エンジニアを始めてから便利だったツールまとめ
概要 エンジニアになってから出会った便利ツール・アプリを備忘録としてまとめました。 ※WEB用ツール多め GUIツール・アプリ デスクトップ上で動作させるやつ。 Authy https://authy.com/ 2FAアプリ。Multi-Deviceという複数端末で使える機能があり、PCでログインする際の2FAをPCのみで完結できるので便利。 Hyper https://hyper.is/ コンソールアプリ。テーマ機能やプラグイン追加で自分の好みに環境を整えやすくて見た目がよい。 設定を.hyper.jsファイルで管理するので、gitにて設定管理ができて便利。 VSCode https://code.visualstudio.com/ 言わずもがなの高機能コードエディター。特に理由がなければ基本的にはプログラミングするならこれを使えばいいんじゃないかな。 豊富なプラグインや設定で、Hype
読んでみたら最高だった「クラウド系オススメ技術同人誌」を7冊紹介します #技術書典 - 憂鬱な世界にネコパンチ!
2020年4月5日に閉幕した技術書典 応援祭では、たくさんの技術同人誌が頒布されました。 本記事ではAWS・コンテナ・CICDをテーマにしたオススメの技術同人誌を紹介します。 個人的な趣味趣向から、特定領域について広く網羅している本ばかりになりました。 なお本記事で紹介している本はすべてBOOTHから購入できます。 リンクも貼ってあるので、気になる本はぜひ買いましょう。 どの本も1000円か1500円でとってもお安いので、全部買ってもいいぐらいですよ! クラウド破産を回避するAWS実践ガイド いきなり自著の紹介からスタートしますが、『クラウド破産を回避するAWS実践ガイド』ではAWSアカウントのセキュリティについて解説しています。「AWSなんか怖い…」を「AWSなど恐るるに足らず!」に変える本です。AWSは気になってるけど勇気が出ないという人・AWSアカウントは持ってるけどセキュリティが放
より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi(クラッシー) - 子どもの無限の可能性を解き放ち、学びの形を進化させる
1.はじめに 2020年4月(昨年)、当社サービス「Classi」に不正アクセスがあった件に関し、過去一年間、弊社はこれを重く受け止め、お客様に安全にClassiをご利用いただく事を当社事業の最優先事項とし、各種対策を年間を通じ実施してまいりました。 今年度も、昨年度から継続して、サービスのセキュリティを重視した全社的な対策を実行していく所存でございますので、以下に発生直後の対応、及び今日までに実行いたしましたセキュリティ強化対策を含めて、今後の取り組みについてご報告いたします。 現在に至るまで同様の不正アクセスは起こっておらず、セキュリティ状況についても外部企業の第三者調査の結果、他社と比較して標準水準以上に強化できていると評価いただいております。また2021年3月のISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の継続審査 においても、マネジメントシステ
踏み台の管理コストを削減!ECS ExecとTerraformでつくる本番オペレーション環境 - LIVESENSE ENGINEER BLOG
こんにちは。マッハバイトを運営するアルバイト事業部エンジニアの mnmandahalf です。 みなさんは本番DBへのSQLの手動実行等の作業をどんな環境で行なっていますか? 通常はDBにアクセスする用の踏み台サーバにSSHログインして作業を行うケースが多いと思います。 マッハバイトでも最近まで(現在もDBによっては)踏み台を使用していたのですが、最近新・本番作業環境を導入したのでその背景とつまづきポイント等についてご紹介します。 これまでのマッハバイトにおける本番作業 これからのマッハバイトにおける本番作業 TerraformでのECS Execの設定方法 ECSタスクロールにアタッチするポリシードキュメント ECS Execを実行するのに必要なIAMにアタッチするポリシードキュメント ECSクラスタでexecute-commandの監査ログをCloudWatchに流し、ログをKMSキー
AWS×IaC本 『クラウド破産を回避するInfrastructure as Code実践ガイド』 を出します #技術書典 - 憂鬱な世界にネコパンチ!
