AWS STS でリージョナルエンドポイントの利用が推奨されるとはどういうことか | DevelopersIO
AWS STS のサービスエンドポイントとしてグローバルエンドポイントとリージョナルエンドポイントがあります。デフォルトではグローバルエンドポイントが使用されますが、リージョナルエンドポイントの使用が推奨されています。一体それはどういうことなのか、整理してみます。 コンバンハ、千葉(幸)です。 AWS Security Token Service (STS) は、一時的な認証情報を提供するサービスです。 AWS STS に対して一時的な認証情報払い出しのリクエストを行う際、リクエスト先となる AWS サービスエンドポイントには以下の2種類があります。 グローバルエンドポイント リージョナルエンドポイント デフォルトでは前者のグローバルエンドポイントが使用されるものの、後者のリージョナルエンドポイントの利用を推奨する、という記述が各種ドキュメントにあります。 👇 デフォルトでは、AWS S
AWS App Studioで生成AIを活用した簡単ノーコードアプリ開発 - Taste of Tech Topics
はじめに こんにちは。9月に入りようやく涼しさを感じられるようは日が増えてきましたね。 AWSエンジニアの小林です。 2024年7月にAmazon Web Services (AWS) からプレビュー版として「AWS App Studio」がリリースされました。 このツールは、生成AIを利用したノーコード・ローコードのアプリケーション開発サービスとして注目を集めています。 この記事では、「AWS App Studio」を使用して実際にアプリケーションをノーコードで作成していきます。 aws.amazon.com はじめに AWS App Studioの概要 AWS App Studioの始め方 事前準備 App Studioインスタンスの作成 ノーコードでTODOアプリを作成してみる 作成したアプリに既存AWSリソースを紐づける 作成したアプリケーションのUIをカスタマイズする AWS A
AWSマネジメントコンソールへのアクセスを特定デバイスに制限する方法を考えてみた | DevelopersIO
はじめに AWSマネジメントコンソールへログインするユーザーに対して、管理者側で特定のデバイスからのアクセスのみに制限することができないか調査しました。 マネジメントコンソールへのログインは、以下のパターンがあります。 IAMユーザー AWS IAM Identity Center(独自IDストア or 外部IDプロバイダー) シングルサインオン(IAM SAML) 今回は、例として、特定のPCにログイン制限することを目的に、それぞれのパターンで確認します。 結論 結論として、IAM Identity Center(外部IDプロバイダー)やシングルサインオン(IAM SAML)を利用し、外部IDプロバイダーのログイン段階で特定のデバイスに制限をかけることで、間接的にAWSマネジメントコンソールへのアクセス制限が実現可能です。 ログイン方式 制限可否
はじめに こんにちは。株式会社ZOZOのSRE部プラットフォームSREチームに所属しているはっちーと申します。 本記事では、Kubernetesクラスター上で自動カナリアリリース機能を提供するFlaggerが導入済みのマイクロサービスにおいて、手動カナリアリリースを実施する方法について紹介します。一見、矛盾するように思えるかもしれません。しかし、時にはそのような要件も発生することがあります。また、手動カナリアリリースで運用している状態からFlaggerの導入を検討している場合、導入後も念のために現行の手動カナリアリリースができるのか、という点は気になるかと思います。すでにFlaggerを導入している、これからの導入を検討している、という方の参考になりましたら幸いです。 目次 はじめに 目次 前提知識(Flagger) Manual Gatingの基本 Manual Gatingとは Man
AWS Lambda関数をlambrollとGitHub Actionsでデプロイしてみた ~ fujiwara-ware OSS ~ | DevelopersIO
クラスメソッドは2024年に5つのOSSに対して支援を実施しました。 当方が推薦して選定された @fujiwara さん作による Amazon ECSのデプロイツールであるecspressoについては、先日紹介記事をかきました。 本記事では、 ecspresso の姉妹プロダクトとも言える、AWS Lambdaのデプロイツール lamboll について、基本的な使い方とGitHub Actionsからデプロイする方法について紹介します。 lambrollはミニマリストのためのAWS Lambdaデプロイツール GitHubのプロジェクトページから lambroll の概要を引用します lambroll is a minimal deployment tool for AWS Lambda. lambroll はLambda関数のデプロイに必要な最小限の機能しか提供しません。やっていることと
