お世話になってたディレクトリ移動だけでAWSのクレデンシャルを切り替える仕組みがM1 Macで動かなかったので替わりのスクリプトを書いた | DevelopersIO
私がこのDevelopers IOでも屈指の良エントリだと思っているのが、以下の佐伯さんのエントリです。 ディレクトリ移動をするだけでAWSのクレデンシャルを切り替えてくれるので、複数のAWSアカウントに対してCLIベース(私はTerraformを使うことが多い)で作業をするような方にはとてもおすすめです。一度お試しください。 M1 Macでは動かなかった 最近開発環境をM1 Macに変えました。するとこの仕組みが動作しませんでした。 環境情報 MacBook Pro (13-inch, M1, 2020) チップ: Apple M1 OS: MacOS Big Sur (バージョン11.6.2) 原因 上記仕組みはdirenvとassume-roleという2つのツールを組み合わせて実現されているのですが、assume-roleがM1に対応していないようです。 % assume-role
Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | Amazon Web Services
AWS Security Blog Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere AWS Identity and Access Management (IAM) has now made it easier for you to use IAM roles for your workloads that are running outside of AWS, with the release of IAM Roles Anywhere. This feature extends the capabilities of IAM roles to workloads outside of AWS. You can use IAM Roles Anywhere to provide a secu
AWS MFAを一撃で認証するCLIコマンド作ってみた - Techtouch Developers Blog
この記事はテックタッチアドベントカレンダー7 日目の記事です。 6 日目はハルキスト伊藤(@ihiroky)による BHO (Browser Helper Object) をめぐる冒険 でした。 プロダクトオーナーの尾崎です。今年の最初に購入したスタンドアローン食器洗い機が便利すぎて、いまだに毎日心の中で感謝し続けている日々です。 今年買ってよかったものダントツ 1 位。ありがとう、サンコーさん。 この記事は何 免責事項 現状と不満 1. シェルが変わるたびに認証が必要な問題 2. 複数のAWS_PROFILEが切り替えられない問題 3. MFAトークンの入力が面倒くさい問題 トークン生成のためのsecret keyを入手する secret keyをセキュアに保存する secret keyからMFAトークンを生成する 本当にセキュアなのか? PCのみを使うことで"MFAとしての強度"が下が
事前準備、確認 IAMユーザー、スイッチロールの設定 アカウントBのロールにセッションマネージャー接続が可能な権限があることを確認します。 今回は以下の権限を追加しました。 AmazonSSMFullAccess MFAが有効化されているユーザーを使用する場合、ローカルPCのAWS CLI configには以下のようにスイッチロール先の設定を記載します。 profile名はaccountBで設定しています。 [profile accountB] role_arn = arn:aws:iam::<AWSアカウントBのアカウント番号>:role/accountBrole source_profile = accountA mfa_serial = arn:aws:iam::<AWSアカウントAのアカウント番号>:mfa/accountAuser EC2(踏み台サーバ) アカウントBにあるEC2
AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理 #devio2024 | DevelopersIO
2024 年 7 月 31 日 にクラスメソッドの大阪オフィスで開催された DevelopersIO 2024 OSAKA において「AWS IAM Identity Center を使わないマルチアカウント環境のユーザー管理」というタイトルで話しました。 本ブログで資料を公開します。 次の内容について記載しています。 マルチアカウントのユーザー管理の課題 IAM ユーザーの一元管理の基礎 IAM ユーザーの一元管理のテクニック集 AWS Extend Switch Roles を利用したスイッチロール設定の管理 スイッチロールの条件として MFA 有無と送信元 IP アドレスを指定 スイッチロール先 IAM ロールの信頼ポリシーで複数ユーザーをまとめて許可 アクセスキーの利用 AWS CloudFormation を利用した IAM ロールの設定 外部 ID プロバイダとの連携 (Mic
AWS CLI のコンフィグファイルと環境変数とコマンドラインオプションで指定できる内容をまとめて確認してみた | DevelopersIO