AWSアカウントセキュリティをIaCで実装する『クラウド破産を回避するInfrastructure as Code実践ガイド』という本を出します。 BOOTHと技術書典9から購入できます。 booth.pm techbookfest.org どんな本? 本書のテーマはAWSアカウントセキュリティとInfrastructure as Codeです。 実装技術にはTerraform・Serverless Framework・Go言語を採用し、サンプルコードは150以上用意しています。 特に次のような人にオススメです。 クラウド破産の記事を見るたびにドキドキする AWSアカウントを安心して運用できるよう、セキュリティを向上させたい セキュリティでもInfrastructure as Codeを実践したい AWSアカウントセキュリティの実装スキルを効率よく習得したい TerraformやServe
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS Valutとは AWSのアクセスキー/シークレットキーを安全に保存・利用するためのOSSソフトウェアです。 AWS CLIだけではなく、boto3等AWS SDKを用いた開発、 Terraform等のサードパーティアプリケーションでも利用することが出来ます。 AWS VaultはIAM認証情報をOSのキーストアに保存し、認証情報の利用時
この記事はクラウドワークス アドベントカレンダー6日目の記事です。 前日の記事は@bugfireのgithub-script は便利でした。GitHub Actionsでのちょっとした作業が捗りますね! SREチームの@kangaechuです。 気がつくと入社から2年が経ちました。2年前のAdvent Calendarでは ぴよぴよSREという記事を書くくらい何もわかっていませんでしたが、ようやく自分なりに動けるようになってきました。 この記事ではcrowdworks.jpのSREチームで、この2年間でどのようなことをやっていたのかを振り返ります。 SREチームの範囲は幅広く、いろいろなことをやっていました。今回はDocker化とTerraformの2つの取り組みについてご紹介します。 なんで1年じゃなく2年かって?去年はaws-vault についてのあれこれを書いたからだよ。 Docke
【書評】意図しない請求を防ぐためのノウハウが凝縮!「クラウド破産を回避するAWS実践ガイド」レビュー | DevelopersIO
技術書典応援祭で出展されていた技術同人誌「「クラウド破産を回避するAWS実践ガイド」についての書評です。 オペレーション部 江口です。 現在、オンラインで技術同人誌のオンライン即売イベントである「技術書典応援祭」が開催されています。(期間:4/5まで) この技術書典応援祭で、「クラウド破産を回避するAWS実践ガイド」という本が出展されており、気になったため購入しました。著者はtmknomさん、あの名著「実践Terraform」を書いた方です。期待が高まりますね! 読んでみた感想ですが、読み終えた直後に自分のTwitterでつぶやいたのでそれをそのまま引用しておきます。 #技術書典 応援祭で買った「クラウド破産を回避するAWS実践ガイド」、ざっと読んだ。予算の管理はもちろん、乗っ取りを防ぐためのセキュリティ対策をどう講じるかを広く説明していてすごく良き。とりあえずここに書かれていることを実践
2022年4月16日紙版発売 2022年4月13日電子版発売 菊池修治,深澤俊,谷山優依,洲崎義人,伊豫谷優希 著 A5判/288ページ 定価2,420円(本体2,200円+税10%) ISBN 978-4-297-12751-0 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto この本の概要 最短最速で今必要な知識を身につけるために,「情報のハブ」というコンセプトで書き下ろした新しいAWS入門書です。 「情報が多すぎて何から手を付ければいいかわからない」 「ボリュームのある資料のうち今自分に必要な情報はどれかがわからない」 「そもそもこの資料でよいのか,ほかに読んでおくべき資料があるのかもわからない」 新しい技術を学ぼうとすると,こんなハード
KOBA789 です。寒い日が続きますね。こうもあまりに寒いとアイスを食べたくなるものです。昨日の私はその衝動に抗えず、コンビニでソフトクリーム(チョコ味とのミックス)を買ってきて食べました。余計に寒くなったのでもう二度とやりません。今はおでんが食べたいです。よろしくお願いします。 リモートから手元に向かってコマンドを実行したい さて、寒いとアイスが食べたくなるように、リモートマシンに SSH でログインしていると手元でコマンドを実行したくなるものです。せっかくリモート接続してるのにね。人って不思議です。 たとえば、SSH 先の Linux マシンで code って打ったら手元の MacBook Air で VS Code が起動してほしいわけです。VS Code の Integrated Terminal 内ならできますけど、そもそも VS Code のウィンドウが1枚も開いていないとき
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