Lambdaを使用する場合 AWSのAPI Gatewayを使用している場合、S3やDynamoDBの操作をする際があると思います おそらく、すぐに思いつくのは以下のような構成かと思います LambdaでS3やDynamoDBを操作する構成ですね ただ、Lambdaがいると単体テストが必要になってきます DynamoDBを少しだけ操作するだけなのに、コードと単体テストの両方が必要となってきます しかも、CloudFormation化するなら、更にテンプレートファイルの作成まで必要となってきて、結構面倒です AWS統合とは Lambdaを経由せずAPI Gatewayから直接、S3やDynamoDBなどのAWSサービスを操作する方法です AWS 統合を使用して API Gateway REST API を構築する ※本来はAWS統合とは言わないかもで注意です 何がいいのか? まず、構成が以下
◾️はじめに 以前、AWSのセミナーを受けた際のアウトプットとして、本資料では、AWSを活用することで得られる価値や主要サービスの概要について解説し、実際にAWSを始める手順を紹介します。本資料を通じて、AWSの基本的な理解を深め、実際のビジネスでの活用方法を具体的にイメージできるようになっていただければ幸いです。 ◾️AWS活用で得られる価値 スモールスタートで迅速に始められる 従来、オンプレミスでITシステムを稼働させるためには、サーバーやネットワーク機器、ソフトウェアなどを自社で保有し、運用する必要がありました。しかし、AWSを活用することで、これらのインフラ調達やセットアップにかかる時間と労力を大幅に削減し、必要なITリソースをすぐに利用開始できます。また、不要になれば削除すればよいということです。 必要な時に必要な分だけ利用可能 オンプレミスでのITシステム運用では、常にリソース
Addressed AWS Default Risks: OIDC, Terraform and Admin Access
Before we begin, here is a message from AWS that I also support: AWS has taken the feedback and has implemented improvements in the default Terraform OIDC Trust Policy. AWS has also contacted customers who may have been in this configuration. AWS recommends customers always test their configurations before doing so in production, but when they do, limit the condition key "Subject" or "sub" to prev
GitHub Actions で Amazon Inspector を利用した脆弱性スキャンを行う - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 2024/6に Amazon Inspector が GitHub Actions でのコンテナイメージスキャンをサポートしたとのアナウンスがありました。コンテナイメージの脆弱性スキャンに既にTrivyを利用している方も多いと思いますが、別の選択肢として Inspector によるスキャンを試してみました。 また、実はコンテナイメージのスキャンだけではなく、言語パッケージのバージョンファイルやDockerfileを静的解析することも可能のため、それもやってみました。 仕組み アクションを紐解く リポジトリ内のファイルをスキャンする場合 試してみた サマリページの結果 CSV形式の検出結果 JSON形式の検出結果 Markdown形式の検出結果 脆弱性が検出されなかった場合 コンテナイメージをスキャンする場合 サマリページの
Amazon Connectに、LexボットとLambda関数をCloudFormationや AWS CLIで関連付けしてみた | DevelopersIO
はじめに 本記事では、Amazon Connectインスタンスに、Amazon LexボットやAWS Lambda関数をAWS CloudFormationおよびAWS CLIを使って関連付ける方法を解説します。 Amazon Connectのフロー内でLexボットやLambda関数を呼び出すには、Connectインスタンスにそれぞれ関連付けが必要です。 手動で関連付けを行う場合、AWSマネジメントコンソールのConnectインスタンスページから設定可能ですが、本記事ではCloudFormationやCLIを使用した方法を紹介します。 AWSマネジメントコンソールからLexボットやLambdaを関連付け 前提条件 Amazon Connectインスタンスが作成されていること CloudFormationで関連付ける 今回使用するCloudFormationテンプレートは、以下の通りです。
