こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
ロードバランサーってなんやねん
はじめに どもども、インフラ案件で奮闘中の井上弥風(いのうえみふう)です。 現在プロジェクトでELB(Elastic Load Balancing)を使用しており、その内部機能を完全に理解したいと思い、この記事を書きました。 この記事について この記事の最終的な目標は、「ELBとは何か?」を深く理解し、それを自信を持って説明できるレベルになることです。 しかし、ELBを完全に理解するためには、まず基本的なロードバランサーの概念を押さえる必要がありました。 そこで、この記事ではELBの根底にあるロードバランサーとは何かという点に焦点を当てていきます。 ELBの詳細については、この記事の後に公開予定の「ELBってなんやねん」という記事で詳しく取り上げます。 ELBに興味のある方は、ぜひそちらもご覧ください。 記事のゴール この記事を通じて、ロードバランサーがどのようにしてトラフィックの負荷分散
AWSでElasticsearch(Elastic Cloud)を使う時のポイント 2024年版(運用編1) - Taste of Tech Topics
こんにちは、Elastic認定資格3種(※)を保持しているノムラです。 ※Elastic社の公式認定資格(Elastic Certified Engineer / Elastic Certified Analyst / Elastic Certified Observability Engineer) こちらはAWS編の記事になります。 以下の構築編の記事でElastic Cloudを構築し、Security設定/認証設定を実施しました。 acro-engineer.hatenablog.com 本記事ではElastic Cloudを運用するにあたり、必要な各種設定を実施する手順を紹介します。 はじめに 1. Monitoring設定(Metric/Logs) 2. Snapshot設定 3. 監視設定 まとめ はじめに 以下本記事ではElastic Cloud(Elasticsearch
AWS NAT ゲートウェイ を理解した上で起動&停止 Lambda を用意する - Qiita
実現したいこと 既存のAWSのバックエンドシステムにおいて、コスト削減のため開発環境とステージング環境のNATゲートウェイ(NAT Gateway)を夜間と休日の間は停止させるべく、NATゲートウェイを起動・停止させるLambdaを作成します。 待て、まだコードを書こうとするな 「NATゲートウェイ 自動 停止」とかで検索すると少ないながらもいくつか記事が出てきますが、理解せずにそれをまるまるコピペして実行させるだけではうまくいかないことが多いですし、望まないNAT削除をしてしまう可能性があります。 NATゲートウェイ、ルートテーブル、Elastic IPなどが自分の開発しているシステムではどのように設定されていて、どのリソースを操作すれば良いかをちゃんと理解する必要がありました。 こちらは開発していたシステムの構成図を、NATゲートウェイ周りだけを抽出して描いたものです。 手描きでごめん
連載2回目となる今回は、第1回で解説した「Amazon Elastic Compute Cloud」(以下、Amazon EC2)向けのストレージサービス「Amazon Elastic Block Store」(以下、Amazon EBS)を詳しく解説します。 Amazon EBSは「ブロックストレージ」と呼ばれるストレージの形態です。まずは、ブロックストレージとは何かと、オンプレミスのブロックストレージのアーキテクチャや機能を説明します。Amazon EBSをより深く理解できると考えていますので、ぜひ最後までお読みください。本稿で読者の皆さんがブロックストレージの基礎知識をしっかりと身に付け、その知識をビジネスシーンや技術選択に生かせるようになることを期待しています。 そもそも「ブロックストレージ」って何? 近年、データストレージは多くの企業や組織のITシステムに不可欠な要素となっていま
AWSでElastic Cloudを利用する 2024年版(構築編) - Taste of Tech Topics
こんにちは、Elastic認定資格3種(※)を保持しているノムラです。 ※Elastic社の公式認定資格(Elastic Certified Engineer / Elastic Certified Analyst / Elastic Certified Observability Engineer) 皆さんはElastic Cloudを利用されたことはあるでしょうか? Elastic CloudはElastic社が提供しているSaaSサービスで、クラウドプロバイダはAWS、Azure、GCPをサポートしています。 最新バージョンのクラスタ構築や、既存クラスタのバージョンアップを数クリックで実施できるため、導入がお手軽です。 しかし実際に利用するとなると アクセス制限やCognito連携など、考慮すべきことが多くあります。 意外にハマりどころが多い所だと思うので、手順や注意事項などをまとめ
Amazon ECS now provides enhanced stopped task error messages for easier troubleshooting - AWS
Amazon ECS now provides enhanced stopped task error messages for easier troubleshooting Amazon Elastic Container Services (Amazon ECS) now makes it easier to troubleshoot task launch failures with enhanced stopped task error messages. When your Amazon ECS task fails to launch, you see the stopped task error messages in the AWS Management Console or in the ECS DescribeTasks API response. With today
GitHub - aws/aws-secretsmanager-agent: The AWS Secrets Manager Agent is a local HTTP service that you can install and use in your compute environments to read secrets from Secrets Manager and cache them in memory.
