boto3と1Passwordを使って、AWSのMFA認証とスイッチロールを自動化してみた! | DevelopersIO
こんにちは!今回は、AWSのMFA(Multi-Factor Authentication)認証を使い、IAMロールにスイッチしながらS3バケットにアクセスするPythonスクリプトを紹介します。このスクリプトは、AWSのセキュリティベストプラクティスに従い、MFAを使用して一時的なセッションを取得し、S3バケットのリストを取得する方法を示しています。 さらに、1Passwordを活用してワンタイムパスワード(OTP)を自動的に取得する仕組みも組み込んでいるため、非常に便利で安全なアクセスが可能です。AWSのセキュリティを強化したい方や、MFA認証を自動化したい方に役立つ内容になっています。 背景 AWSでは、セキュリティを強化するためにMFAを使用することが推奨されています。MFAを使用すると、ユーザーは通常の認証情報(アクセスキーやシークレットキー)に加えて、ワンタイムパスワード(OT
Amazon Bedrock Knowledge Base は OpenSearch にどのようなインデックスを作成するのか? - Taste of Tech Topics
こんにちは、機械学習チーム YAMALEX の駿です。 YAMALEX は Acroquest 社内で発足した、会社の未来の技術を創る、機械学習がメインテーマのデータサイエンスチームです。 (詳細はリンク先をご覧ください。) 寒くなってきたので、暖房をつけてしまいました。 今回は、Bedrock Knowledge Base のベクトルデータベースとして OpenSearch Serverless を使ったときに、 自動で作成される OpenSearch Serverless のインデックスには何が保存されるのか確認しました。 1. Bedrock Knowledge Base とは 2. OpenSearch Serverless とは 3. 中身を確認する 3.1. デフォルト(固定チャンキング) 3.2. セマンティックチャンキング 3.3. 階層チャンキング 4. OpenSear
S3 の ListBuckets API のレスポンスの CreationDate は(その名前に反して)変更されうる - しなしな記録
タイトルのまんまです(2024/11/08 時点の情報です)。意外な仕様! どういうこと? AWS アカウント内の S3 バケットを列挙したりするのに、aws s3api list-buckets のようなコマンドを利用することがあると思います。そのレスポンスに含まれる CreationDate は、実際の作成日時とは異なるものを返す場合があるようです。 ドキュメント list-buckets — AWS CLI 2.19.3 Command Reference いわく、 CreationDate -> (timestamp) Date the bucket was created. This date can change when making changes to your bucket, such as editing its bucket policy. バケットへの変更(バケッ
Amazon Bedrock Prompt Management is now available in GA | Amazon Web Services
AWS Machine Learning Blog Amazon Bedrock Prompt Management is now available in GA Today we are announcing the general availability of Amazon Bedrock Prompt Management, with new features that provide enhanced options for configuring your prompts and enabling seamless integration for invoking them in your generative AI applications. Amazon Bedrock Prompt Management simplifies the creation, evaluatio
AWS AppSync Events でリアルタイム配信を試してみる | 豆蔵デベロッパーサイト
先月末にAWS AppSyncに新しいAPIが導入されました。 AWS AppSync Events の発表: サーバーレス WebSocket API で、あらゆる規模の Web およびモバイルのリアルタイムエクスペリエンスを実現 AppSyncといえばGraphQLのマネージドサービスでしたが、新しくWebSocketベースのEvent APIという選択肢が追加されました。 Event APIはWebSocketベースなので、イベント発行は即時にクライアント側で受信できます。Pub/Subモデルなので、特定のクライアントだけでなく、ブロードキャストやマルチキャストでのイベント送信にも対応します。 現状では双方向WebSocket・データソース統合やLambdaイベントハンドラが未サポート等各種制約はありますが、今の状態でも色々なユースケースで使えそうな気がしたので使用感を試してみました
Amazon Bedrock 上で基盤モデルのコストと利用状況を追跡できる社内 SaaS サービスを構築する | Amazon Web Services
Amazon Web Services ブログ Amazon Bedrock 上で基盤モデルのコストと利用状況を追跡できる社内 SaaS サービスを構築する この記事は、Build an internal SaaS service with cost and usage tracking for foundation models on Amazon Bedrock を翻訳したものです。 企業は、各事業部門 (LOB) に基盤モデルへのアクセスを提供することで、生成 AI の可能性を迅速に引き出そうとしています。IT チームは、集中管理とオブザーバビリティを提供しながら、事業部門が迅速かつ俊敏にイノベーションを起こせるよう支援する責任があります。例えば、チーム間の基盤モデルの使用状況を追跡し、使用料を請求し、事業部門の関連するコストセンターに可視性を提供する必要があるかもしれません。さらに