本記事は 夏休みクラウド自由研究 8/25付の記事です。 こんにちは、Terraform学習中のSCSK稲葉です。 Terraformを使用してAWS上にWordpressの環境を構築する方法を学習したのでご紹介いたします。 Terraformとは インフラの構成をソースコードとして管理できるIaCツールです。 AWSやAzure、GCPなどの様々なクラウドサービスに対応しています。 Terraform | HashiCorp DeveloperExplore Terraform product documentation, tutorials, and examples.developer.hashicorp.com 作成するWordpress環境の構成 Terraformで以下のような環境を構築します。 ALBの後ろに配置するEC2インスタンスは、オートスケーリングによって可用性を持た
こんにちは!イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インターネットの初期の設計時には、セキュリティが最優先されていませんでした。1970年代から1980年代にかけて、インターネットの前身であるARPANETやTCP/IPプロトコルが開発された当初、研究者たちは主に接続性とデータ交換の効率を重視していました。その結果、セキュリティの観点が後回しにされることになりました。 その結果、多くの基本的なインターネットプロトコル(例:DNS、HTTP、SMTPなど)は、今日の基準から見るとセキュリティに関して脆弱な部分があります。これらのプロトコルは、認証、暗号化
🕰️ Four years ago, I published An AWS IAM Security Tooling Reference. It’s time to revisit it and take a look at the current landscape.1 Identity and Access Management (IAM) is a cornerstone of security. However, AWS IAM is not only crucially important, but also immensely complex. This complexity and the resultant challenges it can pose for security have not gone unnoticed. In addition to efforts
![An AWS IAM Security Tooling Reference [2024]](https://cdn-ak-scissors.b.st-hatena.com/image/square/4e2eafc6de4defa998cab07e399b32780f07123d/height=288;version=1;width=512/https%3A%2F%2Framimac.me%2Fassets%2Fimages%2Fiam-tools.png)
セキュリティ・キャンプ2024 全国大会 専門コースB プロダクトセキュリティクラス 後日談 — HACK The Nikkei
はじめに 日本経済新聞社の CDIO 室でプロダクトセキュリティチームのリーダーを務めている藤田です。日経は 2021 年度よりセキュリティ・キャンプ協議会のオフィシャルメンバーとして、4 年間にわたり情報セキュリティ技術を学ぶ学生を応援12してきました。この度、ご縁がありセキュリティ・キャンプ 2024 全国大会専門コース B プロダクトセキュリティクラスのプロデューサーと講師を任せていただき、無事に役目を終えることができました。会員企業3の見学者から「これは社会人も受けた方がいい内容だ」との好意的なご意見をいただきました。そこで、その内容を広く伝えることが、皆さんの組織の一助となれば幸いと思い、コースの設計にあたって伝えたかった思いやその時の工夫を公開します。 このクラスは、前身の Web セキュリティクラスのプロデューサーであり、今年私を推薦していただいた上、連名で企画を進めてくださ
AWS IAM Identity Center議論会 〜 認証認可結合モデルと認証認可分離モデル / 20240827-jawsug-arch-iam_identity_center
JAWS-UG アーキテクチャ専門支部 議論会のための資料です。 (運用設計ラボ合同会社 波田野裕一)
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた | DevelopersIO
AWS IAM Identity CenterのMFA設定で、組み込みの認証アプリの指紋認証を試してみた はじめに AWS IAM Identity CenterのMFA(多要素認証)タイプで組み込みの認証アプリを試してみました。 Identity Centerのユーザーの管理(ID管理)が独自の ID ストアの場合、MFAタイプには以下のオプションがあります。 FIDO2 認証機能 組み込みの認証機能 セキュリティキー パスワードマネージャー、パスキープロバイダー、その他の FIDO 認証機能 仮想認証アプリ ワンタイムパスワード (OTP) ベースのサードパーティー認証アプリ RADIUS MFA AWS Managed Microsoft ADを介して利用 今回は、組み込みの認証機能のTouch IDによるログインを試してみます。 前提条件 AWS Identity Centerのユ
