こんにちは佐々木です。以前、『AWSのグローバルIPの空間はインターネットなのか?』と題して、AWSのパブリックIP同士の通信が何故AWSのプライベートネットワークの通信になるのかという話をしました。その中で、PrivateLinkの必要性はどう考えるべきなのかという事に、少しだけ言及しました。今回は、そこをもう少しだけ深ぼって見てみましょう。ユースケースとしても多いであろう、EC2からS3の通信の例でみてみます。 tech.nri-net.com EC2からS3へアクセスする4つのルート EC2からS3へアクセスするルートとしては次の4つがあります Internet Gateway NAT Gateway VPC Endpoint(Gatewayタイプ) PrivateLink(Interfaceタイプ) それぞれの構成と利用に関わる費用をみてみましょう。なお、今回ご紹介するコストは、S
AWSのECインスタンスに、あたかもシリアルポートでキーボードとターミナルを接続してトラブルシュートできる新機能「EC2 Serial Console」が登場
AWSのECインスタンスに、あたかもシリアルポートでキーボードとターミナルを接続してトラブルシュートできる新機能「EC2 Serial Console」が登場 クラウド上のインスタンスに対して何らかの操作を行う場合、SSHやRDPなどのプロトコルを利用してネットワーク経由で行う方法が一般的です。 しかし、例えばOS上のネットワーク設定を間違えてしまった、ドライバを削除してしまった、などのトラブルによりインスタンス自体のネットワーク接続が失われた場合、当然ながらSSH経由での操作もできなくなるため、トラブルシュートは面倒なものになります。 オンプレミスやデータセンターにあるサーバであれば、最後の手段としてサーバの場所まで操作員が移動し、サーバのシリアルポート経由でキーボードとターミナルを接続することによって、ネットワーク接続が失われたサーバに対しても設定変更の操作が可能です。 しかしデータセ
背景 AWSのEC2にSSH接続する際、EC2のSSHキー(pemファイル)を使用して接続することが多ですが、SSHキーの管理が面倒だったり、セキュリティ的にもSSHキーを使用するのは避けたい場合があります。 この記事ではOS別、IDE別にSSHキーを使用せずにEC2に接続する方法を紹介します。 前提条件 Session Managerが有効化されているEC2インスタンスがあること OpenSSHがインストールされていること OpenSSHのインストール方法: Windows: Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*' 管理者権限でPowerShellを起動することが必要です。詳細はこちら Mac/Linux: brew install openssh 事前準備 - Remote拡張機能のセットアッ
EC2 Instance Connect Endpoint経由でRDSに接続してみた | DevelopersIO
2023/06/28 追記 : 利用可能ポートが制限されました EC2以外への接続はAWSとして意図していなかった模様で、本日時点で宛先のポート番号がTCP 22、TCP 3389以外だと awscli.customizations.ec2instanceconnect.websocket - ERROR - {"ErrorCode":"InvalidParameter","Message":"The specified RemotePort is not valid. Specify either 22 or 3389 as the RemotePort and retry your request."} という旨のエラーが出る様になりWebSocket接続が切断されます。 The specified RemotePort is not valid. Specify either 22
PHPカンファレンス2021で使用した登壇資料です。
爆速でFargateをスケールさせる「aws-fargate-fast-autoscaler」を試してみた | DevelopersIO
CloudWatchだけでは実現できない超高速なFargateのスケール処理をCDKをつかったStep Functionsで実装しているリポジトリです。是非参考にしてみてください。 「Fargateをいかに早くスケールさせるか、そこに命をかけた男がいた…」 先日参加したセミナー(コンテナ好き4名がコンテナの魅力を喋り倒すJAWS-UGコンテナ支部に行ってきた)にそんな男がいたわけですが、その仕組を改めて動かす機会があったので、紹介します。 CloudWatchを利用しないStep Functionsを利用した爆速スケールの仕組み CDKによる環境一式のデプロイ という両面で非常に参考になるリポジトリです。そのあたり興味があるかたは是非一度この記事を読んでいただきながら皆さんの環境でためしていただきつつ、今後のStep Functionsの使い方やCDKのサンプルとして活用いただければと思い
Amazon EC2 Auto Scalingに新機能「ウォームプール」、すぐ起動して処理を開始するインスタンス群をあらかじめ準備可能に
