【資料公開】Auth0ハンズオンウェビナー – 基本編 | DevelopersIO
コネクションとユーザー Auth0を使ってログインを行うと、テナント内にユーザー情報が作成されます。このユーザー情報はコネクション単位で作成されます。例えばLINEでログインした場合はLINEユーザー、Facebookでログインした場合はFacebookユーザーとして作成される、といった具合です。 1人が異なるコネクションでログインしてしまった場合は別々のユーザー情報が作成されてしまいますが、Auth0にはアカウントリンクという機能により名寄せすることができます。こちらは後述している手順により、非常に簡単に実現できるようになっています。 コネクションとアプリケーション Auth0テナントにログイン可能なアプリケーション(Webアプリやモバイルアプリなど)は複数作成できますが コネクションのON/OFFはアプリケーションごとに設定できます。 例えば「LINEのアプリ内ブラウザからアクセスされ
TerraformがAWS SSO(Single Sign-On)に対応してました | DevelopersIO
上記エントリを書いた際(2020/10/29時点)には、TerraformでAWS SSO(Single Sign-On)のリソースをプロビジョニングすることはできませんでした。が、その後terraform-provider-awsのv3.23.0、v3.24.0で一部リソースのプロビジョニングができるようになりましたので、使ってみたいと思います。 Support for Managing AWS SSO Permission Sets · Issue #15108 · hashicorp/terraform-provider-aws 追加された Resource / Data Source Resource aws_ssoadmin_account_assignment aws_ssoadmin_managed_policy_attachment aws_ssoadmin_permiss
AWS SSOを図解してみた | DevelopersIO
AWS SSOのコンソール画面を触ってると、「んん??どういうこっちゃ??♂️」みたいに混乱することありませんか?画面に沿ってなんとなく設定はできたけど、どういう仕組みになっているかわからないというか… すみません、うまく言語化できていない自覚があるんですが、以下のような点がモヤモヤしています。 ユーザー&グループ、アカウント、アクセス権限セット各概念の関係性がわからない いや、俺はそもそもアクセス権限セットがどういうものなのか理解していないのでは?(モヤモヤ?) 今回はこのモヤモヤを解消するために、SSOの概念を図解していきたいと思います。SSOコンソール上での以下各操作によってどういうリソースが作成され、それぞれがどう動作するのかまとめます。 初期状態(SSO有効化前) SSOを有効化する ユーザーやグループを作成する アクセス権限セットを作成する アカウントにユーザー・グループを割
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
PCI DSS対応 AWS 上の踏み台サーバーでの操作ログ取得、MFA、アイドルタイムアウトを実現 | DevelopersIO
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
[アップデート] root ユーザー作業が不要に!Amazon CloudFront で署名付き URL/Cookie 向け公開鍵を IAM ユーザー権限で管理できるようになりました。 | DevelopersIO
本日のアップデートで Amazon CloudFront の署名付き URL および署名付き Cookie に対する公開鍵の管理を、IAM ユーザー権限で行えるようになりました! Amazon CloudFront announces support for public key management through IAM user permissions for signed URLs and signed cookies IAM ユーザー権限による公開鍵管理が可能に 従来、CloudFront で署名付き URL および 署名付き Cookie を利用する場合、「CloudFront のキーペア」を作成する必要がありました。このキーペアの作成は AWS アカウントの root ユーザーしか行うことが出来ません。そのため必要になった際にアカウント管理者に連絡しキーペアを作成してもらう、
![[アップデート] root ユーザー作業が不要に!Amazon CloudFront で署名付き URL/Cookie 向け公開鍵を IAM ユーザー権限で管理できるようになりました。 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/fde6f7c8a9687a84d77b4283284f2288984c2659/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cloud-front.png)
2020年9月26日CloudFront障害中のアクセスログを調査してみた | DevelopersIO