概要 Amazon Inspectorを有効化してから、EC2スキャン結果に対するSBOMエクスポートまでの流れを備忘録として書き起こす。 前提 EC2インスタンス Amazon Linux 2023 (al2023-ami-2023.6.20241031.0-kernel-6.1-x86_64) 公式 Amazon Inspectorを使ったSBOM出力手順:https://docs.aws.amazon.com/ja_jp/inspector/latest/user/sbom-export.html アクセス許可・ポリシー周りの設定:https://docs.aws.amazon.com/ja_jp/inspector/latest/user/findings-managing-exporting-reports.html 手順 Amazon Inspectorの有効化 ナビゲーション
1.はじめに前回、プロジェクトのメンバーにIAMユーザを払い出す際、 MFA認証していないと、最低限の機能しか使いない方法を記載しました。 MFA認証しいない場合は、以下のAction以外が全て拒否されます。 "iam:CreateVirtualMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ListVirtualMFADevices", "iam:ResyncMFADevice", "sts:GetSessionToken", ※今回使っています "iam:ChangePassword" { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:CreateVirtualMFADevice
Amazon Personalizeでのデータインポートを成功させるためのS3バケットポリシー設定ガイド | DevelopersIO
こんにちは、ともぞうです。今回は、Amazon Personalizeでのデータインポートを成功させるためのS3バケットポリシーの設定方法について解説します。 Amazon Personalizeは機械学習を用いたパーソナライズされたレコメンデーションを提供するサービスですが、データのインポートには、「①Amazon Personalize 向けの IAM ロールの作成」と「②S3バケットポリシーの設定」の両方が必須です。 この記事では、それらを設定する方法について説明します。 ①Amazon Personalize 向けの IAM ロールの作成 信頼ポリシー { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "personalize.amazonaws.com"
Microsoft Sentinel を用いて、Amazon SQS サービス経由で AWS CloudTrail ログを収集、分析してみよう - Qiita
Microsoft Sentinel を用いて、Amazon SQS サービス経由で AWS CloudTrail ログを収集、分析してみようMicrosoftAWSCloudtrailMicrosoftSentinel 1. はじめに Microsoft Sentinel では、コネクターを用いて様々なログを収集することが出来るのですが、AWS Cloud 向けに S3 Bucket の Amazon SQS 経由によるデータコネクターがリリースされていました。Microsoft の Document では分かり難いところもあるので、手順について整理も含めて記事にしてみました。 2. 環境について Microsoft Sentinel と AWS Cloud のデータ収集の接続構成図は次のようなイメージです。 AWS 側で対象のデータソースを Amazon S3 Bucket に保管収集
こんにちは、くふうAIスタジオの@0tanyです。トクバイサービス のSREを担当しています。 私は長らくオンコールローテーションに参加していましたが、この度、体制変更によりオンコール対応から離れることになりました。 この記事は、新たにオンコールを担当する新人への引き継ぎ資料をベースに社外向けに再構成したものです。対応に役立つ実践的な知識も含めているので、現場で役立つヒントを見つけていただければ幸いです。 1. オンコール対応とはなんぞや?トクバイでは複数の監視システムよりアラート(あるいはPager)を発報させています。主たる監視システムは Grafana(+Prometheus) / CloudwatchAlarm / StatusCake です。 監視アラートは以下のような状態を早期に検知させるためのもので、これらの状態に対する調査・対処を行うのがオンコール対応です。 システムに問題
aws-vault のメモ。概ね USAGE.md を見れば十分ですが WSL で使用する場合の特有の問題などもあります。 aws-vault/USAGE.md at master · 99designs/aws-vault pass バックエンド ずっと昔は aws-vault で認証情報を保存するバックエンドとして Linux の CLI のみの環境だと aws-vault 独自の暗号化ファイルしか無く、その場合は環境変数 AWS_VAULT_FILE_PASSPHRASE にパスワードを持たせないことには使い勝手が悪く、実質のところ暗号化にあまり意味がありませんでした。 いつからかバックエンドとして pass というパスワードマネージャーが指定できるようになりました。 Pass: The Standard Unix Password Manager pass なら gpg 鍵で暗号化
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要 AWS Athenaを利用して、S3にあるELBのアクセスログを調査するとき、スキャンするデータ量が多すぎると予期しないコストが発生してしまうかもしれません。 Athenaでは、クエリごとのデータ制限と1日の閾値を設定できるので、その方法を紹介いたします。 準備手順 Athenaの準備手順は以下を参考にしてください。 基本的には、S3、ELBのアクセス設定に問題がなければ、 ワークグループを作成し、その中にデータベースを作成、これで準備OKです。 あとはクエリ実行するだけです。 アラート設定方法 Athenaは、「実行したクエリで