オペレーション部加藤(早)です。 AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 はじめに AWSアクセスキー/シークレットキーの漏洩により不正利用が発生すると、緊急の対応が必要な上かなりの工数も取られて相当しんどいです。 なので本当は漏洩させないのが1番です。が、万が一の時慌てて二次被害を産まないよう、対応について予習をしておきましょう! 本記事では、以下のAWS公式ドキュメントを参考にご
クラウドワークス SREチームの @kangaechu です。アンタッチャブルのコンビ復活に目が離せないこの頃です。 クラウドワークス Advent Calendar 2019の4日目として、最近SREチーム内で使われるようになったツール、 aws-vault を紹介します。 背景 aws-vaultの話をする前に、少しだけAssumeRoleの話をします。 AssumeRole assumeは引き受けるなどの意味を持つ単語で、AWSを使用するユーザやリソースが本来持っている権限とは別の権限を引き受けることができるしくみです。ものすごいざっくりいうと、sudoコマンドのような感じです。AssumeRoleはどのようなときに便利なのでしょうか。 マルチアカウントでのIAMユーザ集約管理 リソースの分離や課金管理などを目的として、最近はAWS Organizationsを使用したマルチアカウン
Terraform・Serverless Framework・GoでAWSアカウントセキュリティを実装します。 詳細はブログからどうぞ! https://nekopunch.hatenablog.com/entry/2020/09/11/084342 【目次】 1章 AWSセキュリティ戦略 2章 AWS CLI入門 3章 Terraform入門 4章 git-secretsの導入 5章 AWSアカウント保護 6章 IAMグループによる権限管理 7章 パスワードポリシーの厳格化 8章 AWS Budgetsによる請求アラート 9章 ガードレールの構築 10章 S3による安全なログ管理 11章 IAMロールによる権限付与 12章 CloudTrailによる証跡管理 13章 AWS Configによる構成管理 14章 SNSによるメール通知 15章 GuardDutyによる脅威検知 16章 IA
『クラウド破産を回避するAWS実践ガイド』 を技術書典8で頒布します #技術書典 - 憂鬱な世界にネコパンチ!
『クラウド破産を回避するAWS実践ガイド』という本を、技術書典8「2日目の3/1」に頒布します。 AWSではアカウントを作成すると、あらゆることができるようになります。 しかし、いきなりクラウドの世界に放り出され、たいしたガイドはありません。 そこで本書ではAWSアカウント作成後に、すべての人が実践すべきプラクティスを体系的に解説し、ハンズオン形式で学びます。 techbookfest.org 概要 「クラウド破産」はAWSなどのクラウドサービス利用者が、意図せず高額請求されることを指す俗語です。 AWSから数十万〜数百万円の請求がきた、みたいな記事を見かけたことがある人も多いでしょう。 この手の記事は、我々AWS利用者を震え上がらせるには十分です。 そこで本書ではAWS初級者・中級者向けに、クラウド破産を回避する方法を学びます。 ルートユーザーのパスワード管理からはじまり、CloudTr
The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature since the security you need depends on your company, product, and assets. (e.hasAttribute('/')) ? e.re
対象者 「OSSにコントリビュートしたことない・・・本当はやりたい・・・!!!でもまず何をすればいいのかわからない・・・最初の一歩どうすればいいんだ・・・!」 「OSSこんとりびゅーたーーーってかっこいい!!!!俺も〇〇のコアコントリビューター(キリ って言いてぇ!」 こんな事を心のなかでちょっと思ってるような、でも具体的な一歩を動かせてない人向けです。ちなみに↑の思考は過去自分が思ってた心の中の声です。過去というかこの記事を書いている現在進行系で思っています。 何を話す? OSSにコントリビュートしたい!PRの出し方とか、gitの使い方とか、そこらへんのやり方はわかるんだけど、どうしても最初の一歩が踏み出せない!、どんな感じで進めていけばいいのかわからない!という人に対して、自分の過去の知見から 「こんなふうな視点でで取り組むといいかもしれない」 という事柄を書いていきます。これをきっか