The AWS Secrets Manager Agent is a client-side HTTP service that you can use to standardize consumption of secrets from Secrets Manager across environments such as AWS Lambda, Amazon Elastic Container Service, Amazon Elastic Kubernetes Service, and Amazon Elastic Compute Cloud. The Secrets Manager Agent can retrieve and cache secrets in memory so that your applications can consume secrets directly
新しいスタンダード?Elastic Serverlessの使い方や料金体系、特徴をまとめてみた - Taste of Tech Topics
こんにちは。 Acroquestのデータサイエンスチーム「YAMALEX」に所属する@shin0higuchiです😊 YAMALEXチームでは、コンペティションへの参加や自社製品開発、技術研究などに日々取り組んでいます。 はじめに Elasticのマネージドサービスである Elasticsearch Service (Elastic Cloud) にサーバレスが登場しました。 今回はその使い方や特徴などについて紹介し、どういったシーンでの利用に適しているのか考察してみました。 ※記事中の情報は執筆時点のものであり、今後変更となる可能性があります。利用する際は最新の情報をご確認ください。 Elastic Cloud Serverless とは? 従来のElastic Cloudは、オンプレミスでElasticsearchを運用するのに比べ管理コストを大きく削減することができる点や、柔軟にス
TURN サーバを Arm インスタンスで運用しています
MIXI でモンストサーバチームとセキュリティ室を兼務している、atpons です。 モンストサーバチームでは、モンスターストライクやモンスターストライク スタジアムといったアプリゲームのバックエンド開発や運用を主に行っています。今回は、チームで運用している TURN サーバについて、運用の見直しを行い Arm インスタンスの活用を行っている事例について紹介します。 モンスターストライクと TURN サーバ モンスターストライクでは、マルチプレイ機能を使って最大4人で協力してクエストをプレイが出来るゲームになっています。そのため、プレイヤーのアクションがリアルタイムで他のユーザーに同期されていく必要があります。これに TURN サーバを利用しています。 モンスターストライクにおける TURN サーバの立ち位置や、STUN/TURN の仕組みについてはモンスターストライクのリアルタイム通信を
ガバメントクラウドAWSで多用されそうな Route 53 Resolver とADを利用し名前解決する方法 - サーバーワークスエンジニアブログ
こんにちは、Enterprise Cloud部 ソリューションアーキテクト1課 宮形 です。先日 AWS Summit Japan 2024 へ参加するために幕張へ行ってきました。毎度ながら会場の熱量には圧倒されます。エンジニアとしてよい刺激を頂ける、毎年楽しみなイベントであります。 今回サミットでガバメントクラウド関係のセッションを聞いたり、参加者のSNS等でのレポートを拝見したりしました。目に留まったのが、AWS上のリソースに対してマイナンバー系ネットワークからDNSで名前解決する必要があることに皆様驚かれている点でした。AWS においては Route 53 Resolver インバウンドエンドポイントを利用することで、インターネットを介さずともDNSでの名前解決を実現できます。ただし、Route 53 Resolver は単体では利用できず、オンプレミスのDNSサーバーまたはActi
Announcing software version consistency for Amazon ECS services | Amazon Web Services
Containers Announcing software version consistency for Amazon ECS services Introduction Container image tags offer a user-friendly way to manage and keep track of different versions of container images. However, they also present a security risk to organizations due to their mutable nature. Without protections in place, a container image tag can be changed in a container image repository to point
AWS SDK for Go でエンドポイントの向き先を httptest.NewServer() にしてテスト | フューチャー技術ブログ
はじめにTIG真野です。 AWS SDK for Go を使ったコードをクラウドサービスに依存無しでローカルにてテストするとき、次のような手法が考えられます。 外部アクセス部分をインターフェースにしてテスト時はモックコードに差し替えよく見る手法だが、テスト目的のみでインターフェースを作る手間があるSDKのmiddlewareを使用詳細はAWS SDK for Go V2でinterfaceのモック”無し”でテスト - 365歩のテックを参考くださいインターフェースの作成を抑えられるメリットがあるLocalStackなどのモックサービスを利用別プロセス(いわゆる、テストサイズはMedium)になるため。実行時間は1,2より増える。実環境に近い環境でテストできるため品質を上げやすい利点があるhttptest.NewServer() でモックするフューチャーで実績が多いのはLocalStackで
AzureでElastic Cloudを利用する 2024年版(構築編) - Taste of Tech Topics