'); doc.close(); } if (!doc) throw Error('base not supported'); var baseTag = doc.createElement('base'); baseTag.href = base; doc.getElementsByTagName('head')[0].appendChild(baseTag); var anchor = doc.createElement('a'); anchor.href = url; return anchor.href; } finally { if (iframe) iframe.parentNode.removeChild(iframe); } }()); } // An inner object implementing URLUtils (either a native URL // ob
Amazon OpenSearch Service が次世代 OpenSearch UI を発表 | Amazon Web Services
Amazon Web Services ブログ Amazon OpenSearch Service が次世代 OpenSearch UI を発表 本記事は、2024/11/7 に公開された Amazon OpenSearch Service launches the next-generation OpenSearch UI を翻訳したものです。翻訳は Solutions Architect の山下が担当しました。 Amazon OpenSearch Service は、複数のデータソースにわたる包括的な可観測性を実現する、最新の運用分析機能をリリースしました。これにより、OpenSearch や他の統合されたデータソースから一括でインサイトを得ることができます。このリリースでは、メジャーなユースケースに合わせた体験を提供し、アクセス制御をサポートする OpenSearch Workspa
チャネルコーポレーションのアーキテクチャモダナイゼーション:Amazon DynamoDB 活用事例パート 2 ストリーム | Amazon Web Services
Amazon Web Services ブログ チャネルコーポレーションのアーキテクチャモダナイゼーション:Amazon DynamoDB 活用事例パート 2 ストリーム (本記事は 2024/11/06 に投稿された How チャネルコーポレーション modernized their architecture with Amazon DynamoDB, Part 2: Streams を翻訳した記事です。) この記事は、チャネルコーポレーションの TaeHun Yoon と Changsoon Kim と共同で執筆されました。 チャネルコーポレーション は、 B2B ソフトウェア・アズ・ア・サービス( SaaS )スタートアップ企業で、オールインワン AI メッセンジャー「 チャネルトーク 」を運営しています。このシリーズの第1部では、 NoSQL 採用の動機、ビジネス成長に伴う技術的問
【コスト削減したい方必見】簡単かつ汎用的にAWSリソースを止める方法 ~AWS100本ノック~ 11/100 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに みなさんコスト削減してますか? AWSを構築する上で、出来るだけコスト削減したいっていうのはみなさんよく感じることだと思います。 開発環境でも意外とお金かかりますよね...(ぼそっ) しかし、平日の夜間や土日は使わないのに、EC2やRDSをずっと動かしっぱなしの方も、結構いるんじゃないでしょうか? そこで今回は不要な時間に停止し、必要な時間に起動する複数のアカウントで使いまわせる方法をご紹介します。 いきなり結論になりますが、最終形は以下になります。 定期的に起動・停止をする方法 定期的にAWSリソースを起動したり・停止したり
はじめに こんにちは。 ディーネットの牛山です。 今日は、眠育の日です、皆さま快眠でしたでしょうか。 それはさておき、今回は、Amazon SESメールログをAmazon Athenaを使用し、解析してみます。 本記事では、Amazon Athenaクエリを使用した部分に焦点を当てます。 その他、設定については割愛していますのであらかじめご了承ください。 構成イメージ Amazon SESのメール送信ログをAmazon Data FirehoseからS3バケットに蓄積し、Amazon AthenaよりS3バケットを解析する流れとなります。 Amazon Athenaへテーブルを作成 以下、過去記事で紹介しております、S3へのアクセス設定は、SESメールが吐き出されているS3バケットに変更する以外同一ですので、S3アクセス設定解説は割愛します。 過去記事 テーブル作成 エディタタブより以下ク
Moto を使って Cognito の cognito-idp API をローカル環境で試す - kakakakakku blog
Amazon Cognito を操作するコード/テストを実装するときに LocalStack を使いたいな〜と思うけど,Amazon Cognito は LocalStack Pro Edition でサポートされていて,LocalStack Community Edition では使えないと言う課題がある. docs.localstack.cloud もちろん LocalStack Pro Edition を契約して使うという選択肢もありつつ,単純に Amazon Cognito の基本的な API を実行できれば良いのであれば Moto を使うという選択肢もある❗️ github.com 例えば Amazon Cognito の cognito-idp API だと以下のようなカバレッジになっていて,Amazon Cognito User Pools の操作など主要な API はサポー
resource "aws_lambda_function" "sample_function" { filename = "lambda/upload/sample_function.zip" function_name = "sample_function" role = "${aws_iam_role.lambda_sample_function.arn}" handler = "lambda_function.lambda_handler" source_code_hash = "${base64sha256(file("lambda/sample_function/upload.zip"))}" runtime = "python3.6" memory_size = 128 timeout = 30 } data "archive_file" "sample_function"
