるため、高い可用性が求められる ジョブ管理システムによっては、エージェント毎にライセンスの購入が必要になり、大量のクライ
AWS とサードパーティーのサービスにアクセスするための統一された API である AWS クラウドコントロール API | Amazon Web Services
Amazon Web Services ブログ AWS とサードパーティーのサービスにアクセスするための統一された API である AWS クラウドコントロール API 2021 年 9 月 30 日、AWS クラウドコントロール API のリリースをお知らせします。AWS クラウドコントロール API は、デベロッパーが AWS およびサードパーティーのサービスを簡単に管理できるようにするために設計された、一般的なアプリケーションプログラムインターフェイス (API) のセットです。 AWS は、最も広範かつ深いクラウドサービスのポートフォリオを提供しています。ビルダーはこれらを活用して、あらゆる種類のクラウドインフラストラクチャを構築します。15 年前に Amazon Simple Storage Service (Amazon S3) を皮切りにサービスの提供が開始され、200 を超
本記事は 基盤デザインウィーク 8日目の記事です。 🌈 7日目 ▶▶ 本記事 ▶▶ 9日目 💻 はじめに ecscheduleとは 「スケジュールされたタスク」 Amazon EventBridgeについて 構成図 コード体系 ecschedule.yaml target.json 構築手順 0. 前提 1. 必要リソース構築(dev) 2. ecschedule dump(dev) 3. 設定ファイルの修正 4. ecschedule apply(prod) 検証中にハマったポイント 1. ecschedule dumpコマンドが成功しない 2. 別リージョンからtfstateの読み込みは出来ない 3. サブコマンドからリソース削除が出来ない まとめ はじめに こんにちは、加藤です。 以前ecspressoについての記事を書きました☕️ tech.nri-net.com 今回はecs
Amazon CloudWatch での Prometheus メトリクスの使用 | Amazon Web Services
Amazon Web Services ブログ Amazon CloudWatch での Prometheus メトリクスの使用 Imaya Kumar Jagannathan、Justin Gu、Marc Chéné、および Michael Hausenblas 今週の初めに、AWS は CloudWatch Container Insights での Prometheus メトリクスモニタリングの公開ベータ版サポートを発表しました。この記事では、ユーザーがプロビジョニングする AWS クラスター上の Amazon Elastic Kubernetes Service (EKS) および Kubernetes で、コンテナ化されたワークロードに新しい Amazon CloudWatch 機能を使用する方法をご紹介します。 Prometheus は Cloud Native Compute
みなさん、こんにちは。アマゾン ウェブ サービス ジャパン株式会社のスタートアップソリューションアーキテクト、塚田朗弘(@akitsukada)です。普段はもっぱらスタートアップのお客さまを技術面から支援しています。AWSサービスは、Amazon PinpointやAWS Chaliceが好きです。このシリーズでは、多様なAWSサービスの中から、急成長中のスタートアップ企業がAWSをどう使っているのか、どういったビジネス課題を解決しているのかをひも解き、実際にスタートアップ企業の中でエンジニアリングをリードしている担当者の方がAWS活用術をご紹介します。第1回は、私からスタートアップにおける技術課題やトレンドの変化についてお届けします。 スタートアップが注目すべきAWSのポイント まず、簡単にAWSが提供するクラウドサービスの特徴をおさらいしてみましょう。基本的なところで、以下の点が挙げら
初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
しばらくDevelopersIOから出張してクラソルにも投稿します。 今回はこれからAWSを使う方や使い始めた方向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます! 1.前置き〜AWSは安全?〜 みなさんはAWSやクラウドを利用する際のセキュリティに対してどんな印象をもっていますか? 「なんだかよくわからないけど不安だ」と感じている方、いい感覚です。初めて扱う技術を怖く感じることは正常な感覚です。しかし、過剰に怖がりすぎるのは違いますね。 逆に「AWSやクラウドは安全だからセキュリティを気にせず使って大丈夫だ」と感じた方は少し危険かもしれません。自らの正確な知識と正しい根拠がないまま勝手に安全だと信じることは正常な感覚ではありません。 いずれの場合も、AWSやクラウドについてこれから学習してい
AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET
PKIベースでAWSのIAMロールを使える IAM Role Anywhereが発表されました。早速使えるようだったのでOpenSSLでCA構築して使ってみた手順を残しておきます。 環境汚さないためにDocker使っています。 AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS What is AWS Identity and Access Management Roles Anywhere? - IAM Roles Anywhere Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog [HostOS] RootCA用のDo
デプロイ対象環境ごとに別々のSlackチャンネルに通知するGitHub Actionsの実装例 - KAYAC engineers' blog
SREチームの長田です。 SRE関連の記事としては今年最初の記事になります。 今年も定期的にSREチームメンバーによる記事を投稿していく予定です。 よろしくお願いします。 さて、今回はGitHub Actionsのはなしです。 TL;DR デプロイを実行するGitHub Actionsの実行状況を デプロイ対象環境ごとに別々のSlackチャンネルに通知する場合の実装例として、 「slackapi/slack-github-actionで通知をつくりこむ」 「Actions Workflowを分ける」 「Actions Workflow実行の入り口を分ける」 の3つを紹介します。 背景 カヤックでは「まちのコイン」という地域通貨サービスを開発・運用しています。 coin.machino.co まちのコインの開発・運用チームの、特にサーバーサイドに関しては、 アプリケーションやインフラ構成の変
【書評】データレイク構築・運用のノウハウを網羅的に学び始められる! 『AWSではじめるデータレイク: クラウドによる統合型データリポジトリ構築入門』 | DevelopersIO
先日2020年07月09日、書籍『AWSではじめるデータレイク: クラウドによる統合型データリポジトリ構築入門』が発売されました!個人的に興味関心の強いテーマを取り上げた内容がてんこ盛りの書籍でしたので、簡単ではありますが書籍の内容について紹介させて頂きたいと思います。 「AWSではじめるデータレイク」がついに https://t.co/FvuHWrYlwH 上で予約可能になりました!7月9日発売予定です。どうかよろしくお願いいたします。 - https://t.co/do0ZeLrlrn #aws #datalake — Akira Shimosako (@simosako) June 23, 2020 テッキーメディア - BOOTH 【電子書籍版】AWSではじめるデータレイク - テッキーメディア - BOOTH AWSではじめるデータレイク - テッキーメディア - BOOTH 目
特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成する | DevelopersIO
はじめに マルチアカウント環境ではIAM Identity Centerを使ってメンバーアカウントへログインすることが多いかと思います。 今回は特定のIAM Identity CenterユーザーのみAssumeRoleできるIAMロールを作成してみました。 前提 この記事ではマルチアカウント環境を前提としているため、以下については既に有効化・作成されているものとして進めます。 Control Tower or Organizations IAM Identity Center メンバーアカウントへログインできるIAM Identity Centerユーザー IAM Identity Centerユーザーが利用するアクセス許可セット 今回は以下2つのIAM Identity Centerユーザーを作成して、Administorator権限のアクセス許可セットでログインしています。 User
はじめに 最近、AWS CDKでコンテナ関連のリソース構築をしておりますが、コンテナリソースをどこまでCDKで実装するべきかが大きな悩みの種でした。 今回、コンテナ周辺のリソースをCDK、コンテナ本体のリソースをecspressoで構築した為、構築内容の紹介となっています。 ecspressoとは ECSサービス、タスクに関わる最小限のリソースをコード管理する事ができるツールです。 CDKを使う中で「CDKでサービス定義、タスク定義をするのは運用上厳しい」と感じた為、 CDKでサービス定義、タスク定義以外のリソースを構築 ecspressoでサービス定義、タスク定義、デプロイにも利用 ecspressoの外部参照機能(後述)を利用し、CDKで定義したリソースを取り込み といった構築の仕方をしています。 動作環境 cdk 2.59.0 ecspresso v2.1.0 構築内容 今回はサンプ
Announcing additional Linux controls for Amazon ECS tasks on AWS Fargate | Amazon Web Services