コンバンハ、千葉(幸)です。 ~/.aws/config、いじってますか? ~/.aws/configの例 [default] region = ap-northeast-1 output = json [profile chiba] region = ap-northeast-1 output = json role_arn = arn:aws:iam::999999999999:role/chibayuki-role source_profile = jump-account mfa_serial = arn:aws:iam::000000000000:mfa/cm-chiba.yukihiro ~/.aws/configでデフォルトリージョンや出力形式、スイッチロールのための設定などを行う機会は多いかと思います。ここで設定可能な項目は他にもたくさんあり、その数は30個以上にのぼります
GitHub ActionsからAWSを操作できると便利です。OIDC(OpenID Connect)を使えばアクセスキーも不要で、セキュアに運用できます。しかし複数システムにまたがる特性上、トラブルシューティングは面倒です。そこで本記事ではトレーサビリティを向上させ、メンテナンスしやすくする手法を紹介します。トレーサビリティが向上すれば、運用はもっと楽になります。 GitHub ActionsとAWSは赤の他人 当たり前ですが、GitHub ActionsとAWSはまったく異なるシステムです。何を言っているんだという感じですが、トレーサビリティの観点では重要です。なぜなら複数のシステムを扱うときは、トレースできるよう設計しないとトレーサビリティは生まれないからです。 GitHub ActionsやAWSに限らず、普通は他所様のシステムなど知ったこっちゃありません。このお互いに知らんぷりを
Amazon Web Services ブログ Bottlerocket、1 年間のあゆみ この記事は Bottlerocket, A Year in the Life を翻訳したものです。 先日、Amazon Elastic Kubernetes Service (Amazon EKS) がマネージド型ノードグループでの Bottlerocket のサポートを開始したことを受け、この機会に Bottlerocket とその機能について改めてお話したいと思います。私は以前、商用の UNIX OS に携わる多くのエンジニアの一人でした。その数年前、Linux が有力な選択肢として確立され、その後の市場においてかなりの部分を占めるようになりました。お客様が徐々に Linux に移行していく中、「OS はまだ重要ですか?」という質問を聞くようになりました。私たちの答えはいつも「Yes」でした。私
Amazon ES、Amazon Athena、および Amazon QuickSight を使用して AWS WAF ログを分析する | Amazon Web Services
Amazon Web Services ブログ Amazon ES、Amazon Athena、および Amazon QuickSight を使用して AWS WAF ログを分析する これで AWS WAF に、サービスによって検査されたすべてのウェブリクエストをログに記録する機能が追加されました。AWS WAF は同じリージョンの Amazon S3 バケットにこれらのログを保存できますが、ほとんどのお客様は、アプリケーションをデプロイする場合はいつでも、複数のリージョンにわたって AWS WAF をデプロイします。ウェブアプリケーションのセキュリティを分析するとき、組織はデプロイされたすべての AWS WAF リージョンにわたって全体像を把握する能力を必要とします。 この記事では、AWS WAF ログを中央データレイクリポジトリに集約するための簡単なアプローチを紹介します。これにより、
GitHub Actions で configure-aws-credentials を使った OIDCではまったこと - tech.guitarrapc.cóm
GitHub Actions の OpenID Connector と AWS の OIDC Provider を使うことで、IAM Role を Assume できるというのは前回書きました。 tech.guitarrapc.com 構築中によく出るエラーに関しても書いたのですが、いざ実際に使おうとしたら別のエラーではまったので忘れないようにメモしておきます。 tl;dr; GitHub Actions で並列実行すると時々失敗する。 configure-aws-credentials を1 jobで複数回呼び出したときに初回の認証を上書きできない 正常動作例1 正常動作例2 問題の動作 tl;dr; OpenID Connect で認証すると、AWS OIDC Provider の認証の上限に引っ掛かりやすい Composite Action の中で、 configure-aws-cr
[速報]AWSのセキュリティログをオープンフォーマットで集約して分析のアクセスを提供するAmazon Security Lakeが発表されました #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティログ管理してますか?(挨拶 今回はre:Invent 2022で発表されたセキュリティログ管理のサービスであるAmazon Security Lakeを紹介します。 Amazon Security Lakeとは Amazon Security Lakeは一言でいうと、AWSを含めたあらゆるセキュリティログを集約・管理し、分析や利用のアクセスを提供するデータレイクサービスです。現在previewです。 収集するログは以下の通り AWS CloudTrail Amazon VPC Amazon Route 53 Amazon S3 AWS Lambda AWSのAWS Security Hubを介したログ Firewall Manager Amazon GuardDuty AWS Health Dashboard AWS IAM Access An