![[最初の一歩]OSSにチョット🤏だけコントリビュートできるようになってきて見えてきた個人的コツを書きます](https://cdn-ak-scissors.b.st-hatena.com/image/square/d51a9054bb30660869461d57bbc93a3ab24b4601/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--LT7_iZT_--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E6%25259C%252580%2525E5%252588%25259D%2525E3%252581%2525AE%2525E4%2525B8%252580%2525E6%2525AD%2525A9%25255DOSS%2525E3%252581%2525AB%2525EF%2525BE%252581%2525EF%2525BD%2525AE%2525EF%2525BD%2525AF%2525EF%2525BE%252584%252520%2525E3%252581%2525A0%2525E3%252581%252591%2525E3%252582%2525B3%2525E3%252583%2525B3%2525E3%252583%252588%2525E3%252583%2525AA%2525E3%252583%252593%2525E3%252583%2525A5%2525E3%252583%2525BC%2525E3%252583%252588%2525E3%252581%2525A7%2525E3%252581%25258D%2525E3%252582%25258B%2525E3%252582%252588%2525E3%252581%252586%2525E3%252581%2525AB%2525E3%252581%2525AA%2525E3%252581%2525A3%2525E3%252581%2525A6%2525E3%252581%25258D%2525E3%252581%2525A6%2525E8%2525A6%25258B%2525E3%252581%252588%2525E3%252581%2525A6%2525E3%252581%25258D%2525E3%252581%25259F%2525E5%252580%25258B%2525E4%2525BA%2525BA%2525E7%25259A%252584%2525E3%252582%2525B3%2525E3%252583%252584%2525E3%252582%252592%2525E6%25259B%2525B8%2525E3%252581%25258D%2525E3%252581%2525BE%2525E3%252581%252599%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Au-yas%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyL2Y2ZmNhMDZhNTguanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
AssumeRoleで取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマった話 | DevelopersIO
こんにちは、CX事業本部の若槻です。 前回投稿した次の記事の執筆のための検証の際に、 AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | Developers.IO 記事で紹介しているワンライナーにより取得した一時クレデンシャルの情報を環境変数にセットしてもAWS認証が通らずハマったので、その際の話を共有します。 事象 前述の記事で紹介している次のコマンドを実行して、AssumeRoleで取得した一時クレデンシャルの情報をを環境変数AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEYおよびAWS_SESSION_TOKENにセットしました。 % target_profile=<Assume先プロファイル名> % mfa_code=<6桁のMFAコード> % AWS_STS_CREDENTIALS=`aws st
この記事は Retty Advent Calendar 2022 Part1 の14日目の記事です。昨日は今井さんの『ストーリーポイント定規を作ってみた』でした。 今年も Part2 があるのでこちらもよろしくお願いします。自分は Part2 の16日にも記事を書きます。 はじめに aqua について チュートリアル 1. aqua のインストール 2. ツールの追加 2.1 Registry とは 2.2 aqua.yaml の生成 2.3 aqua generate によるツールの追加 3. ツールのインストールと実行 aqua のここが便利! バージョンの指定、切り替えが簡単にできる バージョン切り替え時の挙動について バージョンの指定について aqua generate -s の利用 aqua.yaml による設定の共有ができる 設定ファイルの読み込みについて Renovate に
Terraformで構築する機械学習ワークロード(Batch on Fargate編) | DevelopersIO
こんちには。 データアナリティクス事業本部 インテグレーション部 機械学習チームの中村です。 今回も「Terraformで構築する機械学習ワークロード」ということで、前回の記事ではLambdaを使いましたが、今回はその処理をBatch on Fargateに載せてみたいと思います。 前回記事は以下です。 構成イメージ 構成としては以下のようなものを作成していきます。 前回との違いとしては、まずLambdaの代わりにBatch on Fargateを使う点です。 Fargateのタスク(ジョブ)上のコンテナイメージで物体検出モデルの一つであるYOLOXを動かしていきます。 また、それ以外にもBatchを使用する場合は、S3イベントとBatchの間にEventBridgeが必要となります。 動作環境 Docker、Terraformはインストール済みとします。 Terraformを実行する際の