Containers Announcing additional Linux controls for Amazon ECS tasks on AWS Fargate Introduction An Amazon Elastic Container Service (Amazon ECS) task is a number of co-located containers that are scheduled on to AWS Fargate or an Amazon EC2 container instance. Containers use Linux namespaces to provide workload isolation—and with namespaces—even though containers are scheduled together in an Amaz
クロスアカウントでの暗号化したRDSのスナップショット利用には気をつけようという話 - LIVESENSE ENGINEER BLOG
これは Livesense Advent Calendar 2022 DAY 4 の記事です。 こんにちは。アルバイト事業部エンジニアの@mnmandahalfです。 今日は先日開催された社内LT大会で話したネタを記事にしてみたいと思います。 VPoEだけが追い出された?!エンジニアLT大会を開催した話 - LIVESENSE ENGINEER BLOG TL;DR クロスアカウントで暗号化したRDSスナップショットを共有するときはCMKで暗号化した方がベター CMKを作るときのキーポリシーに注意しよう やりたかったこと ざっくり説明すると、以下の通りです。 本番環境(以下、AWSのproductionアカウント)のDBデータをステージング環境(以下、AWSのstagingアカウント)に日次で同期して利用したい その際、個人情報等にアクセスできないようにマスキング処理(例:データの削除、改
GitHub ActionsからECSとECRへのCI/CDを最小権限で実行したい | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 前回、GitHub ActionsからECSのCI/CDについて試してみました。 その際、GitHub ActionsにはAWS管理ポリシーによる強めの権限を付与して検証しました。 本番運用を考慮する場合は、FullAccess等の強い権限だと思わぬ事故につながります。 今回はセキュリティの観点から、GitHub Actions用にIAMポリシーの最小権限例を作成してみました。 構成図 GitHub ActionsのDeploy to Amazon ECSテンプレートからワークフロー実行する際の大まかな構成図となります。 今回はIAMポリシーのActionとResourceをメインに権限を見直していきます。 IAMポリシーの最小化権限例 今回作成したIAMポリシーは以下の通りです。 <>で囲った値は、ご自身の環境毎の値
Lambda無しでGraphQLのAPIを作ろう!!AppSyncをAWSサービスのプロキシとして利用してみる | DevelopersIO
Lambda無しでGraphQLのAPIを作ろう!!AppSyncをAWSサービスのプロキシとして利用してみる 先日のブログでAppSyncのHTTPデータソースとしてStep Functionsを利用する構成をご紹介しました。AppSyncのデータソースとしてネイティブに対応していないサービスであっても、HTTPデータソースを介してAppSyncと連携させることが可能です。 この例のようにAppSyncをAWSサービスのプロキシとして構成することで、CRUD操作のような単純なオペレーションに関してはわざわざLamdbaを使わなくてもAPIを実装することが可能です。AWSとしてもre:inventのセッション等で「LambdaはTransformのために使い、Transportに使わない」ことがベストプラクティスだと発信しており、Lambda無しで実現できることは極力Lambdaを使わない
その昔、初めてのサーバーレスアプリケーション開発というブログを書きました。 このシリーズを通して出来上がるものは、AWSのコードシリーズを用いてAWSリソースをデプロイするためのパイプラインです。 時は流れ、2020年。同じような仕組みを作るのであればCDKとGithub Actions使いたいという思いに駆られたので、こんな感じのパイプラインを作成してみました。 今回作成したコードは以下のリポジトリにあげています。 cdk-github-actions 目次 CDKとGithub Actions 今回構築するアプリケーションの全体構成はこちら。 CDKで「クライアントからリクエストを受けて文字列を返却する」簡単なアプリケーションを作成します。 AWSにデプロイされるまでの流れは以下のようになります。 ローカルでCDKを使ったアプリケーションを作成 featureブランチを作成しmaste