前回の記事を書いた段階から構想としてあった、AzureとAWS間でのインターネットVPN、しかもTerraformで完全コード化したものを公開します。 GUIだと楽勝なんで簡単に考えていたんですが、コード化するとなると中々手強かったです。 お盆前には公開できる準備は整っていたのですが、子どもの夏休みの宿題と自身の体調不良で時間が空いてしまいました。 体調不良は置いといて、夏休みの宿題、面白いですね。 大人になってから見てみるととても感慨深いです。 今は読書感想文のほかに、映画鑑賞による感想文があり、うちの子はこの映画鑑賞の感想文を選んでいました。 私も小学校5年生あたりで夏休みの宿題とは別で新聞社がやってる作文コンクールに応募して佳作だったか努力賞だったかの賞をもらったことがあります。 父に何度も校正されて、子どもの頃の生意気な私なら途中で投げ出していたと思うのですが、なぜかとても楽しく、
Lambdaを使用する場合 AWSのAPI Gatewayを使用している場合、S3やDynamoDBの操作をする際があると思います おそらく、すぐに思いつくのは以下のような構成かと思います LambdaでS3やDynamoDBを操作する構成ですね ただ、Lambdaがいると単体テストが必要になってきます DynamoDBを少しだけ操作するだけなのに、コードと単体テストの両方が必要となってきます しかも、CloudFormation化するなら、更にテンプレートファイルの作成まで必要となってきて、結構面倒です AWS統合とは Lambdaを経由せずAPI Gatewayから直接、S3やDynamoDBなどのAWSサービスを操作する方法です AWS 統合を使用して API Gateway REST API を構築する ※本来はAWS統合とは言わないかもで注意です 何がいいのか? まず、構成が以下
AWS Peacock Management Consoleの機能を拡張してショートカットリンクをワンクリックで取得できるようにしてみた - Qiita
AWS Peacock Management Consoleの機能を拡張してショートカットリンクをワンクリックで取得できるようにしてみたAWSchrome-extensionChrome拡張 AWS Peacock Management Consoleの機能を拡張してショートカットリンクをワンクリックで取得できるように。 AWS IAM Identity Centerを利用しているユーザがconfigにサブドメインを設定しておくことで開いているAWSリソースのshortcut linkをピン留めした拡張iconをワンクリックすることで取得できるように機能拡張してみました。 参考:ショートカットリンク レポジトリ:https://github.com/MaSuCcHI/aws-peacock-management-console-fork/tree/aws-shortcut 背景 AWSのリ
PagerDutyを爆速で導入 - インゲージ開発者ブログ
SREチームのanecho108です。 大型連休前にこの記事を書きたかったのですがズレ込んでしまいました。 皆さん、オンコール対応していますか? 世の中の多くのSREの方はオンコール対応を実施しているのではないかと思います。 弊社ではオンコール対応のツールとしてPagerDutyを導入しました。 ほぼ1日で導入した記憶がありますのでその時のお話をさせていただければと思います。 PagerDutyとは? 一言でお伝えするとインシデント管理プラットフォームのツールです。 インシデント発生した場合のオンコール対応やエスカレーションルール、 さらにはポストモーテム管理などSRE業務の一つでもあるインシデント管理を一元管理できるツールです。 SREの方なら一度は耳にしたことがあると思います。 www.pagerduty.co.jp vs AWS SSM Incident Manager AWSのサー
Amazon ECS でソフトウェアバージョンの一貫性が強制されるようになりました[Amazon ECS + AWS CloudFormation]
本記事は 夏休みクラウド自由研究 8/18付の記事です。 こんにちは。SCSKのふくちーぬです。 2024/7/11に Amazon ECS のアップデートが発表されました。今回は、Amazon ECS においてローリングアップデート時のソフトウェアの一貫性が保証されるようになりましたので紹介します。 Amazon ECS でコンテナ化されたアプリケーションにソフトウェアバージョンの一貫性が強制されるようになりました 以前まではECSにおいてlatestタグを利用していた場合、latestタグの更新・タスクのスケールアウトのタイミング次第で、latestタグが参照するコンテナイメージが異なるため、サービス内でコンテンツが異なるタスクがデプロイされてしまう事象が発生していました。 Amazon ECS でコンテナ化されたアプリケーションにソフトウェアバージョンの一貫性が強制されるように -