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
はじめまして、ソフトウェア・エンジニアの松岡です。 私はコマース事業部で先日に発表したネットスーパー機能のインフラ、バックエンド、たまにiOSなどわりといろいろなことを担当しています。 また今年の7月にサービスを終了したクラシルストアでは開発だけでなく、販売する商品の管理などストアの運営や、カスタマーサポートなどもやってました。 いろいろなことをやることは大変ですが、視点が増えることで新たに気づくことや考えが深まることがあり、そこには大変さ以上の恩恵があるので好きでやっています。 これは「dely #1 Advent Calendar 2020」の6日目のエントリーです。 「dely #2 Advent Calendar 2020」もあるのでぜひご覧ください。こちらの今日のエントリーはfukuさんのエンジニアの僕が初めてプロダクトマネージャーをする上で特に意識したことです。大作でした、最高
はじめに opは1PasswordのCLIツールで簡単なセットアップでCLIから1Passwordの機能を利用可能です。opで各種の操作を行うにはsignin コマンドで取得できるトークンが必要ですがこのトークン自体を管理する機能はopにはありません。そこで取得したトークンをキャッシュするラッパーツールを作成してみました。 opc 作成したツール(opc)のコードはGitHubで公開しています。 使い方は以下の通りです。ACCOUNT にはop signin listで表示されるアカウント名を指定します。 USAGE: opc [FLAGS] <ACCOUNT> FLAGS: -h, --help Prints help information --refresh force refresh token cache -V, --version Prints version informat
こんにちは! dely, Inc.で新規事業開発をしている奥原 (@okutaku0507) といいます。役割としては、プロダクトマネージャー (PdM) 兼エンジニアと言った方がわかりやすいかも知れません。 この記事は「dely #1 Advent Calendar 2020」の7日目の投稿です。 6日の投稿は先日ネットスーパー機能をリリースしたコマース事業部の松岡さんが書いた「VS Codeで作るAWS Vault付きのポータブルなTerraform環境」でした。Terraform環境を簡単に構築する方法を紹介してくれていて、コードサンプルもありわかりやすいので、是非読んでみてください。 今年は「dely #2 Advent Calendar 2020」もあるので、是非お楽しみください。 はじめに僕はdely, Inc.に入社した2016年9月からずっとサーバーサイド (Ruby on
この本の概要 ソフトウェア開発の今に焦点を当て,実践で活きる本物の事例をまとめた入門書。第一線の開発者による全面書き下ろし。 AIを筆頭に,機械学習/深層学習分野の勢いは加速する一方です。そんななか,多岐にわたる実行環境,モデル学習や推論の段階で異なる特性を持つ各成果物,精度と性能,多種多様な大規模データ処理など,今の機械学習システムの開発は,従来のソフトウェア開発とは異なる面を持ち合わせています。 本書では,そんな「機械学習時代のソフトウェア開発」にスポットを当て,とくに注目度の高いゲームアプリ,大規模インフラ,エッジの三つの切り口で技術情報を徹底解説。合わせて,気になる開発環境例も盛り込みました。時代へ適応し技術力の進化を遂げたい,そんな開発者の方々に向けて,機械学習を取り込んだシステムの全体像から実用的な開発テクニックまで,これまでと大きく変わる部分,意外と変わらない部分が見えてくる
![Practical Developers ――機械学習時代のソフトウェア開発[ゲームアプリ/インフラ/エッジ編]](https://cdn-ak-scissors.b.st-hatena.com/image/square/f08ca6965820fff8827624336273fdaaa5ca006e/height=288;version=1;width=512/https%3A%2F%2Fimage.gihyo.co.jp%2Fassets%2Fimages%2Fogp%2F2019%2F9784297107444.jpg)
この記事は GLOBIS Advent Calendar 2019 - Qiita の9日目です。 7月に GLOBIS へ SRE として参画してから、集中的に取り組んできたことの1つである「AWSマルチアカウントの構成や運用効率化」に関して書いていきます。 AWS マルチアカウント構成について GLOBIS では AWS アカウントを環境ごとに分ける構成を取っています。各サービスにつき開発、ステージング、本番環境という形で 3 アカウントを設けており、現在その総数は 20 に届こうかというところです。私が参画し始めた後にもアカウントは増えています。 マルチアカウント構成はポピュラーな AWS アカウントの使い方だとは思いますが、 GLOBIS の場合以下のメリットを感じています。 GLOBIS はサービスごとに開発チームが分かれており、各チームへ的確に分割された AWS IAM 権限を