Amazon EC2 Auto Scalingに新機能「ウォームプール」、すぐ起動して処理を開始するインスタンス群をあらかじめ準備可能に Amazon EC2 Auto Scalingは、複数のインスタンスを束ねてクラスタを作成し、負荷の大きさに応じてクラスタを構成するインスタンスを自動的に増減させてくれる機能を提供してくれます。 これにより、例えばテレビで商品が紹介されたECサイトにトラフィックが集中した場合でも、自動的にトラフィックに応じてスケールアウトしてくれる、といった処理が可能になるわけです。 ただし、インスタンスが起動して処理を開始する前に、コードやデータのロード、実行前に必要なスクリプトの実行といったさまざまな前処理が必要な場合があり、場合によっては処理を開始するまでに数分かかる場合もあります。 処理の開始に時間がかかると、そのあいだは多くのエンドユーザーへの応答も遅くなり、
ワークフロー実行基盤をFargateからEC2へ変更したらコストもパフォーマンスも改善できて幸せになった話 - ZOZO TECH BLOG
はじめに こんにちは、ブランドソリューション開発本部バックエンド部SREブロックの小林(@mirai_kobaaaaaa)です。普段はWEARやFAANSというサービスのSREとして開発、運用に携わっています。 WEARではAmazon Elastic Kubernetes Service(以下、EKSと呼ぶ)を用いて複数システムのインフラ基盤を構築・運用しています。その中の1つとして、ワークフロー処理の実行基盤が存在しています。 本記事では、そのワークフロー実行基盤が抱えていた課題と、それらをどのように解決したのかを紹介します。また、付随して得られたメリットについても紹介いたします。 目次 はじめに 目次 WEARにおけるワークフロー ワークフロー処理内容 ワークフロー実行基盤の構成 ワークフロー実行基盤の課題 コスト内訳の調査 過剰なPodスペック Fargate実行時間の増大 ワーク
はじめにこんにちは、Finatextで証券プラットフォーム(Brokerage as a Service、以下BaaS)の開発に携わっている石橋(@bashi0501)です。過去のFinatextテックブログではTerraform、CDKとIaCをテーマにした記事しか書いたことがなかったのですが、今回はログの分析活用をテーマとします。 概要弊社の証券事業ではECSによるワークロードを組んでいます。本テーマのアプリケーションログについては標準出力したものをawslogsログドライバーが回収してCloudWatch Logsに送信しています。 ログの検索という観点ではCloudWatch Logs Insightsというサービスでかなりリッチにフィルターや集計を行うことができるのですが、ログデータを元にしたユーザーのファネル分析や業務改善(後述します)に活かしていきたいという意図があるため、マ
EC2のイメージ作成を劇的に効率化するEC2 Image Builderが発表されました! #reinvent | DevelopersIO
EC2のイメージ作成を自動化するEC2 Image Builderが発表されました! 「イメージの定期更新、いつも俺がやってるねんけど、これめんどくさい…」 何らかのカスタムしたEC2イメージを利用してシステムを運用している場合、そのイメージのメンテナンスは非常に手間がかかるものです。イメージにはいろんなアプリケーションが含まれますが、それらの更新をせずに放置したイメージを使い続けると、システム全体のセキュリティリスクが増大してしまいます。 そんな手間を一気に解決させるサービスが、今般、AWSからリリースされたEC2 Image Builderです。 Automate OS Image Build Pipelines with EC2 Image Builder | AWS News Blog 今まで手動で実行したり、Packerなどのサードパーティ製ツールを使って実装する必要があったイメ
【速報】EC2がMac対応! Amazon EC2 Mac Instancesがリリースされたので触ってみた #reinvent | DevelopersIO
どうも、もこ@札幌オフィスです re:Invent 2020の前夜祭、AWS Late Night Week 1で、「まあ前夜祭だし新サービスなんて出ないでしょw」とのんびりしてたら、突然Mac Instanceが発表されました!早速使ってみたのでレポートします! Amazon EC2 Mac Instancesが公開! まずはこれを見て欲しい。 Run macOS on AWS for the first time with new Amazon EC2 Mac instances. Start developing, building, testing, and signing Apple apps on AWS. Learn more: https://t.co/3faNVwprmv pic.twitter.com/ZEe4L6OORb — Amazon Web Services (