![Amazon ECS でソフトウェアバージョンの一貫性が強制されるようになりました[Amazon ECS + AWS CloudFormation]](https://cdn-ak-scissors.b.st-hatena.com/image/square/0d7e212d30307031cbf528084446f4d7719147d2/height=288;version=1;width=512/https%3A%2F%2Fblog.usize-tech.com%2Fcontents%2Fuploads%2F2024%2F08%2FEcsCfn.png)
クラスメソッド データアナリティクス通信(AWSデータ分析編) – 2024年9月号 | DevelopersIO
クラスメソッドの石川です。日々AWSのアナリティクス関連サービスのアップデートとそのブログをご紹介します。 今月は、AWS Glue の データカタログビューや Glue Data QualityのAnomaly Detectionが一般提供の開始しました。Amazon QuickSightはネストされたフィルターが使えるようになり、組み込みダッシュボードの共有ビューがサポートしました。 他にもアップデートがあるので紹介します! Amazon Redshift / RedshiftServerless 新機能・アップデート 2024/08/01 - Amazon Redshift が AWS IAM アイデンティティセンターでのシングルサインオンをサポートするドライバーをリリース Amazon RedshiftのJDBC/ODBC/Python ドライバーがシングルサインオンをサポートしま
前書き 作成したい環境 全体的な進め方と対象読者 コードだけほしい人向け CDKディレクトリの構成 binディレクトリの構成 libディレクトリの構成 ManagedADの作成 main.tsの記載 操作用EC2の作成 SSMのセッションマネージャで初期状態を確認 SSMのRunCommandでユーザーを追加 SSMのセッションマネージャで接続してユーザーが追加されているか確認 Workspacesを作成する Webアクセスを有効にする DirectoryServiceの登録 Workspacesのデプロイ デプロイされたWorkspacesのIPを調べる EC2の作成 WorkspacesからEC2に接続 検証環境を自動的に作成する 自動的に作成するために必要な要素 要件に伴いCDKを修正・作成を行う エンドポイントの追加 CodeCommitに対してコードをプッシュする ApiGate
InstanceのQuotaが1のため、有効化するRegionを間違えると複数はEnableできないのでRegionを間違えないようにする 最初は個人のアカウントで検証用に作成したが、Permission setの作り方が見つからなかったのでAWS Orgで作成。 Orgを初めて作ると、以下のようなメールが来るのでVerifyしておく。 User作成 (管理者) アクセス権限の付与 (管理者) PermissionSetを作成 PermissionSetはAccountとは関係なくどんなことができるかを定義するIAM Roleのようなもの。 次のセクションで実際にどのUserやGroupに、どのAWS Accountに対して、どのPermissionSetを付与するかを設定する
初めてのAssume Role - Qiita
ASSUME ROLEについて調べたので、備忘録としてまとめたいと思います。 ASSUME ROLEとは何か? ASSUME ROLEは、AWSのサービスの1つで、一時的に別の権限セットを使用できるようにする機能です。簡単に言えば、普段はできないことを、一時的に特別な許可をもらってできるようにする仕組みです。 例えば、会社のオフィスを想像してみてください。通常、一般社員は自分のデスクがある部屋にしか入れません。でも、特別な仕事のために社長室に入る必要がある場合、一時的に社長室の鍵を借りて入室することがあるでしょう。ASSUME ROLEは、このような状況をAWSの世界で実現する機能なのです。 ASSUME ROLEの主な目的 セキュリティの強化: 必要な時に必要な権限だけを与えることで、セキュリティリスクを減らします。常に全ての権限を持っているよりも、必要な時だけ特別な権限を持つ方が安全だ
AWS統合を活用して無駄なLambdaを減らす - Qiita
Lambdaを使用する場合 AWSのAPI Gatewayを使用している場合、S3やDynamoDBの操作をする際があると思います おそらく、すぐに思いつくのは以下のような構成かと思います LambdaでS3やDynamoDBを操作する構成ですね ただ、Lambdaがいると単体テストが必要になってきます DynamoDBを少しだけ操作するだけなのに、コードと単体テストの両方が必要となってきます しかも、CloudFormation化するなら、更にテンプレートファイルの作成まで必要となってきて、結構面倒です AWS統合とは Lambdaを経由せずAPI Gatewayから直接、S3やDynamoDBなどのAWSサービスを操作する方法です AWS 統合を使用して API Gateway REST API を構築する ※本来はAWS統合とは言わないかもで注意です 何がいいのか? まず、構成が以下