![[速報]AWSのセキュリティログをオープンフォーマットで集約して分析のアクセスを提供するAmazon Security Lakeが発表されました #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/586d9b4fe7efa4796ddc260c3d2bd46f248b0518/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F11%2F000_amazon_security_lake.png)
ECSを動かすEventBridge SchedulerをTerraformで構築してみた - LIVESENSE ENGINEER BLOG
こんにちは、インフラストラクチャーグループのyjszkです。2月から入社しました。 リブセンスにはバッチをECSとEventBridge Ruleで動かしている実装があります。EventBridge Ruleがなかなかの曲者で、UTCでしか時間を指定できません。 UTCで指定されたルールはいつ動くのかがわかりづらいですし、JSTでは1つのルールで済んだものがUTCでは2つ以上に分割されてしまうこともあります。 例えば、JSTで特定の曜日に10分ごとに実行するタスクがあるとします。 */10 * * * 0-3,5-6 * これがUTCだと3つになります。これはなかなかつらいです。 0/10 0-15 ? * 4 * 0/10 15-0 ? * 5 * 0/10 * ? * 1-3,6,7 * 一方、2022年11月にリリースされたAWSの新機能EventBridge Schedulerでは
Amazon Web Services ブログ AWS KMS の新機能 公開鍵暗号によるデジタル署名 AWS Key Management Service で公開鍵暗号をサポートするようになりました。AWS SDK の新しい API を使ってアプリケーションデータを保護するために公開鍵、秘密鍵のキーペアを作成、管理、利用することが可能になりました。既に提供されている共通鍵暗号機能と同様に、公開鍵暗号の秘密鍵は KMS サービスの外側には出ないカスタマーマスターキー(CMK)として生成出来ます。また、データキーとしても生成可能で、データキーの秘密鍵の部分はアプリケーションに CMK で暗号化して渡すことが可能です。公開鍵 CMK の秘密鍵の部分は、AWS KMS のハードウェアセキュリティモジュールに格納されるため、AWS 従業員を含む誰も平文のキーマテリアルにアクセスすることは出来ません
Github Actionsでget-diff-actionを用いてDocker Build時間を削減する
こんにちは!アルダグラムの開発ユニット長の田中です! 突然ですが、少しでもCIの実行時間を削減したいと思いませんか? 今回は、GitHub Actionsとget-diff-actionを活用してDockerビルド時間を削減する方法についてご紹介します。 TL;DR get-diff-actionを使用してライブラリの変更差分を検知します。 変更差分がない場合はライブラリインストール済みのDockerイメージを使用してBuild時間を短縮します。 サンプルコード 具体的な例として、Railsアプリケーションを使用します。 on: pull_request: types: [ closed ] branches: - 'develop' name: Deploy to Amazon ECS jobs: ecr-push: name: Deploy runs-on: ubuntu-latest
[アップデート] Lambda 関数が再帰ループを検出して停止するようになりました | DevelopersIO
サポートリージョン アジアパシフィック (香港、ジャカルタ、大阪、ムンバイ、ソウル、シンガポール、シドニー、東京) アフリカ (ケープタウン) カナダ (中部) ヨーロッパ(フランクフルト、アイルランド、ロンドン、ミラノ、パリ、ストックホルム) 南米 (サンパウロ) 米国東部 (オハイオ、北部バージニア) 米国西部 (オレゴン、北部カリフォルニア) 検証 以下 Lambda 関数の再帰ループ検出についての AWS ブログを参考に、再帰ループする Lambda 関数と SQS キューを作成します。 GitHub のサンプルコードは以下を利用します。 AWS SAM CLI を使って環境を構築します。 私は開発環境として Cloud9 を利用しました。 Cloud9 環境の作成 Name:sam-environment Description:sam-environment Cloud9 環境
![[アップデート] Lambda 関数が再帰ループを検出して停止するようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/4ea229c5864909168e5ad0a78416f2ea552c21f1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-lambda.png)