AWSチームのすずきです。 2020年9月26日(土)、 日本時間 PM 5:55 から PM 6:45 の間、日本のCloudFrontのエッジロケーションで断続的にエラーが発生していた件について、 CloudFrontのアクセスログを元に調査する機会がありましたので、紹介させて頂きます。 弊社ポータルのお知らせ 日本時間2020年9月27日(日) 5:47:45 CloudFront お知らせ 日本のエッジロケーションでエラーが上昇しておりました。| Elevated Errors from one of our edge... https://t.co/5qSz7x59vV — AWS障害情報(全リージョン) (@awsstatusjp_all) September 26, 2020 Athena(抽出) 国内に存在するエッジロケーションと推測されるアクセスログを Athenaで抽出
[アップデート] Lambda のイベントソースに Amazon MSK が設定できるようになりました | Developers.IO
先日のアップデートで Amazon MSK(Managed Streaming for Apache Kafka) を Lambda のソースイベントとして利用できるようになりました! AWS Lambda now supports Amazon Managed Streaming for Apache Kafka as an event source アップデートされて直ぐに触ってたのですが、まだ MSK まわりは情報も少なく、うまく検証が進まなかったのですが、本日リリースされていた公式ブログでようやく理解が深まりました。(Thank you, James!!) 何がうれしいのか Amazon MSK はフルマネージドな Apache Kafka のサービスで、最大のメリットは「完全互換」があることでしょう。現在、オンプレ環境で利用中の Apache Kafka を利用したデータパイプラ
![[アップデート] Lambda のイベントソースに Amazon MSK が設定できるようになりました | Developers.IO](https://cdn-ak-scissors.b.st-hatena.com/image/square/2e2f04f2b04309fdb29e633ba04b3d7c235113a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F08%2Famazon-msk.png)
[新機能]Amazon Athena ルールベースでパーティションプルーニングを自動化する Partition Projection の徹底解説 | DevelopersIO
[新機能]Amazon Athena ルールベースでパーティションプルーニングを自動化する Partition Projection の徹底解説 Partition Projection(パーティション射影)は、テーブル定義で指定したパーティションキーのルールやフォーマットからパーティションを計算し、パーティションプルーニングを自動化します。パフォーマンスの向上やパーティション管理の自動化などインパクトがある新機能なので、実際の動作を確認しつつ、ユースケースについて解説します。 用語の補足:パーティションプルーニングとは、一定の期間(年、月、日)やキー情報に基づき、データを分割管理したデータをクエリする際に、範囲外のデータスキャンを避ける仕組みを表します。 Glueパーティションの課題 従来のGlueパーティションは、メタデータストアがパーティション情報を保持しているので、データストア(S
![[新機能]Amazon Athena ルールベースでパーティションプルーニングを自動化する Partition Projection の徹底解説 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/403c56e9014c7d88e1caa76de4dee5c9b8dece00/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F04%2Famazon-athena.png)
[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました! | DevelopersIO
先日のアップデートで CloudTrail Insights という新機能が追加されました。 AWS CloudTrail announces CloudTrail Insights CloudTrail Insights とは CloudTrail は AWS アカウント内のアクティビティをログに記録することで、セキュリティ分析や、リソース変更を追跡するなど、トラブルシューティングや運用監査するうえで非常に役に立つサービスです。(まだ有効にしてない方は、これを機にいますぐ設定しましょう!それくらい重要です) そして、CloudTrail Insights はこのアクティビティログを AWS 側のマネージド環境で機械学習させ、通常と異なる挙動が起きている場合に、異常アクティビティとして検出してくれる機能です! 利用可能なリージョン すべての商用リージョンで利用可能です! 分析対象のイベント
