AWS Lambdaで秘密情報をセキュアに扱う - アンチパターンとTerraformも用いた推奨例の解説 - GMO Flatt Security Blog
はじめに こんにちは。ソフトウェアエンジニアの@kenchan0130です。 AWS Lambdaは関数URLやAPI Gatewayのバックエンド、AWSサービスのイベントをトリガーとしたスクリプト実行など様々な用途で使用されます。 そのため、ユースケースによっては秘密情報を扱いたい場合があります。 この記事では、AWS LambdaでAPIキーなどの秘密情報を安全に扱う方法を解説します。 なお、Flatt SecurityではAWS・GCP・Azureのようなクラウドも対象に含めたセキュリティ診断サービスを提供しています。 是非下記のSmartHR様の事例をご覧ください。 推奨されない方法 秘密情報を安全に取り扱う方法を解説する前に、まずはワークロードによっては推奨されない方法があるため、その方法を2つ紹介します。 AWS Lambdaのソースコードに秘密情報をハードコード ソースコー
今回は基本はTerraformでインフラを構築しつつも、部分的にはSAMを使用してLambda+API Gatewayをデプロイしたいと思います。 Lambdaのアーカイブ化やS3へのアップロードをSAMにやってもらうことで、Terraform側でのタスクを軽減することができます。 今回の記事の元ネタは以下のスライドです。 IaCについていろいろな知見が得られると思うのでおすすめです。 SAMとは SAMはLambdaなどのサーバーレスアプリケーションの開発・デプロイを補助するツールでCloudFormationのような形式のファイルを用いてこれらを定義することができます。 Lambdaを開発・デプロイする場合について考えると、必要となる工程は煩雑です。開発ではローカルでの実行やランタイムの管理などをしたくなりますし、デプロイでは依存するパッケージの設置、Zipファイルへのアーカイブ化、ア
SREの菅原です。 カンムのサービスはWebサービス・バッチ処理なども含めて基本的にはECS上で動かしているのですが、簡単なバッチ処理はLambda+EventBridge Schedulerの組み合わせで動かすこともあります。 LambdaはECSに比べてDockerイメージのビルドやECRの準備が不要で作成の手間が少ないのですが、terraformでデプロイまで含めて管理しようとすると少し問題がありました。 terraformでのLambdaのデプロイの問題点 例えば以下のような構成のNode.jsのLambdaをデプロイする場合 / ├── lambda.tf └── lambda ├── app.js ├── package-lock.json └── package.json // app.js const util = require("util"); const gis =
Notionで下書きした記事をはてなブログに自動転写するシステムを開発した話 - hacomono TECH BLOG
こんにちは!hacomonoの開発基盤グループでインターンとして活動しているゆーたです。 2024年7月にhacomonoにジョインしました。これまで約2年間、主にアプリケーション開発を担当するインターンやバイトをしていましたが、hacomonoでは開発基盤チームに所属していることもあり、インフラも含めて広く触れる機会をいただいています。 先日、初めてのタスクを完遂したので、今回はその内容を振り返りたいと思います。 TL;DR Notionで管理しているテックブログ記事を、はてなブログへ自動転写するアプリケーションを開発 記事の手動転写による30分〜1時間のリードタイムを、数分に短縮することに成功 背景 hacomonoでは、記事の管理をNotionで行い、投稿先にははてなブログを利用しています。 これまで、Notionで執筆した記事を手動でコピーし、はてなブログに貼り付けていました。しか
はじめに AWSリソースを管理する IaC ツールの中でも高いシェア率を誇っている Terraform で Lambda 関数をデプロイをしようとすると、sls deploy 、 cdk deploy などと同じメンタルモデルで「 terraform apply すれば OK! 」というわけにはいかない という気付きがあり、その内容について書き残しておこうと思いました。 Lambda のデプロイに必要なことをおさらい ここでは、TypeScript(実行環境=Nodejs)、Go(実行環境=Amazon Linux) などのビルドが必要なプログラミング言語を前提として書いています。(Python などでも依存モジュールのダウンロードなどが必要なのでおおよそ変わらないはずです) そもそも、Lambda をデプロイする方法としては、 (ZIP形式)ZIP化してアップロードする (ZIP形式)S
LayerX Fintech事業部*1で、セキュリティ、インフラ、情シス、ヘルプデスク、ガバナンス・コンプラエンジニアリングなど色々やってる @ken5scal です。 ログ一元管理の本質とSIEMの限界 - データ基盤への道 - LayerX エンジニアブログ SIEMからデータ基盤へ - Amazon Security Lakeを試してる話 - LayerX エンジニアブログ 現在は、当社の方針に基づき採択したAWS Security Lakeを前提にしたセキュリティ監視基盤をもとに、 当社事業年度における2Qの目標ということで、実際のユースケースに取り組むこととしました。 シナリオ選び なにはともあれ、最終的には採用ヘッドカウントやスキルセットも含め体制化を念頭に入れて、継続的に取り組む必要があります。 その際に、当部の「セキュリティ基盤」にのみを意識をしてしまっては、一度承認された
Better together: AWS SAM CLI and HashiCorp Terraform | Amazon Web Services
AWS Compute Blog Better together: AWS SAM CLI and HashiCorp Terraform This post is written by Suresh Poopandi, Senior Solutions Architect and Seb Kasprzak, Senior Solutions Architect. Today, AWS is announcing the public preview of AWS Serverless Application Model CLI (AWS SAM CLI) support for local development, testing, and debugging of serverless applications defined using HashiCorp Terraform con