こんにちは、後藤です。 Terraform開発を進める中で「こんなことできるのか」と思った機能があったので、備忘録も兼ねて紹介します。 それはローカルのファイルを操作できる、という機能です。 TerraformではAWSやAzure、GCPなどのパブリッククラウドプロバイダを扱えますが、localやarchiveといったHashiCorp社によるプロバイダがあります。 このプロバイダを使えば、Terraformを実行するローカル環境のファイル操作が可能になります。 当記事では、よく使われるであろう方法を3つ紹介していきます。 ※Terraformバージョン1.5.6で検証しております。 1つ目:local_file local_fileリソースを記述すればローカル環境にファイルを作成できます。resourceブロックによってファイルを作成し、dataブロックによってファイルを読み込むことが
以前、AWSでMFAを自身で管理できるIAMポリシーについての記事を投稿しました。 AWSでMFAを自身で管理できるポリシーを作成してみる その後、2022年11月にAWSでIAMユーザとルートユーザーに複数のMFAを割り当てるアップデートが発表されました。 AWS Identity and Access Management で複数の多要素認証 (MFA) デバイスのサポートを開始 このアップデートに伴い、MFAを自身で管理するIAMポリシーについても追加で考慮する事項が発生しているので紹介します。 ドキュメント IAM: IAM ユーザーに MFA デバイスの自己管理を許可する MFAを自己管理するIAMポリシーについては、上記にドキュメントがあります。 英語版については、2022年12月に更新されてしばらくの間、日本語版が古い版の翻訳の状態となっていましたが。 2023年2月現在は、
Guten Tag、伊藤です。 弊社で管理しているいくつかの AWS アカウントについて、それぞれの利用費を取得して、対象の通貨ごとに計算したいと思いました。 ということで、AWSアカウント一覧表をスプレッドシートで管理し、それをJSONファイルとしてS3に格納、Lambdaで処理してSlackのスラッシュコマンドで計算結果を出力することにしました。 このブログでは、スプレッドシートの表をJSONファイルに格納するまでの方法をご紹介します。 なお、GAS スクリプトエディタが変わったので、新しい仕様に則っています。以前のエディタを使用する場合は過去の同様のブログをご参考ください。 GoogleスプレッドシートのデータをS3へCSVとして保存する Google Apps Scriptを利用してGoogleスプレッドシートのデータをS3へJSONとして保存する スプレッドシートの表の準備 お好
IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する | DevelopersIO
IAM ユーザーの現状を棚卸ししたい コンバンハ、千葉(幸)です。 IAM ユーザーはきちんと管理されていますか?最近 100名近く IAM ユーザーが存在する環境をご支援する機会がありました。ユーザーがどんなグループに所属していてそれぞれどんな権限を有しているか、きっちりした設計書が無く。まずはそれを棚卸ししてからあるべき構成を考えていきましょう、というアプローチを取りました。 単に IAM ユーザーの一覧を取得するだけであれば以下のエントリにある内容を踏襲すればいいのですが、今回はそれより詳細な情報が必要です。 ということで、AWS CLI で一覧を取得してみました。(その後にスプレッドシートで頑張りました。) IAM ユーザーに割り当てられるポリシーについておさらい IAM ユーザー、グループ、ポリシーについておさらいしておきましょう。 IAM ユーザー、IAM グループそれぞれに
【AWS】AWS Lambda + ChatGPT でS3オブジェクトの自動タグ付けを実現する (Terraformコード付き) - APC 技術ブログ
はじめに こんにちは、クラウド事業部の葛城です。 今回は、AWS Lambdaを活用してS3にオブジェクトを配置した際に、ChatGPTを活用して自動で内容を分析してタグ付けするシステムを構築しました。 AWS LambdaとAmazon S3を初めて触る方や、コードを書いて少し格好良くシステムを構築したいAWS初学者向けの内容になります。 GitHubでコードを公開しています。 github.com こだわったポイントとしては、ChatGPTのAPIを試してみたかったので、s3のタグ生成の機能として活用しました。 また、AWSのインフラストラクチャをTerraformを使ってコード化したので、IaCにする際のTipsやAWSの IaCに興味ある方の参考になればと思います。 目次 はじめに 目次 1. AWSサービスの概要 AWS Lambda Amazon S3 2. 自動タグ付けアプリ
Authenticate AWS Client VPN users with AWS IAM Identity Center | Amazon Web Services
AWS Security Blog Authenticate AWS Client VPN users with AWS IAM Identity Center September 12, 2022: This blog post has been updated to reflect the new name of AWS Single Sign-On (SSO) – AWS IAM Identity Center. Read more about the name change here. AWS Client VPN is a managed client-based VPN service that enables users to use an OpenVPN-based client to securely access their resources in Amazon We
AWS Load Balancer ControllerとExternalDNSを利用しています - ハウテレビジョンブログ