こんにちは、大阪オフィスのかずえです。今回は、AWS SAMのデプロイ方法が簡単になったことをお伝えします。 これまで $ aws s3 mb s3://(バケット名) $ sam package --s3-bucket (バケット名) --output-template-file out.yaml $ sam deploy --template-file out.yaml --capabilities CAPABILITY_IAM --stack-name (CFnスタック名) これから $ sam deploy コマンド数が少なくなっている上に、パラメーターも無くなってますね! やってみた 新しくなったdeployコマンドを使って、チュートリアル Deploying a Hello World Application をやってみました。 SAMのバージョンアップデート ※ SAM未イン
![[アップデート]AWS SAMのデプロイが簡単になりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7820c671d7f88b5036e549f9c82a7bf436592926/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F11%2Faws-sam.png)
curlライクにAWSのSigV4署名付きリクエストができるツール「awscurl」を紹介します | DevelopersIO
AWSを使っているとたまーに「AWS SigV4」署名付きリクエストでアクセスを許可するサービスがでてきます。そんなときにcurlライクにAWS SigV4署名付きリクエストができるツール「awscurl」を紹介します。 みなさん。AWS使ってますか? AWSを使っているとたまーに「AWS SigV4」署名付きリクエストでアクセスを許可するサービスがでてきます。 代表的な例をあげると IAM認可 を設定した API Gateway です。 20190514 AWS Black Belt Online Seminar Amazon API Gateway このAWS SigV4署名はAWSの アクセスキーID と シークレットアクセスキー を元に署名を行い、ドキュメントに署名手順の例も載っているんですが、自分でやるには手順が複雑で面倒くさいです。 完全な署名バージョン 4 署名プロセスの例
技術本部 Eight Engineering Unit(社内通称:Eight EU)の秋本です。普段は Eight をインフラ面からお世話することでご飯を食べています。 酷暑が続いていますね。酷暑は人々の健康を害し、健康が害されると稼動可能な人員が減り、人員が減ると業務負荷が増え、業務負荷が増えるとオペミスが発生しやすくなります。オペミスが発生してもバックアップがあれば最悪なんとかできる事が多く、もはや運用作業にはバックアップ取得が欠かせぬものとなっています。 本項では Eight におけるバックアップ取得の前史を述べ、そのうえで AWS Backup を導入していい感じになった風景を述べるものになります。 AWS Backup 導入まで Eight で使用しているデータの置き場所は以下があります。Eight では現状 AWS のみを使用しています: サービス 用途 S3 名刺画像データ、
はじめに こんにちは、計測プラットフォーム開発本部SREブロックの近藤です。普段はZOZOMATやZOZOGLASS、ZOZOFITなどの計測技術に関わるシステムの開発、運用に携わっています。 計測プラットフォーム開発本部では、複数のプロダクトを運用していますが並行して新しいプロダクトも開発しています。SREチームでは増え続けるプロダクトの運用負荷に対して改善は行っていますが、さらなるプロダクトの拡張に備えてZOZOFITの開発運用を別チームへ移管することになりました。移管作業の中でAWSリソースを別チームが管理するAWSアカウントへ移行する作業が発生することになりました。本記事では移行時に遭遇した課題と、その課題の解決に至るまでの取り組みをご紹介します。 目次 はじめに 目次 背景・課題 調査 ユーザ移行Lambdaの作成 簡易ダイアグラム フローチャート ユーザ移行Lambdaの処理
Update: it looks this post has gotten way more attention than I anticipated. I’ve seen / received feedback that the title is misleading and some people get dissapointed. I see why, so at the risk of spoiling the surprise, let me clarify what this is about before starting. As we migrate teams over to Kubernetes, I’m observing that every time someone has an issue, like “latency went up after migrati
少し遅くなりましたが、2019年9月22日に開催された技術書典7の参加記です。 サマリー 『AWSの薄い本 IAMのマニアックな話』という本を、1部1,500円で500部用意しました。また、既刊の商業誌を各5冊づつ用意して、1割引で販売していました。また最終的なサークルチェックの被チェック数は、395でした。 当日頒布数は451冊で、売上にして67万6千5百円です。またBOOTHでの電子書籍の販売も22日の正午過ぎに開始して、24日の朝6時の段階で114冊、17万1千円売れています。これに対して経費の方は、印刷代他で20万円弱なので大幅に黒字です。準備不足のまま突入しましたが、まずは大成功でした。 当日配布した本については下記エントリーで紹介しているので、ご興味あれば見てください。 #技術書典 に出展する『AWSの薄い本 IAMのマニアックな話』はこんな本 反省点 大成功と言っても、当日出