噂の最狂コマンドを実行してみたくなった みなさんはrm -rf /*でOSを破壊しようとしたことはありますか? 流石の私もないです。 rm -rf /*は、OSのrootディレクトリ配下を確認なしで全て削除すると言われる 最狂コマンドです。 rm -rf /という似たコマンドもありますが、こちらは、–no-preserve-rootというオプションを付けなければ、削除処理が実行されない安全仕様になっています。そのため、rm -rf /*の方がより凶悪仕様とも言えます。 今回は無性にOSが壊れゆく様を見たいと思ったので、Amazon Linux 2上でrm -rf /*を実行してみて、どこまで壊れるのか確認してみます。 また、rm -rf /*実行後、緊急モードなどから復旧できそうなら、復旧にもチャレンジしてみます。 いきなりまとめ rm -rf /*はやっぱり キケン。遊び半分でしてはいけ
はじめに AWS S3 を用いてホストしている Web サイトで任意の期間だけメンテナンス画面を表示したいという要件がありました。 構成としては、前段に CloudFront をかましていているだけのシンプルな構成です。 細かい設定としては、S3 オリジンは静的 Web サイトホスティングを有効にし、CloudFront からのアクセスしか受け付けないように設定しています。 この記事では、上記の構成でどうやってメンテナンス画面を実現するかということをメインに考えていきます。 やりたいこと 実現するにあたりメンテナンス時の要件を整理してみます。 一般ユーザが Web サイトにアクセスするとメンテナンス画面を表示させたい。 管理者や開発者など特定の IP アドレスによるアクセスは許可し、通常通り操作できるようにしたい。 どうやって実現するか 結論から言うと、CloudFront に WAF の
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
Cloud Operator Days Tokyo は、クラウドの運用者に焦点を当てた技術者向けの新しいテックイベントです。AWS環境の運用を手がけるアイレット株式会社のインフラエンジニア古屋氏が、実際にやってしまったしくじりを紹介。原因と対策を語ります。まずは「Athenaで170万円請求」「EC2が復旧できない」 というしくじりから。(全2回) しくじり先生 on AWS 古屋啓介氏(以下、古屋):では「しくじり先生 on AWS」ということで、始めたいと思います。よろしくお願いします。今日は、AWS環境を使って日々運用していく中で発生した、しくじり、失敗事例。そしてそのしくじりの原因と、そこから得られた教訓についてお伝えしようと思います。 今日このお話を聞いたみなさんの中で「あ、うちの環境どうっだったかな?」と、思われる方もいらっしゃるかもしれません。今日お伝えすることの中で、ちょっ
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
私はAWS EC2のt2インスタンスを誤解していた - CPUクレジットとベースラインパフォーマンス、そしてT2 Unlimited - SMARTCAMP Engineer Blog
スマートキャンプエンジニアの今川です。 この記事はスマートキャンプ Advent Calendar 2019 - Qiita 10日目の記事です。 qiita.com 別のネタで書こうと思っていましたが、ちょうど昨日今日でAWS5年やってたのに誤解してた!という経験をしたのでそれについて忘備録&人に共有するためにもまとめます。 T2 Unlimitedって何が嬉しいの?という方には読んでいただきたいです。 t2インスタンス - バースト可能なインスタンスタイプ AWS EC2にはt2という安価なインスタンスタイプ群があります。 aws.amazon.com ベースラインから必要に応じてバースト可能な汎用インスタンスタイプ という見出しがついており、 オンデマンドインスタンスの価格は 1 時間あたり 0.0058 USD から開始され、T2 インスタンスは最も安価な Amazon EC2 イ
AWS Backupに新機能。EC2インスタンスをEBSごとバックアップ/リストア可能に。クロスリージョンにも対応
AWS Backupに新機能。EC2インスタンスをEBSごとバックアップ/リストア可能に。クロスリージョンにも対応 AWSは、バックアップの運用を一元化し、集中管理できるマネージドサービス「AWS Backup」の新機能を発表しました。 新機能の1つ目は、EC2インスタンスそのものを丸ごとバックアップ/リストア機能。2つ目はバックアップした内容を別のリージョンへコピーする機能。3つ目はAmazon EFS(Elastic File System)のバックアップファイルの中から、任意の1ファイルを取り出してリストアする機能です。 マシンイメージと属性、EBSを丸ごとバックアップ 新機能の中で注目すべきはEC2インスタンスを丸ごとバックアップ/リストアできる機能でしょう。 この機能はEC2インスタンスに使われているマシンイメージだけでなく、設定されているマシンタイプ、VPC、IAMロールなどほ