![[新機能] 異常な API アクティビティを自動検出!CloudTrail Insights がリリースされました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/20d59afbd08bcd9db44f6717a88795dd27fce8f0/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-cloudtrail.png)
CuratorによるElasticsearchのメンテナンス | DevelopersIO
はじめに ボルダリングやりたい藤本です。 Elasticsearch(Elasticsearchに限らずデータストア)を運用するにあたり可用性確保、バックアップ/リストア、リソース管理、保守体制など設計することが多くあります。今回はElasticsearchの運用を簡易化してくれるCuratorというツールをご紹介します。 Elastic社の@johtaniさんが公式ブログの翻訳記事をエントリしていますので合わせてご参照ください。 - Curator: 時系列インデックスの管理(日本語訳) Curator CuratorはElastic社が提供するPython実装の運用支援ツールです。2016/06/07現在は3.5系が最新バージョンですが、APIがElasticsearch 0.9/1.x系用に実装されています。現在α版の4.0系からElasticsearch 2.0以降をサポートしてい
【新機能】AWS WAFマネージドルールを使ってWordPressに対する攻撃を防いでみた #reinvent | DevelopersIO
こんにちは、臼田です。 今回はAWS WAFの神アップデートであるManaged Ruleを利用して、Wordpressの脆弱性に対する攻撃を防いでみたいと思います。 WAFマネージドルールって何? 今回発表されたAWS WAFの新機能で、下記に速報があります。 【速報】AWS WAFがサードパーティーのマネージドルールに対応しました! #reinvent そもそもWAFマネージドルールって何がいいの? マネージドルールがこれまでのAWS WAFのルールより優れている点は大きく2つあります。 ルールを自分で管理しなくていい これまでAWS WAFでは、攻撃に対する防御に利用するルールは自分で作成する必要性がありました。 例えば防御したいサイトに対して、SQLインジェクションの防御用のコンディションを作成し、コンディションにフィルターを追加し、コンディションをルールに適用して利用します。 こ
プライベートネットワーク経由でAWS S3にアクセスする7つのアーキテクチャの紹介 | DevelopersIO
[速報!] オンプレミスからプライベートネットワークでのアクセスが可能に!PrivateLink に Amazon S3 が追加されました アップデートによって、Private Link for S3がインターフェイス型をサポートされたことによって、この記事のアーキテクチャは陳腐化しました。大変喜ばしいです!! S3にアクセスする際は極力S3のAPIを使い、追加でAWS Transfer for SFTPのコストを払ってでもSFTPしか使えない場合はAWS Transfer for SFTPを使いましょう。 はじめに おはようございます、加藤です。AWS S3を利用したいが、セキュリティポリシーや送信元のハードウェア・ソフトウェアの都合でパブリックネットワークを使用できない・使用すると脆弱な場合にはプライベートネットワーク経由でS3にアクセスする必要があります。 今回は、この要件を実現する
接続元 IP アドレスに基づいて IAM 権限を変更をしたい | DevelopersIO
今日はユーザが意識することなく、接続元 IP アドレスによって IAM 権限を「管理者権限」「参照権限」に切り替える方法を紹介したいと思います。やりたいことを絵にすると、以下のとおりです。 例えば、オフィスやセキュリティエリア内など特定の IP アドレスからアクセスしている場合は、「管理者権限」として利用でき、自宅などパブリックアクセスの場合には「参照権限」のみに権限が変わる想定です。 今回は IAM 管理アカウントでのみ IAM ユーザを発行し、AWS リソースのあるアカウントにはスイッチロールでログインする想定で検証していますが、スイッチロールしない環境でも同じことは出来るかと思います。 IAM ユーザー準備(スイッチ元 AWS アカウント側) IAM 管理アカウントに IAM ユーザを作成します。AWS コンソールにはこのアカウントの IAM ユーザでログインし、各環境にスイッチロー
【速報】全てのS3ユーザ必見!S3の性能が大幅パワーアップ!面倒なアレが不要に! | DevelopersIO
皆さんこんばんは…。日本とほぼ半日時差のあるニューヨークでは、2018年7月15〜16日の日程で、AWS Summit 2018 New Yorkが開催されています。 ここで皆さんおなじみのAmazon S3に関する重大な発表が行われました!何が起きたのかを早速確認しましょう! Amazon S3 Announces Increased Request Rate Performance | What's New with AWS 何が変わったのか? 変更点を箇条書きでまとめます。 S3の書き込み/読み取りの性能が上がった PUT/POST/DELETE:3,500リクエスト/秒/プレフィックス GET:5,500リクエスト/秒/プレフィックス 自動的に性能増加(内部で並列処理) アプリケーション等の周辺環境に対し、事前設定や追加設定は一切不要 追加料金なし ※"プレフィックス"に関しては、