Terraform実行ユーザー用の最小権限の原則を支援するPike触ってみた | フューチャー技術ブログ
はじめにTIG 真野です。Terraform連載2025の2日目です。 Pikeを触ってみた記事です。 PikeとはPike は James Woolfendenさんによって開発されたTerraformのコードを静的解析し、その terraform apply に必要な最小権限の原則に則ったIAMポリシーを生成するツールです。直接 .tf のコードをスキャンするというところが、良さそうと思ったポイントです。 Terraformを用いてインフラ構築する際には、強めの権限(本来は不要であるサービスの作成権限など)を付与して行うことが多いと思います。そのため、万が一のセキュリティ事故や誤操作で思いがけない結果に繋がる懸念がありました。しかし、最小権限の原則を忠実に守ろうとすると難易度・対応コストが高くなるため、ある程度割り切った運用を採用することが多いように思えます(もちろん、開発時は大きめを許
AWS Lambda の IaC ツール移行:Serverless Framework から lambroll + Terraform へ - every Tech Blog
はじめに こんにちは、トモニテで開発を担当している吉田です。 AWS を活用したサービス運営において、IaC(Infrastructure as Code)ツールの選択は長期的な運用効率に影響することがあります。 本記事では、実際に私たちが経験した Serverless Framework v3 から lambroll と Terraform への移行事例をもとに、 移行の背景から具体的な手順、そして移行を通じて得られた知見についてまとめています。 なお、移行先の候補検討や各ツールの比較については、前回の検証編記事で詳しく解説していますので、併せてご参照ください。 背景:Serverless Framework を取り巻く環境変化 適切な IaC ツールの選択は大切な判断の一つです。代表的なツールとしては、Serverless Framework、AWS SAM、Terraform などが
Best Practices for Writing Step Functions Terraform Projects | Amazon Web Services
AWS DevOps & Developer Productivity Blog Best Practices for Writing Step Functions Terraform Projects Terraform by HashiCorp is one of the most popular infrastructure-as-code (IaC) platforms. AWS Step Functions is a visual workflow service that helps developers use AWS services to build distributed applications, automate processes, orchestrate microservices, and create data and machine learning (M
本記事は NRIネットコム Advent Calendar 2022 11日目の記事です。 🎁 10日目 ▶▶本記事 ▶▶ 12日目 🎄 こんにちは! re:Inventで貰ったライトセーバーを肩掛けバックに入れて手に持つとSAMURAIスタイルになっていた志水です。やはり海外行くと自然に出ちゃいますね、サムライハートが。 はじめに さて、みなさんはre:Invent期間中に発表された新サービス・新機能で心惹かれたものはありますか? 私はダントツでAWS Application Composer(以降Application Composer)でした。 Wernerから発表されたとき、ついにローコードがきたかとテンション爆上がりしてました。最近IaCの教育方法について悩んでいたので、心に響きました。 じゃあぼくのだいすきなCDKさんとの棲み分けはどうなるの? Application Co
はじめに CTOの都筑(@tsuzukit2)です。 DROBE では様々な外部サービスを利用していますが、事前に設定しておく事で外部サービス側で特定のイベントが発生した際に DROBE 側に HTTP のリクエストを送ってくれる仕組みを多く利用しています。 Webhook のわかりやすい例としては、例えば SendGrid のような外部サービスでメールの配信を行っている場合に、実際にメールの配信結果がどうだったかをアプリケーションで確実に検知したいといった場合に、SendGrid での配信完了イベントをトリガーとした Webhook を設定します。 SendGrid の Webhook を使ってメールの配信完了を Application で検知する例 こういった仕組みを使う事で、アプリケーション側ではメールの送信をリクエストした事だけではなく、メールがしっかりと配信された事、もしくはエラ
Pulumi at NearMe: Embracing True Infrastructure as Code - NearMe Tech Blog
Introduction Infrastructure as Code (IaC) has revolutionized how organizations manage their cloud infrastructure, and at NearMe, our journey led us to choose Pulumi as our primary IaC tool. This article explores how Pulumi's unique approach to infrastructure management has transformed our Platform Engineering practices, enhanced developer productivity, and improved our infrastructure reliability.