Amazon EC2 Auto Scaling Now Supports Maximum Instance Lifetime
Amazon EC2 Auto Scaling now lets you safely and securely recycle instances in an Auto Scaling group (ASG) at a regular cadence. The Maximum Instance Lifetime parameter helps you ensure that instances are recycled before reaching the specified lifetime, giving you an automated way to adhere to your security, compliance, and performance requirements. You can either create a new ASG or update an exis
みなさんDocker使ってますか。私は闇の深いEC2に阻まれて難しい状況です。闇を抱えたままDockerizeします。 闇が深いとは このくらいを指すものとします。 AMIの出所がわからない EC2インスタンスのAMI IDが、自前AMIになってる Linuxディストリはわかるが、起点にしたバージョンはわからない AMIがどうやってできたのかわからない sudo vi /etc/hoge.conf してるっぽい sudo yum install -y hoge してるっぽい wget https://~~~~/hoge.tar.gz から make install してるっぽい AMI更新手順がわからない 変更したい人々と、変更できる人々が違っている 実施できるのは、本番環境にSSHできる極少人数 簡単なはずのconfの変更も尻込みして進まない Dockerize & k8s移行とか盛り上
AWS障害、どうすれば回避できた? 冗長性はどこまで? AWSのパートナー企業に聞く(1/2 ページ) 思わぬ大障害に発展し、復旧に時間を要したAWS東京リージョン。その回避方法はあったのか。これからの対応の指針とすべく、AWSの最上位パートナー認定を取得している企業に話を聞いた。 8月23日、Amazon Web Services(AWS)東京リージョンで大規模な障害が発生した。東京リージョンの1つのアベイラビリティゾーン(Single-AZ)で発生した障害で、Amazon EC2とAmazon EBSに影響があった。またAmazon EC2をベースにしてるであろうAmazon RDS、Amazon ALB、Amazon ElastiCache、Amazon Redshift、Amazon Workspacesなども影響を受けた。今回の障害では復旧までに時間がかかったこともあり、決済サー
AWS、Azure、GCPのどの仮想マシンからでもiSCSIでアクセス可能なブロックストレージ「HPE Cloud Volumes」、HPEが国内リージョンで提供開始
AWS、Azure、GCPのどの仮想マシンからでもiSCSIでアクセス可能なブロックストレージ「HPE Cloud Volumes」、HPEが国内リージョンで提供開始 Hewlett-Packard Enterprise(HPE)は、AWSやAzure、GCPのどのクラウド内の仮想マシンからでもiSCSIで高速にアクセスできるフルマネージドなブロックストレージサービス「HPE Cloud Volumes」を、日本国内にある同社のデータセンターから提供を開始し、11月1日より販売を開始すると発表しました。 11月1日の時点でAWSとAzureに対応。GCPへの対応は近日中に行われるとのこと。 特定のクラウドに依存しないストレージを作成できる Cloud Volumesの大きな特徴は、特定のクラウドに依存しないブロックストレージが提供されていることです。 一般に、例えばAWSのブロックストレー
EC2のcronバッチを「EventBridgeをトリガーにStep Functionsを起動」に置き換えると、エラーハンドリングが快適になる
AWSのEC2で定期的なタスクを自動化するために、cronを使用しているケースも多いと思います。 しかし、Amazon Linux 2023ではcronがデフォルトで無効になっています。これはcron以外に、cronのようなバッチ実行・定期実行する仕組みがあるということなのかと思い、cronを使わずにE2上でバッチ実行・定期実行する仕組みを考えてみました。 そして、Amazon EventBridge、AWS Step Functions、およびAWS Systems Manager startAutomationExecutionを組み合わせて、EC2インスタンス上でバッチ・定期実行を試してみましたので、紹介します。 特に、Step Functionsを使用することで、エラーハンドリングや通知が容易になり、安全にバッチ実行できるようになります。 エラーハンドリングは以下の状態を把握したい