ログ用のS3バケットを作成して、ALBのアクセスログを有効化しようとしたところ、S3の権限不十分でエラーが発生しました。 │ Error: modifying ELBv2 Load Balancer (arn:aws:elasticloadbalancing:ap-northeast-1:************:loadbalancer/app/alb-prod/fbbd3f2304ff9285) attributes: InvalidConfigurationRequest: Access Denied for bucket: logs-prod. Please check S3bucket permission 公式ドキュメントをみたら、普通にバケットポリシーの設定が漏れていました。 以下のTerraformコードでエラーを解消したので、参考になれば幸いです。 S3 バケット名log
概要 SESを使ってメールを送信した際に存在しないメールアドレスの場合に検知できる機能をSES+SNS+Lambdaを使って実装する方法について解説します 前提 Pythonを使ってLambdaのコードを作成します 実装 今回は S3 Lambda SNS の3種類のリソースをCloudFormationを使って構築します S3の構築 Lambda用のzipファイルを格納するS3バケットを作成します AWSTemplateFormatVersion: 2010-09-09 Description: "S3 Bucket Factory Settings Stack" # ------------------------------------- # Metadata # ------------------------------------- Metadata: AWS::CloudFo
前置き 私は24卒として今年春に入社し、7月からインフラエンジニアとしてキャリアをスタートいたしました。 今回は世界的に使用されているAWSの、特にアカウント管理について、案件に参加させていただく中で自分が学んだことを整理し、皆さんと共有するためにこの記事を書かせていただきます。 またアカウント管理の概要については紹介いたしますが、具体的な実装方法のような実践的内容はこの記事に含んでいないので、その点ご了承ください。 また、入門・発展と2段階に分けてアカウント運用管理の手法・サービスを投稿予定なので、次の記事もぜひ読んでいただけたら嬉しいです。 前提 AWSアカウントとは何なのか? アカウントはアカウントでしょ?となっている方こそ、ここを勘違いすると後々つまづいてしまうと思うので、念のため確認しておきましょう。 『AWSアカウント』は、「Xのアカウント」や「LINEのアカウント」のような一
EC2キーペアのプライベートキー(秘密鍵)の安全な受け渡しを管理するために、AWS Secrets Managerを使う方法を検討してみました。 みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 チームやプロジェクトで作業をする際、EC2の「キーペア」のプライベートキー (秘密鍵) をどのように管理していますか? まず、最初にキーペアを作成した人が、秘密鍵を入手してローカルディスクに保存します。 そこからが問題です。 チーム/プロジェクトの複数のメンバーも秘密鍵を使う必要がある場合、秘密鍵ファイルをどうやって共有 (あるいは受け渡し) するのかが悩みどころです。 社内ファイルサーバーの共有フォルダーに置く (フォルダーのアクセス権をしっかり管理しなければ・・・) メールでやり取りする (社内と言えども平文は心配・・・添付ファイルの暗号化/復号は手間がかかる・・・) 社内だけ
デプロイ時にSchemaSpyでテーブル定義を自動生成し、S3にアップロードする - Qiita
背景 私たちのチームではテーブル定義をスプレッドシートで管理していましたが、新たなテーブルの設計時に追加するのみで、ほとんど保守されていませんでした。 エンジニアはコードから理解できますが、他職種も含めて最新のテーブル定義やER図を参照できるようにしたく、それらを自動生成できるSchemaSpyを導入しました。 関連技術 PostgreSQL AWS GitHub Actions ワークフロー GitHub Actionsのデプロイ用ワークフローの最後に以下のjobを追加しました。 全体の流れとしては、schemaspyの実行準備→schemaspyの実行→生成物をS3にアップロード という手順です。 schemaspy: runs-on: ubuntu-latest timeout-minutes: 10 permissions: id-token: write contents: re
AWSの責任共有モデルとは?事業者とユーザーの責任範囲や必要な情報セキュリティ対策を解説 | コラム | クラウドソリューション|サービス|法人のお客さま|NTT東日本