クロスアカウントで S3 sync するための権限設定 | DevelopersIO
こんにちは、菊池です。 小ネタですがクロスアカウント環境でS3 syncを実行する際の権限設定を紹介します。 はじめに S3 sync コマンドではローカル環境とS3バケット、または異なる2つのS3バケットでオブジュエクトを同期することができます。 AWS CLIの場合には以下のようなコマンドで実行が可能です。 aws s3 sync {同期元のローカルパスまたは S3 URI} {同期先のローカルパスまたは S3 URI} このS3 syncですが、異なる2つのAWSアカウント(クロスアカウント)のS3 バケット間で同期する際にはアクセス権限の設定に少し手間がありましたのでご紹介します。 クロスアカウントでの S3 sync 例えば以下の図のように、アカウントAのS3バケットからアカウントBのS3バケットにsyncする場合を考えます。コマンドを実行するEC2にはIAM Roleを割り当て
Fastly Yamagoya Meetup 2017に参加した #yamagoya2017 | DevelopersIO
ども、大瀧です。 Fastlyさんのミートアップイベント、Fastly Yamagoya Meetup 2017に参加しました。セッションレポートが大の苦手なので、感想をうだうだと書いてみます。セッションスライドはアップされ次第、載っけるつもりです。 と、その前にまずは前置きとして、イベント名についての補足を。 Fastlyとは Fastly, Inc.はCDNサービスであるFastlyを提供するサービスプロバイダです。 グローバルにPOPを持つのはもちろんのこと、エッジクラウドを標榜しVCL(Varnish Configuration Language)をベースとしたプログラマブルなキャッシュ機構や高速なコンフィグ伝搬、キャッシュ削除など高機能がウリです。 @miyagawaさんをはじめ著名なエンジニアが次々とジョインしていることでも有名ですね。 Yamagoyaとは 告知ページに説明が
MySQL RouterでRDSのReplicaを負荷分散してみる | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 MySQLやAuroraでRead Heavyな環境だとだとRead Replicaを多数用意すると思います。多数のRead Replicaを効率的に使用するためにはリクエストの負荷分散が必須です。MySQLの負荷分散を行うためのプロダクトはいくつかありますが、今回はMySQL Routerを試してみました。 MySQL Router MySQL Router プロダクトのページにトップには、以下の様な記載があります。透過的なルーティングと言うことで、MySQLに接続するつもりでMySQL Routerに接続すれば良いということです。 MySQL Routerはアプリケーションと任意のバックエンドのMySQLサーバー間の透過的なルーティングを提供する軽量のミドルウェアです。データベースへの接続を適切なバックエンドのMySQLサーバーへ効
Elastic Beanstalkでもスポットインスタンスを使いたい | DevelopersIO
2019年11月のアップデートで、Elastic Beanstalkがスポットインスタンスをサポートしました。 Elastic Beanstalkがスポットインスタンスをサポートしました 「.ebextentions」を用いた当記事の設定は避け、公式サポートの設定をお勧めします。 はじめに AWSチームのすずきです。 Amazon EC2 スポットインスタンス、EC2を入札によりオンデマンド費用と比較すると、 70〜80%オフの価格で利用する事が可能です。 AWS Elastic Beanstalkは、AWSにより提供されるアプリケーション環境の構築、管理サービスですが、 起動するEC2として、スポットインスタンスを利用する手段が提供されていませんでした。 今回、Elastic Beanstalkアプリケーション環境、そのコスト削減のため、スポットインスタンス化を 試みてみました。 非公式
Elastic Cloud Enterprise を本番環境を想定して構築する | DevelopersIO
こんにちは、藤本です。 12月1日に Elastic Cloud Enterprise がリリースされました。 当ブログでも Elastic Cloud Enterprise の概要、AWS EC2 上へのシングルホストでの Elastic Cloud Enterprise の立ち上げのブログを書きました。 【速報】Elastic Cloud Enterprise の Alpha版がリリースされました Elastic Cloud Enterprise を AWS 環境にデプロイしてみた Elastic Cloud Enterprise を利用する規模の環境でシングルホストはまずないと思います。今回は本番環境を想定した複数ホストでのクラスタを構築します。今回はTopology Recomendationsに記載されている構成で構築します。 クラスタを構築してみた EC2 x 8台(3AZ)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