空前絶後のォ!超絶怒涛の清掃員! GASを愛し、GASに愛された男! そう我こそはアァ!!!札幌オフィスゥゥ!!清!掃!員!ジャァスティス!! 「ピン芸人」と「清掃員」の語感が似ていたせいで取り乱してしまいました。 こんにちわサンシャイン札幌オフィス清掃員です。 本日は弊社社内開発環境のコスト削減施策をご紹介したいと思います。 まえがき 社内利用のEC2開発環境の管理、みなさんどうされているでしょうか。 「せっかくEC2なので、使っていない時は停止してコストを抑えたい。」 「しかしながら全員でAWSのrootアカウントを共有するのは危険すぎる。」 このようなお悩みがある方もいらっしゃるのではないでしょうか。 きっと、全社員に適切なポリシーを付与してIAMアカウントを発行するのが最良なソリューションであるのだと思います。 しかしその方針にした場合にも”AWSコンソールを使ったことがないメンバ
[速報]AWS、クラウド基盤にMac mini(Intel)を組み合わせた「Amazon EC2 Mac instances for macOS」発表
Amazon Web Servicesは、クラウド上でmacOSのインスタンスを提供する「Amazon EC2 Mac instances for macOS」を発表しました。 Run macOS on AWS for the first time with new Amazon EC2 Mac instances. Start developing, building, testing, and signing Apple apps on AWS. Learn more: https://t.co/3faNVwprmv pic.twitter.com/ZEe4L6OORb — Amazon Web Services (@awscloud) December 1, 2020 Amazon EC2 Mac instances for macOS(以下EC2 Macインスタンス)は、Intel
![[速報]AWS、クラウド基盤にMac mini(Intel)を組み合わせた「Amazon EC2 Mac instances for macOS」発表](https://cdn-ak-scissors.b.st-hatena.com/image/square/1d76afcda48c9b13ee342d9341acab881acb6c0f/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2020%2Faws_mac_insntance.gif)
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! | DevelopersIO
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! EC2のメタデータサービスv2がリリースされました。これまでSSRF等の脆弱性と組み合わせることによりクレデンシャルの流出が多発していましたが、v2を利用することにより簡単にセキュリティを向上することができるようになりました。 こんにちは、臼田です。 皆さんセキュリティ対策してますか?(挨拶 今回はEC2インスタンスメタデータサービスv2がリリースされたのでこの機能について解説していきます。 Add defense in depth against open firewalls, reverse proxies, and SSRF vulnerabilities with enhancements to the EC2 Instance Metadata
絵で見て 3分でおさらいする Amazon S3 のバージョニングとライフサイクル | DevelopersIO
コンバンハ、千葉(幸)です。 S3 のライフサイクルやバージョニング、使ってますか? 私は「あぁそれね、4年くらい前に完全に理解しましたよ」という気分でいたのですが、いざ きちんと思い出そうとすると 90分ほどかかってしまいました。 3歩あるくと大抵のことを忘れる私としては、都度 90分かけて思い出すわけには行きません。今後は 3分くらいで思い出せるよう、まとめてみることにします。 まとめ バージョニング はバケット単位で設定する ステータスは以下のいずれか 無効 有効 停止 「以前のバージョン」のオブジェクトは復元できる 削除マーカーによる論理的な削除という状態が生まれる ライフサイクルはスコープを限定可能で、ルールを複数設定できる 選択できるアクションは以下 現行のバージョンのストレージクラスの移行 以前のバージョンのストレージクラスの移行 現行のバージョンの失効 以前のバージョンの完
Redisをグラフィカルに確認できるRedisInsightでElastiCache Redisのメモリ分析してみた | DevelopersIO