こんにちは、Elastic認定資格3種(※)を保持しているノムラです。 ※Elastic社の公式認定資格(Elastic Certified Engineer / Elastic Certified Analyst / Elastic Certified Observability Engineer) Elastic CloudはElastic社が提供しているSaaSサービスで、クラウドプロバイダはAWS、Azure、GCPをサポートしています。 最新バージョンのクラスタ構築や、既存クラスタのバージョンアップを数クリックで実施できるため、導入がお手軽です。 しかし実際に利用するとなると アクセス制限やEntra IDとのSAML連携など、考慮すべきことが多くあります。 意外にハマりどころが多い所だと思うので、手順や注意事項などをまとめてみました。 本記事ではAzure Marketplac
AWS CDK Pipelines と AWS CodeDeploy を使用したブルー/グリーンデプロイ | Amazon Web Services
Amazon Web Services ブログ AWS CDK Pipelines と AWS CodeDeploy を使用したブルー/グリーンデプロイ お客様から Amazon Elastic Container Service (Amazon ECS) に AWS CodeDeploy を使用して ブルー/グリーン デプロイを実装するための支援がしばしば求められます。 お客様のユースケースは通常、クロスリージョンおよびクロスアカウント間でのデプロイシナリオが含まれます。 これらの要件だけでも十分に難しいのですが、さらに CodeDeploy を使用する際には特定の設計上の決定が必要となります。 具体的には CodeDeploy の設定方法、CodeDeploy リソース (アプリケーションやデプロイグループなど) の作成時期と方法、アカウントとリージョンの任意の組み合わせにデプロイでき
セキュリティ企業のWizが、ビジネス向けのAIサービスを提供するSAPのシステムについて調査し、AIサービス経由で顧客企業のクラウド環境にアクセスできる脆弱(ぜいじゃく)性を発見したと報告しました。 SAPwned: SAP AI vulnerabilities expose customers’ cloud environments and private AI artifacts | Wiz Blog https://www.wiz.io/blog/sapwned-sap-ai-vulnerabilities-ai-security SAPの「SAP AI Core」にはアクセスキーを用いて他のクラウドサービスのデータを読み取り、AIのトレーニングに活用するという機能が存在しています。Wizが発見した脆弱性を使用することで、悪意のある攻撃者がサービスを乗っ取り、顧客のデータにアクセスし
Announcing updates to the AWS Well-Architected Framework guidance | Amazon Web Services
AWS Architecture Blog Announcing updates to the AWS Well-Architected Framework guidance We are excited to announce the availability of an enhanced AWS Well-Architected Framework. In this update, you’ll find expanded guidance across all six pillars of the Framework: Operational Excellence, Security, Reliability, Performance Efficiency, Cost Optimization, and Sustainability. In this release, we upda
TL;DR VPC間を接続した際のレイテンシはTGW > VPC Peering TGWでVPC間を接続すると、VPC PeeringでVPC間を接続した場合と比較して、レイテンシが10倍以上!! はじめに いきなりですが、皆さんは以下のような2つのVPC間を接続する際、どの様な方法で接続するでしょうか?(オレンジ矢印部分) 前提や要件により様々な接続方法が考えられますが、AWS公式:Amazon VPC-to-Amazon VPC connectivity optionsには、VPC間を接続する際の選択肢については以下5つが挙げられています。 VPC Peering Transit Gateway(TGW) AWS PrivateLink Software VPN Software VPN-to-AWS Site-to-Site VPN AWS公式ドキュメントには選択肢として記載されてい
なぜ今コンテナなのか【AWS Black Belt】
本動画の資料はこちら https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2024_Why-Container-Now_0630_v1.pdf 【動画の対象者】 コンテナ技術に興味はあるけど、そもそもなぜやるのか、どこから始めればいいかわからない方へ。 この動画では、AWSの主要なコンテナサービスであるECS(Elastic Container Service)とEKS(Elastic Kubernetes Service)について、そもそも論をふくめて解説します。 【スピーカー】 荒木 靖宏 アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト 【目次】 0:00 タイトル 0:20 講師紹介 0:35 コンテナは生産性を上げるための自然な選択 1:30 78%の新規アプ
はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 この記事では、AWS環境にてクレジットカード業界のセキュリティ基準であるPCI DSS v4.0に準拠するための対応を、AWSの提供するコンプライアンスガイドをもとに考えていきます。 PCI DSS対応の勘所や、AWSサービス理解の一助になれば幸いです。 ソース 本記事は2023年10月9日にAWSから公開されている、Payment Card Industry Data Security Standard (PCI DSS) v4.0 on AWSをもとに、PCI DSSの各要件に必要なAWSでの対応を簡単にまとめていきます。 前提 PCI DSSの各要件について考える前に、 AWS環境でのPCI DSS準拠を考えるために重要な前提を整理します。 共有責任モデル AWSはセキュリティの責任範囲をAWSとお客様
はてなブログ独自の集計による人気記事のランキング。6月23日(日)から6月29日(土)〔2024年6月第5週〕のトップ30です*1。 # タイトル/著者とブックマーク 1 グローバル企業で生き抜くための英会話フレーズ集 - fu3ak1's tech days by id:fu3ak1 2 早川書房の3000作品以上が最大50%割引の電子書籍セールがきたので、新作SF・ノンフィクションを中心にオススメを紹介する - 基本読書 by id:huyukiitoichi 3 パキスタンで、こんなアニメ映画がつくられたらしい…「THE GLASSWORKER」(広島の映画祭で8月上映?) - INVISIBLE Dojo. ーQUIET & COLORFUL PLACE- by id:gryphon 4 厳選80本!『Steamサマーセール』からベテランゲームブロガーが選ぶオススメはこれだ! -
June 25, 2024 GitHub Artifact Attestations is generally available We’re thrilled to announce the general availability of GitHub Artifact Attestations! Artifact Attestations allow you to guarantee the integrity of artifacts built inside GitHub Actions by creating and verifying signed attestations. With this release, you can now easily verify these artifacts before you deploy them in your Kubernetes
AWS責任共有モデル - Qiita
はじめに AWSの責任共有モデルとは、クラウドサービス提供者であるAWSと顧客との間で、セキュリティとコンプライアンスに関する責任を分担する考え方です。AWSは物理的なインフラストラクチャのセキュリティを担当し、顧客は自身のデータとアプリケーションのセキュリティに責任を持ちます。 AWSにおいてこの責任の相違を「クラウド”の”セキュリティに対する責任」と、「クラウド”内の”セキュリティに対する責任」としています。 AWSの責任共有モデルのメリット AWSの責任共有モデルでユーザーが享受できる主なメリットとして、ユーザー側の作業負担軽減が挙げられます。AWS責任共有モデルは、企業が自社内で管理・運用するオンプレミス環境と比較して、AWS側にインフラの運用やプラットフォーム、ソフトウェアの管理を任せることができるため、管理コスト面でユーザーの負担を軽減できます。 それ以外にも、オンプレミスと比
Understanding Amazon Aurora MySQL storage space utilization | Amazon Web Services
AWS Database Blog Understanding Amazon Aurora MySQL storage space utilization Amazon Aurora is a fully managed relational database service designed to provide the performance, scalability, and availability of high-end commercial databases while offering the simplicity and cost-effectiveness of open-source databases. Amazon Aurora MySQL-Compatible Edition is wire-compatible with MySQL making it an
【2024年7月19日に発生したWindowsサーバー障害に関する記事】レスキュー用Windows EC2インスタンスを作成し、復旧対象のWindows EC2インスタンスから不要なファイルを削除する方法 - サーバーワークスエンジニアブログ
こんにちは😺 カスタマーサクセス部の山本です。 2024年7月19日に発生したWindowsサーバーの障害 2024 年 7 月 21 日 00:00 (日本時間) の追加情報 1. 復旧対象の EC2 インスタンスの EBS ルート ボリュームのスナップショットを作成します 2. 1 のスナップショットから新しい EBS ボリュームを、同じアベイラビリティゾーンに作成します 3. 異なるバージョンの Windows を使用して、レスキュー用の Windows インスタンスを起動します 4. 手順 2 の EBS ボリュームをデータ ボリュームとして、レスキュー用の Windows インスタンスに接続します 5. レスキュー用の Windows インスタンスで \Windows\System32\drivers\CrowdStrike\ フォルダーに移動し、「C-00000291*.sy
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
ストレージなんて見たことがない――基礎から学びたい人の「ブロックストレージ」超入門
AIトレーニングサービス経由で顧客のクラウド環境にアクセスできる脆弱性をセキュリティ企業が報告
AWS VPC接続方法によるレイテンシ(VPC Peering vs TGW)
AWS環境におけるPCI DSS v4.0 に対応したセキュリティ対策を考える | DevelopersIO
今週のはてなブログランキング〔2024年6月第5週〕 - 週刊はてなブログ
Artifact Attestations is generally available