このようにサービスによって責任の範囲は異なり、その責任の境界を「責任分界点」といいます。自社で運用するサービスがどの分類になるか、責任分界点がどこなのかをしっかり把握しておくとよいでしょう。 この章では、AWSの責任範囲とユーザーの責任範囲を解説します。自社が運用するサービスと照らし合わせながら参考にしてください。 2-1.事業者(AWS)の責任範囲 事業者であるAWSの責任範囲をおおまかに分けると以下の3つです。 物理的な保護 インフラストラクチャの管理 ホストOSの管理 順番に解説します。 2-1-1.物理的な保護 データセンターなどの施設を物理的に保護する責任は、AWSが担っています。AWSデータセンターの集まりであるリージョンは各地域に点在していて、設置場所には災害に強い地域が選ばれています。たとえば日本にあるリージョンは大阪と東京です。 万が一、片方のリージョンが災害などによる停
ユーザー作成画面へのアクセス IAM のダッシュボード左側メニューから「Users」をクリックします。 ユーザー一覧が表示されます。右上の「Create user」をクリックします。 Step 1 Specify user details ユーザー名やマネージメントコンソールへのアクセス・ログインに関する設定を行います。 User name : 任意のユーザー名を入力 Provide user access to the AWS Management Console : 今回はマネージメントコンソールへのアクセスを許可したいので、チェック チェックすると、User type が表示されます。今回は、「I want to create an IAM user」を選択します。それ以降の入力値はデフォルトのまま「Next」をクリックします。 Step 2 Set permissions 作成する
コストをちょっと削減したプロダクトの形 - Qiita
既存構成 リポジト管理はモノレポ形式を採用してます、モノレポの簡単な説明は下記に載せます。 モノレポとは、アプリケーションやマイクロサービスの全コードを単一のリポジトリに保存するパターン。 共用ライブラリはpackagesフォルダに集約し、各アプリケーションはappsフォルダに配置しています。 例えば、ログ機能はpackagesフォルダに置き、各アプリケーションから利用できるようにしています。デプロイ時には、Turborepo の機能で効率よくコンテナ化され、最適な状態で展開されます。 インフラ構成は、以下の図に示すように、ベーシックな構成になっています。 サービスのアクセス数がまだ少ないため、サーバーレス化を決定しました。 ただし、サーバーレス化はあくまで暫定的な対処です。今後、ユーザー数が増加した場合には、コストを抑えるためにECSへ戻すことも考慮しています。 サーバーレス化 doma
AWSのサーバレス環境におけるセキュリティ対策のために抑えるべきポイント | ブログ | Serverless Operations
>_cd /blog/id_7s9ihy5uugs development technology#AWS Lambda#Amazon API Gateway#Amazon DynamoDB#AWS IAMDate2024-08-15Time15:54:52 JST この回ではAWSでサーバレスなサービスでシステムを構築していく際に抑えておくべきセキュリティ対策のポイントについて解説します。以下の図のようにAWS Lambdaを中心としたサーバレスな構成の場合はアプリケーションレイヤー以上のセキュリティを考慮する必要があります。ここの具体例に合わせて、開発者にもどのような権限を与えながら開発を行っていくべきかについても述べます。 AWS IAMについてまずはAWSアカウント自体とそのセキュリティのための機能として提供されているAWS IAMの使い方について説明します。AWS Identity
IAM ポリシーシミュレータ API を使用して、特定のアクションを許可しているかつ許可していないIAMロール、ユーザーを抽出してみた | DevelopersIO
IAM ポリシーシミュレータ API を使用して、特定のアクションを許可しているかつ許可していないIAMロール、ユーザーを抽出してみた こんにちは、AWS事業本部 梶原@福岡オフィス です。今回は、AWS IAM ロール、ユーザーの権限を詳細に分析するスクリプトを作成し、特定の条件を満たすロール、ユーザーを抽出する方法について共有したいと思います。 *※注意(2024/07/08 追記) IAM ポリシーシミュレータ API の制限により、Organizations環境のSCP制限可(リージョン制限など)の場合、正確に権限が取得できず、対象が抽出できないことがあります。 * 背景 あるアクションは許可しつつ、別のアクションは明示的に拒否したいという要件はよくありますが、今回は、Lambda 関数に関する以下の条件を満たすロールを抽出することにしました: lambda:GetFunction
Self-Service Implementation of AWS IAM Identity Center Permissions