セキュリティグループはインバウンドで必要な「My IP」、ポートはをTCP 8001とSSH(TCP 22)を許可します。 また、ElastiCacheのセキュリティグループを修正し、RedisInsight用のEC2のセキュリティグループIDからElastiCacheへインバウンドのアクセスを許可します。 EC2(RedisInsight)で権限と接続確認 EC2 IAM Role確認 SSHでEC2にログインし、RedisInsight用のEC2 IAM Roleが設定できているか確認します。 [ec2-user@ip-10-1-12-165 ~]$ aws s3 ls S3バケットの一覧が表示されることを確認 ElastiCacheとの接続確認 nc (netcat コマンド)をインストール $ sudo yum install nc ElastiCacheへ接続テスト 「echo
Amazon ECS now allows you to run commands in a container running on Amazon EC2 or AWS Fargate
Amazon Elastic Container Service (Amazon ECS) introduces Amazon ECS Exec - a simple, secure, and auditable way for customers to run commands in a container running on Amazon Elastic Compute Cloud (Amazon EC2) instances or AWS Fargate. ECS Exec gives you interactive shell or single command access to a running container making it easier to debug issues, diagnose errors, collect one-off dumps and sta
TypetalkのEC2インスタンスをインテルプロセッサからARMベースのAWS Graviton2に完全移行。性能向上と費用削減を実現 はじめに こんにちは。SREの二橋です。最近の楽しみは、キャンプと釣りの動画を見ながら、お家で妄想を膨らませることです。 この度、TypetalkのEC2のインスタンスをインテルプロセッサを搭載したM5系からARMベースのAWS Graviton2を搭載したM6g系に完全移行しました。そこで、Graviton2の概要から移行しようと思った理由、作業内容、移行の効果などをお伝えしたいと思います。 AWS Graviton2とは? Graviton2はAWSがArm Neoverse コアをベースに独自開発したプロセッサです。2020年夏にAmazon EC2で一般用途向け(M6gとM6gd)、コンピューティング最適化(C6gとC6gd)、メモリ最適化(R6
ECS×Fargate ターゲット追跡ServiceAutoScallingを使ったスパイク対策と費用削減 - コネヒト開発者ブログ
こんにちは。インフラエンジニアの永井(shnagai)です。 今回は、ターゲット追跡ServiceAutoScallingを使い、ECS×fargateで運用しているサービスのスパイク対策と費用削減に取り組んだのでその内容をまとめています。 内容はざっくり下記4項目について書いています。 抱えていた課題 キャパシティプランニングに対する考え方 ECS ターゲット追跡ServiceAutoScallingとは何か? どんな結果になったか? 抱えていた課題 コネヒトでのWebのアーキテクチャはほとんどがECS×Fargateの基盤で動かしています。 ECSのバックエンドをEC2からFargateに移行したタイミングで、大きく下記2点のメリットは享受していました。 EC2を意識しないことでの運用コスト削減 オートスケールの容易さ ですが、サービス運用にあたりまだ下記のような課題がありました。 ①
検証・本番環境を考慮した EC2インスタンスへのパッチ適用環境を作ってみる【SSMステートマネージャ編】 | DevelopersIO
設計まとめ 改めて 実現したい環境と、その解決案をまとめます 原則、全インスタンスを 重要パッチを適用させている状態 としたい (ASGインスタンスも含む) → State Manager 関連付けを活用 定期的にパッチが当たるようにしたい → State Manager 関連付けを活用 事前にどのようなパッチが当たるかを判断するために、「スキャンのみ」も実施できるようにしたい → SCAN用関連付け、INSTALL用関連付けを作成。 PatchAssociationTask タグで分類できるようにする 検証環境/本番環境でパッチ適用タイミングをずらいしたい → STG用ベースライン、PRD用ベースラインを作成。 Patch Group タグで分類できるようにする 構築 Patch Manager ベースライン 以下のような CloudFormation テンプレートを作成して、展開しまし
【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO
想定シナリオ 想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。 新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して 脆弱性診断ツールが導入されました。 そして、脆弱性診断で指摘された重要度CRITICAL の指摘事項は 必ず対応しないといけないと定められています。 ある日 特定のEC2インスタンスに対して 重要度CRITICAL の脆弱性 (CVE-XXXX-XXXX ※)が検出されました。 セキュリティエンジニアであるあなたは、脆弱性が検知された EC2インスタンスに対して セキュリティパッチを当てる責任があります。 まずは検証環境のEC2インスタンスを使って、 効率よくセキュリティパッチを当てる方法を探しはじめました。 ※C
吉川@広島です。 案件でCloudFront+S3なSPAに対してOGP対応が必要になってきそうなため、Lambda@Edgeを使った対応について検証しました。 現状、FacebookやTwitterのBotは基本的にクライアントサイドJSを解釈できず、SPA単体でのOGP対応は難しいとされています。OGPメタタグはSSRで返してあげる必要があるため、「UserAgentでBot判定し、その時だけOGPメタタグ入りのHTMLをエッジサーバでレンダリングして返す」というのが基本戦略になります。 SPAをホスティングするCloudFront+S3を作成する S3バケットを作成する バケット名だけ入力し、後はデフォルト値で作成します。 そして、本来であればSPA用のHTML/JS/CSSリソースをアップロードするのですが、今回はLambda@Edgeの動作確認ができれば良かったためパスしました(
[アップデート] Amazon EBSの複数インスタンスへのアタッチが可能になりました!(プロビジョンドIOPS io1ボリュームに限る) | DevelopersIO
コンバンハ、千葉(幸)です。 いくつか制約付きで、EBSボリュームを複数のEC2インスタンスにアタッチ(マルチアタッチ)できるようになりました! Amazon EBS Multi-Attach now available on Provisioned IOPS io1 volumes 目次 目次 制限・考慮事項 やってみた EBSの作成 EC2へのアタッチ OSでの確認 ちなみに おまけ 終わりに 参考サイト 制限・考慮事項 I/Oフェンシングプロトコルに対応していないため、アプリケーション側で同時書き込みの排他制御を担保する必要がある ボリュームタイプはプロビジョンドIOPS(io1)である必要がある マルチアタッチするEC2インスタンスはEBSボリュームと同一アベイラビリティゾーンである必要がある マルチアタッチするEC2インスタンスはNitroベースのインスタンスである必要がある N
![[アップデート] Amazon EBSの複数インスタンスへのアタッチが可能になりました!(プロビジョンドIOPS io1ボリュームに限る) | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0b6b259771afd062b96d939e25c9bdc0c872c381/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-ebs.png)
Amazon S3のイベント通知は「稀に失われる」から「少なくとも1回配信」になっていました | DevelopersIO
こんにちは。サービス部の武田です。Amazon S3 イベント通知は、以前は「稀に失われる」と書かれていましたが現在は「少なくとも1回配信」となっています。ドキュメントの更新履歴を追ってみました。 こんにちは。サービス部の武田です。 AWSではサービスのアップデートなどによって、それまでの常識やベストプラクティスは日々変化します。Amazon S3には イベント通知 という機能があり、オブジェクト作成や削除などをトリガーとして、Lambda関数などを実行できます。 さてこのイベント通知ですが、「たまに抜けることがある」という仕様上の注意がかつて存在しており、頭を抱えた開発者も多いのではないでしょうか。とはいえそれが常識でした。「かつて」と書いたように、実は現在の仕様ではその部分は削除され、代わりに At least once(少なくとも1回配信) となっています。 最近まで知らなかったので
AWSから Log4j脆弱性攻撃の被害が疑われるEC2について通知を受けました | DevelopersIO
AWSチームのすずきです。 log4jの脆弱性を標的とした攻撃による被害が疑われたEC2インスタンスについて、 AWSからのメールでの案内を受ける機会がありましたので、紹介させて頂きます。 AWSからのメール 一部抜粋 From: Amazon Web Services, Inc. no-reply-aws@amazon.com Subject: [Action Required] Irregular Activity in your AWS Account [AWS Account: 000000000000] [US-WEST-2] Your account contains resource(s) that likely have a vulnerable log4j library that are under attack. The following are your affe