こんにちは、SREチームの小川です。 「夏への扉」を読みました。過去・現在・未来の時間軸が最後にかち合った時には感動を覚えました。月並みですが、さすがSFの金字塔ですね。 今回は「外資就活への扉」である、ALB・Route53をSREがどのように管理しているか紹介したいと思います! はじめに 以前よりSREチームが「外資就活ドットコム」のインフラをEC2中心のものから、コンテナ中心のEKSへと移行したお話をしてきました。 今回はKubernetesを導入した際に、トラフィックの流入元であるALBをAWS Load Balancer ControllerとExternalDNSを利用して管理を行うようにしたお話しをします。 EKSのサービスをALBを利用して公開する際に、アプリケーションコンテナをNodePortで公開し、ALBがNodeGroupの特定のNodePortにリバースプロキシす
SageMakerとStep Functionsを用いた機械学習パイプラインで構築した検閲システム(後編) - コネヒト開発者ブログ
皆さん,こんにちは!機械学習エンジニアの柏木(@asteriam)です. 今回は前回のエントリーに続いてその後編になります. tech.connehito.com はじめに 後編は前編でも紹介した通り以下の内容になります. 後編:SageMakerのリソースを用いてモデルのデプロイ(サービングシステムの構築)をStep Functionsのフローに組み込んだ話 モデル学習後の一連の流れで,推論を行うためにモデルのデプロイやエンドポイントの作成をStep Functionsで実装した内容になります. 今回紹介するのは下図の青枠箇所の内容になります. 検閲システムのアーキテクチャー概略図 目次 はじめに Step Functionsを使ってサービングシステムを構築する方法 学習済みモデルを含んだ推論コンテナの設定(モデルの作成) エンドポイントの構成を設定 エンドポイントの作成とデプロイ 機械
Preview: Amazon OpenSearch Serverless – Run Search and Analytics Workloads without Managing Clusters | Amazon Web Services
AWS News Blog Preview: Amazon OpenSearch Serverless – Run Search and Analytics Workloads without Managing Clusters Most AWS analytics services have compelling serverless offerings that make it even easier for customers to analyze vast amounts of data without having to configure, scale, or manage the underlying infrastructure. Along with other serverless analytics, such as Amazon QuickSight for bus
Principal 要素で IAM ロールを指定するのと IAM ロールを引き受けたセッションを指定するのは何が違うのか? 72 個のパターンで考えてみた | DevelopersIO
コンバンハ、IAM 評価論理おじさん(幸)です。 先日、リソースベースポリシーの Principal 要素で指定するプリンシパルごとの挙動の違いが AWS ドキュメントに記載されました。 ドキュメントの追記内容をざっくり表したのが以下図で、囲っている部分が IAM ロールと IAM ロールを引き受けたセッション(ロールセッション)の差異を表しています。 リソースベースポリシーでロールセッションを直接許可している場合は、Permissions boundary やセッションポリシーの暗黙的な拒否が評価対象にならないということが判明し、とても満足な更新内容でした。 とは言え、ここで示されているのは以下のパターンにおける挙動です。 同一アカウントでのアクセス アイデンティティベースポリシーで許可なし Permissions boundary(アクセス許可の境界)がアタッチされており許可なし セッ
Introducing AWS Resource Explorer – Quickly Find Resources in Your AWS Account | Amazon Web Services
AWS News Blog Introducing AWS Resource Explorer – Quickly Find Resources in Your AWS Account Looking for a specific Amazon Elastic Compute Cloud (Amazon EC2) instance, Amazon Elastic Container Service (Amazon ECS) task, or Amazon CloudWatch log group can take some time, especially if you have many resources and use multiple AWS Regions. Today, we’re making that easier. Using the new AWS Resource E