The speaker, Yusuke from Yokohama, discusses how to implement self-service engineering with AWS Identity Center. The presentation covers: 1. AWS Identity Center Overview: - Simplifies single sign-on for multiple AWS accounts - Centralizes permission management 2. Problems with centralized permission management: - In large organizations, the central identity team can become overwhelmed - Developers
CloudwatchLogs を Kinesis Firehose 経由で S3 に保存する for CDK - Qiita
構成図 やりたいこと 今回検証用のため、EC2 に Apache を起動し、 access_log を S3 bucket-A に格納し、 error_log を S3 bucket-B に格納 できるようする。 なお、S3 に格納するとき、CloudWatchLogs を S3 のプレフィックスにして保存する。 以降の説明では、A は access_log、B は error_log とする。 IAM ロールは CloudWatchLogs ごと、Firefose ごとに作成されるとリソース数が増えるため、今回は A と B それぞれ共通のものを利用する。 CDK 構造図 bin └── CloudwatchLogsToFirehoseToS3.ts lib ├── CloudwatchLogsToFirehoseToS3Construct.ts ├── CloudwatchLogsTo
AWSのCloudWatchアラートをSlackに通知する仕組みをTerraformで実装する方法 | Hakky Handbook
はじめに AWSのECS(Elastic Container Service)を使用している際、メモリ使用率の監視はシステムのパフォーマンスと安定性を確保する上で非常に重要です。特に、メモリ使用率が高くなりすぎると、サービスが停止したり、パフォーマンスが低下したりする可能性があります。この記事では、AWS CloudWatchを使用してECSサービスのメモリ使用率を監視し、閾値を超えた場合にSlackへ通知を送る方法をTerraformを用いて実装する方法を紹介します。さらに、サービスの起動、成功、失敗の各イベントに対してもSlackへ通知する方法についても解説します。 Hakky における Terraform 利用時のガイドライン slackのincoming webhookを使用してメッセージを送信する方法 CloudWatch Logs でのログの監視 メリット メモリ使用率が高
IAMユーザーにMFA登録しましょう!!【Microsoft Authenticator、WinAuth】 - Qiita
IAMユーザーにMFA登録しましょう!!【Microsoft Authenticator、WinAuth】AWSIAMMFAANGELDojoANGELDojo2024 はじめに こんにちは、itayaです。 この度、ANGEL Calendarの企画に参加しております! 記事一覧は下記のOrganizationアカウントの一覧をチェックしてみてください! 導入 皆様、IAMユーザーにMFAは登録されているでしょうか? (〇)セキュリティ的にOKな例 (×)セキュリティ的に見直すべき例 もし、MFAが有効化になっていない場合は見直しましょう! 以下にMicrosoft Authenticator又はWinAuthを用いてMFAを有効化するやり方を記載していきます。 IAMとは AWS IAM(AWS Identity and Access Management)のことです。主に、AWSリソ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Flaggerでも手動カナリアリリースがしたい! - ZOZO TECH BLOG
AWS統合を活用して無駄なLambdaを減らす - Qiita
AWS 超入門 〜AWSを始めよう〜 - Qiita
Terraformを使用してAWS上にWordPressの環境を構築する
AWS環境へのサイバー攻撃とその対策について - サーバーワークスエンジニアブログ
An AWS IAM Security Tooling Reference [2024]
TerraformでAzureとAWS間でインターネットVPNを張る - Qiita
AWS統合を活用して無駄なLambdaを減らす - Qiita
スクラップ&ビルドを繰り返せる検証環境をCDKで作成する記事 - サーバーワークスエンジニアブログ
AWS IAM Identity Centerの設定 - Qiita
ELB(ALB)のアクセスログをTerraformで有効化する - Qiita
SES+SNS+Lambdaを使ってバウンスメール通知機能を実装しよう! - Qiita
インフラ初心者がつまづいたアカウント運用管理入門 - Qiita
AWS Secrets ManagerでEC2キーペア秘密鍵の安全な受け渡しを管理してみる | DevelopersIO
【AWS】IAM ユーザーを作成する - Qiita