【お知らせ】 現在はBOOTHで頒布してます。 https://booth.pm/ja/items/1994587 【概要】 本書ではAWS初級者・中級者向けにセキュリティについて解説します。次のような人にとって、特に有益です。 ・AWSに興味はあるけどなんとなく怖い ・クラウド破産の記事を見るたびにドキドキする ・セキュリティの重要性は理解しているけど、実践はできていない 【目次】 第I部 基礎知識 1章 クラウド破産 2章 AWS 第II部 AWSアカウントの保護 3章 AWSアカウント保護戦略 4章 ルートユーザーのパスワード管理 5章 ルートユーザーのMFAによる保護 6章 IAMによるアクセス管理 7章 パスワードポリシーの厳格化 8章 請求管理の最適化 9章 AWS Budgetsによるコスト管理 10章 登録情報の最新化 第III部 ガードレールの構築 11章 ガードレール構
AssumeRole(スイッチロール)で一時クレデンシャルを取得して環境変数にセットするワンライナー | DevelopersIO
こんにちは、CX事業本部の若槻です。 今回は、AWS CLIでAssumeRole(スイッチロール)により一時クレデンシャルを取得して環境変数AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKENにセットしてAWS接続時の認証に利用可能とするワンライナーを作ってみたのでご紹介します。 前提 AWSプロファイルが次の通り設定済みであること。(Assume先プロファイルのmfa_serialは必要な場合のみ) ~/.aws/config [default] region=ap-northeast-1 output=json [profile <Assume先プロファイル名>] region = ap-northeast-1 mfa_serial = arn:aws:iam::xxxxxxxxxxxx:mfa/hoge role_arn
本書ではAWS初級者・中級者向けにセキュリティについて解説します。次のような人にとって、特に有益です。 ・AWSに興味はあるけどなんとなく怖い ・クラウド破産の記事を見るたびにドキドキする ・セキュリティの重要性は理解しているけど、実践はできていない AWSではアカウントを作成すると、あらゆることができるようになります。しかし、いきなりクラウドの世界に放り出され、たいしたガイドはありません。そこで本書ではAWS利用者全員が実践すべきプラクティスを体系的に解説し、自ら手を動かしながら学びます。 試し読み無料で試し読みできます。ぜひご覧ください。 https://drive.google.com/file/d/141lxDb3M71F62ucVdLvyBv6_MxjtD8KB/view 構成第I部「基礎知識」ではクラウド破産とAWSに関する基礎知識を学びます。なぜクラウド破産が起きるのか学び、
aws-vaultは、アクセスキー等のAWSの認証情報をセキュアに保管し、より便利に使用することができるツールです。 Linux環境でaws-vaultを使用する方法について解説しているサイトがあまりなく、導入に手間取ったので、導入手順やハマったポイントについて残しておきます。 aws-vaultの特徴 よりセキュアな認証情報の保管と利用を実現 AWS CLIなどのAWSコマンドラインツールを使用する際には、環境変数や、~/.aws/credentials などに、平文でアクセスキーを保存するのが通常です。 これでは自分以外のユーザーからも認証情報が見えてしまう可能性があり、少し心許ないです。ノートPCなどにAWS CLIを入れて使用している場合、外出先で端末を落とした場合にアクセスキーを抜かれたりする危険もあります。 aws-vaultを利用すると、OSの機密情報ストア※1Windows
こんにちは。λ沢です。 皆さんは普段どのようにローカルから AWS の API を実行していますか? AWS の基礎を学んだ人の多くは aws configure コマンドを使ってアクセスキーを入力し、 aws-cli や AWS SDK を使用しているのではないでしょうか。 しかし aws configure コマンドはアクセスキーを平文でローカルマシンの ~/.aws/credentials に保存します。 いくらローカルマシンとはいえ、様々なセキュリティリスクが存在する現代では平文でアクセスキーを管理することは好ましくないです。 最近だと faker.js と colors.js に DoS 攻撃のコードが仕込まれたことが話題になりました。 もしこのコードが DoS 攻撃ではなく、~/.aws/credentials の内容を悪意を持った人に対して送信するコードだとしたら、何が起きる
Terraform meetup tokyo#2 参加レポート兼感想のようなもの #terraformjp - 憂鬱な世界にネコパンチ!