Backlogの通知をLambdaで自由に色々いじってSlackに飛ばします。Lambdaに飛ぶのでピタゴラスイッチし放題です。 業務ではBacklogでプロジェクト管理を行っています。 一方、メンバーとのコミュニケーションはもっぱらSlackを使っているので、 情報はできるだけSlackに集約させたいなぁと思っています。 そう思った時、さすがはBacklog、当然のようにSlack連携が用意されています。 もちろんベーシックな通知はこれでばっちりです。 しかしBacklogで色々管理をしたり、徹底的にラクをしていくためにも、 私にはゴリゴリにカスタマイズ可能な通知が必要だな、と思ってしまいました。 ということで、Backlogでのイベント発生を起点としてピタゴラスイッチを楽しむためにも、 ここはLambdaへ全ての通知を飛ばしておくことにしました。 もちろんLambdaに飛ばすだけだと何
CDKでAWS Lambdaのパッケージフォーマットにコンテナイメージを指定してデプロイしてみた | DevelopersIO
はじめに 先日のre:Invent 2020にて、Lambdaのパッケージフォーマットとして、従来のZIP形式に加えてコンテナイメージがサポートされました。詳しくは下記を参照してください。 【速報】Lambdaのパッケージフォーマットとしてコンテナイメージがサポートされるようになりました!! #reinvent CDKでLambdaのパッケージフォーマットにコンテナイメージの定義ができると実践投入や構成を考えやすなーと思っていたところ、CDKのv1.76.0で定義できるようになっていたため、今回はそちらを試します。 以下注意点です。ご了承お願いします。 本記事は、CDK v1.76.0ベースで記載した記事となります。CDKのバージョンが上がった場合には、記事通りやっても動かない可能性があります 作成する関数は、Node12系です。別言語で作成したい方は、一部しか参考になりません 構成 概要
[速報]サービス間通信をシンプルに実現するAmazon VPC Lattice(プレビュー)が発表されました! #reinvent | DevelopersIO
ども、大瀧です。 現在開催中のAWS re:Invent 2022で発表されたVPCの新機能、Amazon VPC Latticeをご紹介します。 VPC Latticeとは VPC Latticeはサービス間通信をシンプルに実現するVPCの新しい機能です。サービス間通信に利用できるAWSの機能としてELB(Elastic Load Balalncing)やAPI Gateway、RAMによるVPCサブネット共有などがありますが、VPC LatticeはVPCの一機能という特性を活かし、ネットワーク構成を極力意識せずに利用できる点や異なるAWSアカウントおよびVPCとの連携を一元的に扱える点がユニークと言えそうです。 VPC Latticeの構成 ELBの構成によく似ています。以下をそれぞれ設定し、サービス連携に利用します。 リスナ: 1つまたは複数のリスナを任意のポート番号とプロトコルで
![[速報]サービス間通信をシンプルに実現するAmazon VPC Lattice(プレビュー)が発表されました! #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/7a80ccfd3c405c137d762fe1db76c9e087e38d35/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F11%2Feyecatch_reinvent2022_new-service.png)
aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 - nao blog
はじめに 先日、AWS Organizations を利用して AssumeRole できる環境を構築するという記事の中で AWS コンソールから AssumeRole する環境構築の方法をまとめました。 aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 moznion.hatenadiary.com sesstok sesstok は MFA に対応した AWS の一時トークンを取得することのできる Go で書かれた CLI ツールです。 読み方は某ショートムービーSNS的な感じですかね。 一定時間で失効する一時トークンを都度発行して Organizations から AssumeRole するので、Organi
[アップデート] Amazon S3 でバケットの所属アカウントに応じた制御が行える IAM 条件キーが追加されました! | DevelopersIO
コンバンハ、千葉(幸)です。 Amazon S3 で使用できる新たな IAM 条件キーs3:ResourceAccountが追加されました! New IAM condition keys for Amazon S3 limit requests to buckets owned by specific AWS accounts, and to specific TLS versions 特定のアカウントが持つ S3 に対してのみアクションが実行できる、そんな制御を行いやすくなりました。 もう一つ IAM 条件キー増えてませんか? 冒頭のブログでは、s3:TLSVersionについても記載があります。これはクライアントが S3 へのアクセスに使用する TLS の最小バージョンを制御できるものです。 なのですが……現時点で使い方が分からず。 s3:TLSVersionについては以下 S3 のド