Amazon Bedrock Prompt Management が一般提供開始になりました | DevelopersIO
こんにちは。森田です。 以下のアップデートで Amazon Bedrock Prompt Management が GA となりました! Amazon Bedrock Prompt Management については、以前よりプレビューとして公開はされていましたが、GAのタイミングで新しい機能が利用できるようになっています。 プレビュー時との比較 GAで以下の機能が新たに利用可能になりました。 モデル呼び出し時のプロパティ指定が拡大 システムプロンプト、会話履歴、ツール構成の指定が可能に 作成した Prompt をモデル呼び出し時に指定可能 Converse API、InvokeModel APIで利用可能 プレビュー時の詳細については以下をご参照ください。 モデル呼び出し時のプロパティ指定可能 では、追加された内容を AWS マネジメントコンソールから確認していきます。 以下のように新たに
Amazon Location Service の Routes、Places、Maps 用の新しい API の発表 | Amazon Web Services
Amazon Web Services ブログ Amazon Location Service の Routes、Places、Maps 用の新しい API の発表 11 月 8 日、Amazon Location Service は、Routes、Places、Maps 機能の能力を拡張および改善する 17 個の強化された新たな API をリリースしました。これにより、開発者にとって総合的かつ効率的なエクスペリエンスが実現します。機能を強化し、移行を簡素化するこれらの更新により、Amazon Location Service は幅広いアプリケーションでさらに利用しやすく、便利になりました。 静的および動的レンダリングオプションを使用して、高度なルート最適化、通行料計算、GPS トレーススナップ、さまざまなマップスタイルにアクセスできるようになりました。また、関心のある地点に関する豊富で詳
#HashiTalks Japan 2024 で「TerraformでEKSを操る実践的Tipsと効率化テクニック」という登壇をしました | DevelopersIO
HashiTalks: Japanにて、「TerraformでEKSを操る実践的Tipsと効率化テクニック」というタイトルの発表をいたしました。ご視聴いただいたみなさま、またこのような機会をくださったHashicorpのみなさま、ありがとうございました! 本エントリはその発表内容をブログ用に再編したものになります。 TerraformでEKSを操る実践的Tipsと効率化テクニック 私は現在参画中のプロジェクトで約4年間EKSを使用しており、IaCツールとしてTerraformも採用しています。 4年の経験でEKSワークロードのIaCツールとしてTerraformを使う際の知見が色々貯まってきたので、今回共有したいと思います。 今回お伝えしたいこと お伝えしたいことは以下の3つになります。 applyを分ける 公開モジュールを最大限活用する EKS Blueprintsを参考、利用する さっ
AWS Organizationsのサービスコントロールポリシー(SCP)で組織内(OU)のアカウントの権限を制限する | IT王子の技術ブログ
サービスコントロールポリシー(SCP)とは OrganizationsのOU内のアカウントに対して権限を制限できる機能です。 サービスコントロールポリシーとIAMポリシーの両方で許可されたポリシーのみ実行することができます。 今回は下記リンク中の 「例: リクエストされたAWSリージョンに基づいて へのアクセスを拒否するAWS」 を設定していきます。 サービスコントロールポリシーの例 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps_examples.html#example-scp-deny-region サービスコントロールポリシー(SCP)有効化 Organizationサービスの[アカウント管理]-[サービスコントロールポリシー]の「有効化」ボタンをク
はじめに テクニカルサポートの 片方 です。 EC2 インスタンスを起動する際に、Insufficient Instance Capacity エラーが発生して(利用予定のインスタンスタイプのリソースが AWS 基盤でキャパシティー不足の状況)希望の EC2 インスタンスタイプが起動できないことがあります。 本エラーに関する回避方法としては複数ございますが、今回はその中の一つオンデマンドキャパシティ予約を Lambda 関数を利用して実行したいと思います。 その他の回避方法につきましては、弊社ブログをご確認ください。 実装してみた 以下の順番で実装します。 実行ロール作成 Lambda 関数作成 注意点して、Insufficient Instance Capacity エラーは希望されるインスタンスタイプの在庫が AWS にて枯渇しておりオンデマンドキャパシティ予約事態もできないことがある
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon InspectorからSBOMを出力する - Qiita
MFA認証+AWS CLIの利用手順が面倒なのでスイッチロールで使い易くする|dbviewer.zigen
新人オンコール担当者への引き継ぎ資料:あるいはシステム障害時のノウハウメモ|0tany41
aws-vault の tips - ngyukiの日記
【AWS】Athenaで1日の使用量の閾値を超えたらSlackに通知する流れ - Qiita
Mr. マクマホン: 悪のオーナー | Netflix (ネットフリックス) 公式サイト
Amazon SESメールログをAmazon Athenaで分析してみた - DENET 技術ブログ
TerraformでLambdaをデプロイするときの小技 - Qiita
Lambda 関数を利用して、オンデマンドキャパシティ予約を実行してみた | DevelopersIO