AWS x セキュリティに入門するならまずこの一冊 /「AWS ではじめるクラウドセキュリティ」を読んだ - kakakakakku blog
「AWS ではじめるクラウドセキュリティ」を読んだ❗️とても良かった \( 'ω')/ 本書ではもちろん AWS のセキュリティサービスの機能など「サービスカットな観点」も学べるけど,それ以上に「セキュリティポリシーとは何か」や「どんなリスク分析フレームワークがあるのか」や「どういうセキュリティ管理策を検討するべきか」など,セキュリティ全般の知識を「ソリューションカットな観点」で底上げできる素晴らしい一冊だった📕 まさに本書の はじめに に載っている通りの内容だった💡 本書は、AWS のセキュリティを学ぶということ以上に、AWS を通じてセキュリティを学ぶということを主眼に執筆されました。 ちょうど最近仕事で AWS でのセキュリティ対策全般の設計と構築にゼロベースで取り組んでいて,僕自身の知識アップデートをするだけではなく,開発メンバーにも読んでもらえる本を探していて,まさにこれだ❗
AWS FargateでFireLens(Fluent Bit)を最小構成で起動し、ECS ExecでFireLensコンテナに入ってみる | DevelopersIO
rain deploy時のパラメータ指定。VPC ID、サブネットIDはご自身の環境に合わせ変更してください。 rain deploy ./fargateWithFirelens.yml fargateWithFirelens-stack --params \ AppName=webapp,\ ClusterName=cluster,\ DesiredCount=1,\ Environment=test,\ ImageNameFirelens=public.ecr.aws/aws-observability/aws-for-fluent-bit:latest,\ ImageNameWebApp=public.ecr.aws/nginx/nginx:latest,\ ProjectName=minimum,\ PublicSubnet1=subnet-043566448c316b46a,\
CTO室の@ken5scal (鈴木)です。 2021/04/08にAWS IAM Access Analyzerの新機能として、CloudTrailのログをもとにIAM Roleのポリシーを生成するリリースが発表されました。 ところで、やはりというべきか、さすがというべきか、すでにクラスメソッドさんからブログがリリースされています。 dev.classmethod.jp しかしながら、statementの単位でウンウン唸ったり、下手なポリシーをつけて撃ち抜いた足の数など数え切れない一介のIAMマンとしては、歓喜をもってこのリリースを迎えざるを得ません。その昂りは、ブログネタ被りの羞恥心など容易に吹き飛ばすほどのものです。というわけで、早速、今回のリリースについて書いていこうとおもいます。 IAM運用のつらみ Identity is new perimeterといわれ、早10年弱。セキュリ
Introducing AWS Lambda response streaming | Amazon Web Services
AWS Compute Blog Introducing AWS Lambda response streaming Today, AWS Lambda is announcing support for response payload streaming. Response streaming is a new invocation pattern that lets functions progressively stream response payloads back to clients. You can use Lambda response payload streaming to send response data to callers as it becomes available. This can improve performance for web and m
【個人的には神ツール】AwsOrganizationFormation(OSS)でAWS Organizationsをコードで管理する | DevelopersIO
【個人的には神ツール】AwsOrganizationFormation(OSS)でAWS Organizationsをコードで管理する 中山(順)です 「AWS Organizationsをコードで管理したい・・・」 そんなことを思ったことはありませんか? 今日はAwsOrganizationFormationというOSSのご紹介です。 READMEには以下のように記載されています。 AWS Organization Formation is an Infrastructure as Code (IaC) tool for AWS Organizations. OlafConijn/AwsOrganizationFormation AWS Organizationをコードで管理するツールのようです。 これは俺得。 AwsOrganizationFormationの機能 主要な機能として、以