![[アップデート] Amazon S3 でバケットの所属アカウントに応じた制御が行える IAM 条件キーが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/55e5ee85a70b0b6893eeca79750f0d06a94b8595/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-s3.png)
マルチテナントのAWSアカウントとKubernetesにおけるコストの可視化 - ZOZO TECH BLOG
こんにちは、カート決済SREブロックの飯島と、ECプラットフォーム基盤SREブロックの織田です。 本記事では複数チームで運用する共通のAWSアカウントとKubernetesにおけるコストの可視化についてご紹介します。 背景 コスト可視化に対する課題 課題解決へのアプローチ AWSリソースのコスト可視化 AWSコスト配分タグ タグの定義と運用ルール タグの付け方 AWS Cost Explorer AWSコスト配分タグの活用例 Kubernetesクラスタのコスト可視化 Kubecost 比較検討 カスタムバンドル採用の決め手 アーキテクチャ 可視化の仕組み ダッシュボード 効果 コスト可視化の活用事例 最後に 背景 現在、ZOZOTOWNはモノリスなサービスを機能ごとに分け、マイクロサービスに移行しながらモダンアーキテクチャへのリプレイスを実施しています。マイクロサービスの移行先としてクラ
[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO
はじめに AWS IAMのアクセスアドバイザーでアクションレベルでの「最終アクセス日時」が確認できるサービス数は、140以上に増えました。 IAMのアクセスアドバイザーとは、IAMエンティティ(ユーザー、ロール、グループなど)が、AWSサービスごとの最終アクセス日時や、アクセス可能なAWSサービスを確認できる機能です。 従来は、IAMやLambda、S3、EC2などの一部のAWSサービス数のみ、アクションレベルで「最終アクセス日時」が確認できていました。 以前も以下の記事のようにアップデートがありました。 今回のアップデートでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました。 これによって、IAMロールに指定された権限が実際に必要かどうかを判断し、不必要な権限を削除することで、IAMのベストプラクティスである「最小権限の原則」の実現
![[アップデート]IAMのアクセスアドバイザーでは、140以上のAWSサービスを対象に、アクションレベルで「最終アクセス日時」が確認できるようになりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/bf00ad68b49f41acf5078ae9946ea858f9b1f486/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-iam.png)
心温まるSlackの投稿を抽出するためにサーバーレスなデータ分析基盤を構築しよう!! | DevelopersIO
CX事業本部@大阪の岩田です。 クラスメソッドでは社内標準のチャットツールとしてSlackを活用していますが、「分報」という形でSlackを活用しているメンバーも数多くいます。「分報」って何?という方は以下のリンクをご確認下さい。 社内にSlack上での分報を導入しないかと提案してみた Slackで簡単に「日報」ならぬ「分報」をチームで実現する3ステップ〜Problemが10分で解決するチャットを作ろう Slackで「分報」を導入したらめっちゃ作業効率があがった 人気の分報ともなると参加者が50人を超え、本人のいないところで好き勝手に雑談が繰り広げられていたりします。このレベルになると人気が高いのか、それとも単に治安が悪いだけなのかよく分からなくなってきます。 「俺の分報がこんなに治安が悪いわけがない!Comprehendで証明してみた」ブログはよ ?!!! ということでSlackの投稿を
AWS User Notificationsでマネジメントコンソールへのサインインを通知する | DevelopersIO
AWS User Notifications サービスを利用して AWS マネジメントコンソールへのサインインをメール通知する設定を試してみました。 サインイン通知は次のブログでも紹介している通り、Amazon EventBridge ルールを作成する方法でも実現できますが、通知文を整形する必要がありました。AWS User Notifications で設定する場合は通知内容を AWS 側で見やすくしてくれるメリットがあります(裏では Amazon EventBridge ルールが作成されます)。 参考ブログの方法(Amazon EventBridge で設定し、入力トランスフォーマーで通知内容を整形)の通知例です。 本ブログで設定する AWS User Notifications の通知例です。 AWS マネジメントコンソールへのサインイン通知設定 今回設定する環境は AWS Orga
Security-JAWS 第26回レポート #secjaws #secjaws26 #jawsug | DevelopersIO
Security-JAWS 第26回のレポートです。脆弱性管理とか全体管理とか自動化とか、いろいろためになったなあ こんにちは、臼田です。 Security JAWS 第26回が開催されましたのでレポート致します。 Security-JAWS【第26回】 勉強会 2022年8月25日(木) - Security-JAWS | Doorkeeper 動画 レポート 告知 AWS Startup Community Conference 2022やるよ! JAWS DAYS 2022 - Satellite -やるよ! Session1: アクセスキー運用管理のベストプラクティス アマゾン ウェブ サービス ジャパン合同会社 Security Specialist Technical Account Manager 飯島 卓也さん AWSサービスに対してプログラムによるアクセスをする場合にはア