だいぶ遅くなりましたが10/2に行われたTerraform meetup tokyo#2に参加してきたので、その参加レポートです。 terraform-jp.connpass.com 当日はTwitterが不調で、実況がままならない時間帯もありましたが面白かったです。当日の様子がトゥギャられてるので、こちらもどうぞ。 togetter.com 個々のアプリのリポジトリでTerraformを管理している話 アプリケーションごとにTerraformのコードを分散管理するお話でした。 普通?のTerraform管理方法 hoge-terraformリポジトリみたいな共通リポジトリ Speee(Uzou)さんでのTerraform管理 アプリケーションコードと一緒に管理している 歴史的にフルスタックエンジニアが多い 今の組織状態であればメリットが大きい 影響範囲のわかりやすさや、Planの早さは嬉
しばたです。 先週発売されたWindows 開発キット 2023を購入したので各種開発ツールのArm対応状況をしらべてみました。 Windows 開発キット 2023 とは? Windows 開発キット 2023 (旧称 Project Volterra)はArm版Windowsアプリケーションの開発のためのPCです。 「開発キット」の名を冠してますがシンプルにArm CPUを積んだWindows 11デバイスであり、発売までの経緯についてはITmediaのこちらの記事が参考になるでしょう。 発売当初に日本国内での価格設定を間違うトラブルもありましたが、適正価格に戻った瞬間に購入したところ無事週末に届きました。 *1 デバイス周りの話はおそらく日本で一番Windows on Armと向き合っているであろうしばやん先生のブログが詳しいのでそちらをご覧ください。 本記事では主に私が使う開発ツー
カヤック×primeNumber×クラシコム合同SRE勉強会を開催しました - KAYAC engineers' blog
カヤックSREチームの今です。 5/14(金)に3社合同のSRE勉強会をオンライン開催しました。 参加企業は、カヤック、クラシコム様、primeNumber様です。 SREはまだまだ一般的ではなく、知見の少ない役職です。また企業内での人数も少ないこともあり、普段同じ技術領域について話す人があまりいません。 そこで今回のSRE勉強会は、企業の垣根を越えた知見の共有と同役職者同士の親睦を深めよう、という趣旨で開催されました。 その発表資料と一部を抜粋してご紹介します。 GitHub Actionsに「強い」AWSの権限を渡したい (カヤック 藤原) speakerdeck.com terraform applyなどの強い権限を必要とする操作をGitHub Actions等で継続的に実行するためには強い権限をもたせる必要がありますが、セキュリティ上の懸念点も増えることになります。 そこで、強い権
[Terraform CLI]MFA認証を使ったAssumeRole。AWSVaultで解決 | DevelopersIO
はじめに 最近触り始めたTerraform CLI。Terraformコマンドを実行する権限は、AWS CLIと同じく.aws/credentials、.aws/configを利用することができますが、MFA認証を使ったAssumeRoleを使う場合は、ひと手間が必要です。 MFA認証はエラーとなる IAMを利用している方は、ユーザーおよびパスワードだけじゃなくMFAを必須とするポリシーで運用されている方が多いと思います。また、環境分離でAWSアカウント間はスイッチロールする運用されている場合、aws:MultiFactorAuthPresentをtrueとするように設定している方も多いかと思います。Terraform CLIでも同じくMFAを必須とするよう、credentials、configにmfa_serialが指定されたprofileを指定して実行すると以下のエラーが発生します。
Windowsでaws-vaultの設定を最初から実施し、aws-vault経由でterraformの実行テストをしてみた | DevelopersIO
Windowsでaws-vaultの設定を最初から実施し、aws-vault経由でterraformの実行テストをしてみた こんちには。 データアナリティクス事業本部 インテグレーション部 機械学習チームの中村です。 今回はWindowsマシンに対して、以下記事に沿ってaws-vaultの設定をしてterraformの実行まで確認しましたので、その作業メモをブログにしました。 本記事の設定は以下の則っています。aw-vaultについての説明はこれらの記事もご参考にされてください。 aws-vaultでcliとterraformをいい感じにしてみる | DevelopersIO AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO aws-vaultのインストール Windowsマシンからの実行であるため、PowerShellを管理者権限で起動して
AWS Lambda Function URLsをServerless Frameworkで使ってみた | DevelopersIO
はじめに こんにちは、サービスグロースチームの筧です。 AWS Lambda Function URLsという、熱いアップデートがきましたね。 AWS Lambda Function URLs: built-in HTTPS endpoints for your Lambda functions Announcing AWS Lambda Function URLs: Built-in HTTPS Endpoints for Single-Function Microservices | Amazon Web Services Serverless Framworkはいつ頃対応するかなとか思いつつ、Serverless FrameworkのNewsを確認すると、、 AWS Lambda Function URLs with Serverless Framework 爆速で対応しているやんけ