個人情報の処理に向く「Amazon EC2」の新機能「AWS Nitro Enclaves」、一般提供開始
Amazon Web Services(AWS)は2020年10月28日(米国時間)、同社のIaaS「Amazon EC2」の新機能「AWS Nitro Enclaves」の一般提供を開始したと発表した。個人を特定可能な情報(PII)や医療、金融、知的財産データなど、機密性の高い情報を簡単かつ安全に処理できる。 AWS Nitro Enclavesは、信頼性の高い、高度に分離された堅牢(けんろう)なデータ処理環境を提供し、ユーザーがアプリケーションの攻撃対象領域を縮小できるよう支援する。 Amazon EC2インスタンスにおいてCPUとメモリの分離を実現している「Nitro Hypervisor」技術を使って作成された仮想マシンを利用する。この仮想マシンは永続ストレージを持たず、管理者も運用担当者もアクセスできず、外部ネットワークとは接続できない。ユーザーのインスタンス(下図のInstan
[Wireshark] sshdumpを使って手元のマシンからEC2インスタンスのパケットキャプチャーをしてみた | DevelopersIO
tcpdumpではなくてWiresharkでパケットを確認したいな こんにちは、のんピ(@non____97)です。 皆さんはリモートのLinuxマシンをtcpdumpではなくて手元のマシンのWiresharkでパケットを確認したいなと思ったことはありますか? 私はあります。 tcpdumpで上手にフィルタリングをすれば良いのでしょうが、そうでなければ高速目grepすることとなり大変です。 そういった時は慣れ親しんだWiresharkが恋しくなるものです。 実はWiresharkでsshdumpを使えば、SSH越しにリモートコンピューターのパケットキャプチャーをすることはご存知でしょうか。 NAME sshdump - Provide interfaces to capture from a remote host through SSH using a remote capture bi
![[Wireshark] sshdumpを使って手元のマシンからEC2インスタンスのパケットキャプチャーをしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/e7315c9ad9380ff38e2e337fa2e7e04f4241d630/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F03%2Fwireshark_1200x630.png)
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 EC2 へのシリアルポートアクセスが開始されました。 私は Solaris 産まれ Solaris 育ちでして、きしめんケーブル片手に全国を飛び回り保守作業をしていたことが懐かしく思い出されます。 サーバーの初期セットアップや HW 障害調査時には、物理サーバー背面のシリアルポートに PC を接続し作業を行っていました。 きしめんケーブルを指した瞬間に Break が走ってマシンが一時停止する、なんていうインシデントもまれによくありました。 どのような機能なのか EC2 インスタンスへの接続は SSH やセッションマネージャーといったネットワーク接続が基本だと思います。 ただ、ブート時にトラブルがありネットワーク接続性が失われる、i
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
EC2からS3へアクセスする4つのルートとコスト - NRIネットコムBlog
SSHキーを使わずにVSCode/Jetbrains系IDEからEC2に接続する方法
PHP_Laravel_とAWS_FargateのDeploy戦略.pdf
Athena+Embulk+BigQueryによるアプリケーションログの分析環境構築
Amazon Linux 2 で「rm -rf /*」を実行してみた | DevelopersIO
S3 + CloudFront でホスティングしている静的 Web サイトをメンテナンス状態にする
NetflixがAWSの権限とアクセスを管理するConsoleMeをオープンソース化
「Athenaで170万円請求」「EC2が復旧できない」 AWSしくじり先生 part.1
闇の深いEC2を、EBSボリューム経由で、闇の深いDockerコンテナに転換する - Qiita
AWS障害、どうすれば回避できた? 冗長性はどこまで? AWSのパートナー企業に聞く
社内開発用EC2インスタンス料金を節約したい|Blog|株式会社COLSIS(コルシス)
TypetalkのEC2インスタンスをインテルプロセッサからARMベースのAWS Graviton2に完全移行。性能向上と費用削減を実現 | 株式会社ヌーラボ(Nulab inc.)
CloudFront+S3なSPAにLambda@EdgeでOGP対応する | DevelopersIO
EC2 シリアルポートアクセスが可能になりました | DevelopersIO