こんちには。 データアナリティクス事業本部 インテグレーション部 機械学習チームの中村です。 今回は「Terraformで構築する機械学習ワークロード」ということで、Lambdaを使って物体検出モデルの1つであるYOLOXの推論環境を構築していこうと思います。 構成イメージ 構成としては以下のようなものを作成していきます。 物体検出はLambda上でコンテナイメージを動かすことで実現します。 このコンテナイメージ内にMMDetectionというフレームワークをインストールしておき、その中で物体検出モデルの一つであるYOLOXを動かしていきます。 MMDetectionの説明については少しコードが古い部分もありますが、以下が参考となります。 動作環境 Docker、Terraformはインストール済みとします。 Terraformを実行する際のAWSリソースへの権限は、aws-vaultで環
Set up end-to-end tracing with Amazon CloudFront using OpenTelemetry | Amazon Web Services
Networking & Content Delivery Set up end-to-end tracing with Amazon CloudFront using OpenTelemetry In a modern distributed system, identifying where a problem has occurred is not a trivial task. In fact, it’s a key capability that an organization must master to maintain its competitiveness. Tracing is a great methodology to be used for this purpose. It creates a series of formatted logs with an id
whywaita/myshoes-serverless-aws のコードを読んでみたので、順番に読んでいく様子をメモします。 実際にRunnerが動くまでの流れ 最初に、ざっくりブログやREADMEを読んで概要をつかみます。 GitHub Appからwebhookが飛んで、jobがECS上で動くまでの流れは以下のようになっています。 参考: GitHub-hostedライクにAmazon ECSとAWS Lambdaでself-hosted runnerを管理するツールを作った | なぜにぶろぐ webhookを受け取ってECS Taskに渡すまでの間にhttpserverとdispatcherというのが存在しています。(下の図の青い部分) これらはAWS Lambdaとして実装されていて、コードはそれぞれ lambda/httpserver と lambda/dispatcher にあり
Building an AWS Serverless Architecture Using Nx Monorepo Tool and Terraform
Building an AWS Serverless Architecture Using Nx Monorepo Tool and Terraform I tried building an AWS Serverless Architecture with Nx and terraform! Hello. I'm Kurihara, from the CCoE team at KINTO Technologies and I’m passionate about creating DevOps experiences that bring joy to developers. As announced at the AWS Summit Tokyo 2023: our DBRE team’s approach to both agility and governance of our v
はじめに はじめまして!たかくにと申します! この記事は「Snykを使って開発者セキュリティに関する記事を投稿しよう!」というテーマに沿って投稿しています! 普段もIaCやAWSを中心にブログを書いているので、ご覧いただけると嬉しいです。 突然ですが、みなさん!IaC使っていますかー? IaC便利ですよね! Googleトレンドでも、年々IaCの人気が増加していることが伺えます。 では、IaCで使っているコードのセキュリティを気にしていますか? 気にしていなくても、これから気にすれば大丈夫です! 今回は、AWS CodeBuildでSnyk IaCを使用してみた感想、詰まった点をご紹介します! まずはじめに、Snyk IaCは、IaCのコードに対してセキュリティスキャンを行うツールです。コードに潜在した脆弱性を是正することで、各コードの品質を整えることができます。 具体的な使い方は私のブロ
Snyk 提供の Docker イメージから AWS CodeBuild プロジェクトを動かすために必要なものを調べてみた | DevelopersIO
こんにちは!AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。 今回は、Snyk から提供されている Docker イメージを使用して、CodeBuild プロジェクトを起動するにはどうすればいいのかご紹介します。 はじめに Snyk では Docker Hub で Docker イメージを提供しています。イメージタグで解析する言語を切り替える仕組みとなっています。 今回は Snyk IaC(Snyk CLI)で利用するため、snyk/snyk:linuxをベースイメージとして選択します。 よく似たイメージで、snyk/snyk:cliがありますが「Deprecation Notice」いわく、非推奨イメージで将来的に削除される可能性あるため、今回はsnyk/snyk:linuxを利用します。 前提条件 CodeBuild(CI)でsnyk test系のコマンドを実
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SAM+TerraformでLambdaの管理を楽にする | DevelopersIO
terrraformを使ったGoのLambdaの管理 - カンム テックブログ
Terraform で AWS Lambda をデプロイしようとする際にぶつかる現実
意思決定に基づくはずのオペレーションを追跡し、監査を効率化する話 - LayerX エンジニアブログ
AWS Application Composerの概要とCDKとの比較 - NRIネットコムBlog
LambdaとSQSを使ってWebhookによるスパイクに対応する - DROBEプロダクト開発ブログ
Terraformで構築する機械学習ワークロード(Lambda編) | DevelopersIO
whywaita/myshoes-serverless-aws のコードを読んでみる
AWS CodeBuildでSnyk IaCを使用してみた - Qiita