Terraform v1.5.0 で追加された import ブロックと check ブロックを試してみた | DevelopersIO
はじめに こんにちは、アノテーション構築チームの荒川です。 2023-06-12 に正式リリースされた Terraform v1.5.0 の新機能である import ブロックと check ブロックを早速試しましたので紹介します。 試した内容は HashiCorp 社公式のブログ Terraform 1.5 brings config-driven import and checks と同じものになります。 環境情報 tfenv 3.0.0-18-g1ccfddb Terraform v1.5.0 事前に IAM ユーザー、IAM ロールを作成済み MFA 使用のため aws-vault を使用 導入 Terraform 1.5.0 のインストール tfutils/tfenv: Terraform version manager を使って、Terraform バージョン 1.5.0 をイ
こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。 今回は、movedブロックを使用してリソースのリファクタリングをやってみようと思います。 movedブロックとは Terraform バージョン 1.1で現れたリファクタリングを補助してくれるブロックです。 使い方イメージとしては、「もしもリソースAがリソースBという名前だったら...」のような雰囲気で、リソースのリファクタリングを補助してくれるブロックとなっています。 今までどうやっていたの? 今までのリソースのリファクタリングでは、terraform stateコマンドを駆使して、リファクタリングを行っていました。 例えば以下のtfファイルがあり、リファクタリングを+/-に従い行いたかったとします。 main.tf terraform { required_providers { aws = { so
awsdoに ~/.aws/(config|credentials)の設定情報がなくてもAssumeRoleできるようにするためのオプションと、AssumeRoleしたロールでAWSコンソールにログインするオプションを追加した - Copy/Cut/Paste/Hatena
1年以上前からの久しぶりのアップデートです。 k1low.hatenablog.com --role-arn --source-profile 複数のAWSアカウントを横断して作業することがあり、AssumeRoleのための設定を~/.aws/(config|credentials)に書くのすら面倒になってきたので、設定なしでAssumeRoleができるようにするためのオプション --role-arn と --source-profile を追加しました。 委任元のアカウントAのロール arn:aws:iam::AAAAAAAAAAAAAA:role/example-role を委任先のアカウントBに委任できるようにしている場合、 委任先のアカウントBの設定が ~/.aws/(config|credentials) にある場合は( profile-b )、 $ awsdo --role-a
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Vaultで端末内のAWSアクセスキー平文保存をやめてみた | DevelopersIO
SREチームに入ってからの2年間にチームでやってきたこと - クラウドワークス エンジニアブログ
AWSの知識地図 〜現場必修の基礎から構築・セキュリティまで
リモートマシンから手元に向かってコマンドを実行できるやつを作った - Write and Run
アクセスキー/シークレットキーが漏洩してしまった!一体何をすればいいの? | DevelopersIO
aws-vault についてのあれこれ - Qiita
クラウド破産を回避するInfrastructure as Code実践ガイド:KOS-MOS
[最初の一歩]OSSにチョット🤏だけコントリビュートできるようになってきて見えてきた個人的コツを書きます
CLI バージョンマネージャー aqua のススメ - Retty Tech Blog
VS Codeで作るAWS Vault付きのポータブルなTerraform環境 - dely Tech Blog
op(1password CLI tool)のトークンをキャッシュする | DevelopersIO
新規事業で闘い続けるためのプロダクトマネジメント|奥原拓也 / PdM / anynote
Practical Developers ――機械学習時代のソフトウェア開発[ゲームアプリ/インフラ/エッジ編]
AWS マルチアカウントの管理を Toil にしないために - Qiita
クラウド破産を回避するAWS実践ガイド:KOS-MOS
クラウド破産を回避するAWS実践ガイド - KOS-MOS - BOOTH
aws-vaultをLinux環境でも使う方法【セキュリティ向上】
aws-vault を使って AWS のアクセスキーを暗号化して扱おう
Windows 開発キット 2023を買ってみた | DevelopersIO
movedブロックを使ってリファクタリングしてみた | DevelopersIO