お仕事でAWS環境を構築する機会がありましたので、今回はじめてCDKを使って構築してみました。CDKで環境構築する記事はたくさんありますので全体は割愛するとして、本記事ではCDKを使ったECS(Fargate) Serviceのデプロイフローにフォーカスしてご紹介します。 バージョン $ cdk version 1.32.0 (build 9766ad6) 全体構成 全体構成としては、以下の図のようにオーソドックスなWeb3層アプリケーションの構成です。 ECS Serviceに関連する主なリソース構成を以下の図に示します。 このリソース構成のうち、緑色の線で示したリソースはインフラ管理用のCDKで管理し、オレンジ色の線で示したリソースはECS Serviceデプロイ用のCDKとしてアプリケーションのリポジトリで管理しています。 デプロイフロー デプロイフローを以下の図に示します。 Git
Amazon Web Services ブログ Firelens の発表 – コンテナログの新たな管理方法 本日、AWS でコンテナサービスを構築した素晴らしいチームが、従来に比べて非常に簡単にログを取り扱うことを可能にする AWS FireLens と呼ばれる新たな優れたツールを立ち上げました。 FireLens を使用することで、顧客は、デプロイメントスクリプトを修正したり、手動で追加のソフトウェアをインストールしたり、追加コードを書き込んだりすることなく、コンテナログをストレージや分析ツールに直接追加できます。Amazon ECS または AWS Fargate の設定をいくつか更新することにより、必要な場所にコンテナログを送信することを FireLens に指示するため、宛先を選択し、オプションでフィルターを定義します。 FireLens は Fluent Bit または Flue
Switch Roleの履歴が・・・消えた・・・? って焦る前に入れておくと幸せになれるAWS Extend Switch Rolesの紹介 | DevelopersIO
Switch Roleの履歴が・・・消えた・・・? って焦る前に入れておくと幸せになれるAWS Extend Switch Rolesの紹介 一体いつからSwitch Roleの履歴が永続的に残るものだと錯覚していた。 というわけで錯覚していた同僚が履歴が消えたことに絶望していたので、 そうなる前に導入しておくと便利なAWS Extend Switch Rolesの紹介です。 Switch Roleってなんぞ? 以下のブログで一発なのでそれを引用したいと思います。 Switch Roleとは複数のAWSアカウントを持っている時にいちいちログアウト - ログインを繰り返さなくてもRoleを設定しておくだけで 簡単に別のアカウントにスイッチできる機能です 【小ネタ】複数のSwitch Roleでのクロスアカウントアクセスをブラウザのブックマークで管理する 弊社でもAWS環境を扱う際は基幹となる
IAM ユーザーの MFA を有効化した後、アクセスキーを使用する既存処理に影響があるか教えてください | DevelopersIO
困っていた内容 IAM ユーザーのセキュリティを強化する施策を実施したいと考えています。MFA の有効化を全 IAM ユーザー必須にすることを検討しています。 アクセスキーを使用する IAM ユーザーで後から MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ますか? 既存の処理が停止してしまうのは困りますので、影響の有無を確認したいです。 どう対応すればいいの? アクセスキーを使用する IAM ユーザーで MFA を有効化した場合、既存のアクセスキーを使用する処理に影響は出ません。 ただし、MFA を有効化する際に、合わせて MFA を強制する IAM ポリシーを付与した場合、既存の処理に影響が出ます。 MFA を強制する IAM ポリシーの例は下記の記事を参照してください。 多要素認証(MFA)するまで使えません!なIAMユーザを作成してみた | Developers
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スイッチロール先のアカウントにあるRDSにローカルPCから接続 | DevelopersIO
「GitHub Actions × AWS」のトレーサビリティ向上委員会
Bottlerocket、1 年間のあゆみ | Amazon Web Services
AWS KMS の新機能 公開鍵暗号によるデジタル署名 | Amazon Web Services
Terraformでローカルファイルを操作する方法 ~よくある使い方3選~ - NRIネットコムBlog
AWSでMFAが複数登録できるようになり自身でMFAを管理するポリシーがどう変わるか - Qiita
Google スプレッドシートの表をS3へJSONファイルとして保存する | DevelopersIO
Backlogの通知をLambdaで受けてSlackに通知してみた | DevelopersIO
ECS(Fargate)のServiceをCDKで構築・デプロイしてみた | DevelopersIO
Firelens の発表 – コンテナログの新たな管理方法 | Amazon Web Services