[AWS CDK] CircleCIでサーバーレスアプリ(WebAPI)を自動デプロイしてみた(本番環境と開発環境) | DevelopersIO
たとえば、/message/hogeに対してアクセスしたとき、下記のJSONを取得します。 { "env": "dev", "message": "your request message id is hoge" } envの値は、開発環境ならdevで、本番環境ならprodとします。 AWS CDKプロジェクトの構築 フォルダを作成し、AWS CDKプロジェクトの初期化を行います。 $ mkdir AWSCDK-CircleCIDeploySample $ cd AWSCDK-CircleCIDeploySample $ cdk init app --language=typescript 必要なライブラリをインストールします。 $ npm install --save @aws-cdk/aws-lambda $ npm install --save @aws-cdk/aws-apigat
![[AWS CDK] CircleCIでサーバーレスアプリ(WebAPI)を自動デプロイしてみた(本番環境と開発環境) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/92a069de3c7b583973daaf530883535d2e2b3e5a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F08%2Faws-cloud-development-kit.png)
TerraformがAWS SSO(Single Sign-On)に対応してました | DevelopersIO
上記エントリを書いた際(2020/10/29時点)には、TerraformでAWS SSO(Single Sign-On)のリソースをプロビジョニングすることはできませんでした。が、その後terraform-provider-awsのv3.23.0、v3.24.0で一部リソースのプロビジョニングができるようになりましたので、使ってみたいと思います。 Support for Managing AWS SSO Permission Sets · Issue #15108 · hashicorp/terraform-provider-aws 追加された Resource / Data Source Resource aws_ssoadmin_account_assignment aws_ssoadmin_managed_policy_attachment aws_ssoadmin_permiss
AWS入門ブログリレー2024〜AWS IAM Access Analyzer編〜 | DevelopersIO
コンバンハ、千葉(幸)です。 当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の33日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合いいただければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS Identity and Access Management (IAM) Access Analyze
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Snyk IaCでTerraformコードのセキュリティ解析をしてみた | DevelopersIO
ACMの証明書をEC2で利用可能になりました - サーバーワークスエンジニアブログ
EC2 Image Builderを用いたRedashの運用改善 - ZOZO TECH BLOG
AWS Protonを使用した本番運用を考える - NRIネットコムBlog
Scheduled tasks(ECS)をecscheduleで管理してみた - NRIネットコムBlog
スタートアップによくある課題とおすすめAWSサービスは? AWS SA直伝の技術トレンド
AWS CDK + ecspressoでAWSコンテナリソースの管理をラクにしよう! - Qiita
CDKとGithub ActionsによるCI/CDパイプライン | DevelopersIO
[アップデート]AWS SAMのデプロイが簡単になりました | DevelopersIO
Eight における AWS Backup - Sansan Tech Blog
MFA設定必須のCognitoのクロスアカウントマイグレーションについて - ZOZO TECH BLOG
Kubernetes made my latency 10x higher
#技術書典 に初出展。AWSの薄い本 IAMのマニアックな話を書きました - プログラマでありたい
IAM Access AnalyzerのPolicy生成機能を使ってみた - LayerX エンジニアブログ