[新機能] S3 Access Grantsの仕組みと従来のS3アクセス管理との比較 - Qiita
はじめに 2023 AWS re:inventにてS3のアクセス管理に関する新機能"S3 Access Grants"が発表されました! これまでS3のアクセス管理方法として、S3バケットやIAMによるポリシー管理やAccess Points管理などがありましたが、新しい管理方法が登場したようです。 本記事ではS3 Access Grantsが従来のアクセス管理方法とどういった点で異なるのかについて解説をしていきたいと思います。 S3 Access Grants 特徴 IAMプリンシパル(ロールやユーザー)に対してS3 内のデータセットにマッピングすることが可能 またAWS Identity Centerとも連携が可能で、外部プロバイダのユーザーにも対応が可能 一時的なセッションとして認証/認可を行い、きめ細やかなアクセス管理が可能 アクセスはCloudtrailで監査が可能 構成 Acc
![[新機能] S3 Access Grantsの仕組みと従来のS3アクセス管理との比較 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/2fb5f6beafbe4bce9317efa6bef6beeac649011f/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Fadvent-calendar-ogp-background-f625e957b80c4bd8dd47b724be996090.jpg%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D151%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwU2F3YVNodXlhJnR4dC1jb2xvcj0lMjMzQTNDM0MmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1hYmQwMTZhYThmYzQ3YjljZTI3OGU2NDc0ZTI0ZjgxNg%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D34b3cf6241d7e9c840a18f5f0f1eab31)
[アップデート]IAM Access Analyzerにて自動推論によるカスタムポリシーチェックが追加されました。#AWSreInvent | DevelopersIO
[アップデート]IAM Access Analyzerにて自動推論によるカスタムポリシーチェックが追加されました。#AWSreInvent はじめに こんにちはAWS事業本部コンサルティング部のみなみです。 re:Inventが本日から始まり、アップデートも盛り沢山です! 今回紹介するアップデートですが、IAM Access Analyzerにて自動推論によるカスタムポリシーチェックが追加されました。 これによってポリシーの変更内容を検知し、意図しない権限の付与を防ぐことが出来ます。 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/iam-access-analyzer-custom-policy-check/ 忙しい人の為のまとめ IAM Access Analyzerに新たなAPI、CheckNoNewAccessとCheck
![[アップデート]IAM Access Analyzerにて自動推論によるカスタムポリシーチェックが追加されました。#AWSreInvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f099104aaa09df58f234f4f90b04b2f5cefbb675/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F11%2Feyecatch_reinvent-2023-newservice-update.png)
DynamoDBとOpenSearch Serverlessのzero-ETL統合をTerraformで自動構築する - Qiita
はじめに 2023年のre:Inventで発表されたDynamoDBとOpenSearch Serviceのzero-ETL統合は、複雑なETLを作り込むことなくお手軽にOpenSearch ServiceにDynamoDBの情報を取り込むことができる優れモノだ。 が、お手軽と言いつつ、IAMのアクセス権の設定やOpenSearch ServiceのYAML定義にはハマりどころが多く、マニュアルも散らばっていてお手軽感が薄かったのでもっとお手軽にするためにIaCで冪等性を高めて動作するようにした。また、今回はOpenSearchはServerlessで動作をさせる。 基本は最初に貼ったAWS公式のブログの流れで作っていくことにする。 DynamoDBの準備 DynamoDBの準備は特に難しいところはない。 AWS公式のブログに記載の通り、DynamoDB StreamsとPoint-in-
Pinecone を使って、Amazon Bedrock Knowledge base と Agent で番組情報を扱えるようにしてみた - Qiita
Pinecone を使って、Amazon Bedrock Knowledge base と Agent で番組情報を扱えるようにしてみたAWSbedrock Amazon Bedrock Knowledge base と Agent 自社で開発・運用している動画配信サービス「hod」のデータを使って、番組情報を教えてもらうチャットボットを構築してみます Amazon Bedrock の新機能としてGAした Knowledge Base と Agent を使っていきます。 使用する追加データとしては、HTBが開発・運用している動画配信サービス「hod」の番組マスタデータの一部をcsvにしたものを使ってみたいと思います。 (Bedrock の周辺機能をアーキテクチャ図に落とし込むときどうもしっくりこない。。笑) Vector Store として Pinecone を採用して、Knowledge
Cloud Run と Cloud Storage FUSE (GCS FUSE) の基本
2023年は「Cloud Run を触って覚える」をテーマとした ひとりアドベントカレンダー を開催しており、Cloud Run のさまざまな機能や Cloud Run でよく使う構成などをご紹介しています。 20日目は Cloud Run と Cloud Storage FUSE の基本的な使い方についてご紹介します。 Cloud Run の概要は「gihyo.jp」で解説していますので、こちらもぜひご覧ください。 Cloud Storage FUSE (GCS FUSE) とは オープンソースの FUSE アダプタを使用した、Cloud Storage バケットをファイルシステムとしてマウントする方法です。Cloud Run からも利用することができ、Cloud Storage を複数のコンテナ間、サービス間、ジョブ間の共有ストレージとして利用することができます。 Cloud Stor
Cloud Storageへのデータ転送で課金爆死してしまった件 - G-gen Tech Blog
G-genの田中です。当記事では、Cloud Storage を利用する中で、意図していない高額の請求が発生してしまった事例について解説していきます。 はじめに 背景 Cloud Storage とは Cloud Storage の料金 Storage Transfer Service とは 事件のあらまし 背景 落とし穴 莫大な課金の発生 後日譚 はじめに 背景 今回、G-gen でサポートさせて頂いているお客様が Storage Transfer Service を利用して Cloud Storage へデータ移行を行ったところ、3日間で数十万円の課金が発生してしまったという事件があり、注意喚起のために記事化させて頂くことになりました。 本記事は、お客様名の許諾を得た上で、実際に起きた内容を少し改変して記事化しました。お客様の社内事情のため数値等を事実とは違うものにして記載していますが
Infrastructure from Code (IfC) ツールまとめ - maybe daily dev notes
昨今Infrastructure from Code (IfC)という概念をよく耳にします。先日もAWSのGregor Hohpeが関連する記事を書いていました。 architectelevator.com この記事では、Infrastructure from Codeとはなにか簡単に紹介し、具体的にどのようなツールがあるか網羅的にまとめます。 Infrastructure from Codeとはなにか Infrastructure from Code (IfC) とは、その名の通り、Infrastructure as Code (IaC) に関連する概念です。IaCとの根本的な違いは、IaCは開発者がインフラを明示的に意識して構成を記述するのに対し、IfCでは開発者がインフラをできるだけ意識しないよう抽象化を試みていることです。これにより、差別化に繋がらない重労働ができる限り排除された高
CDKTFでconfig-driven importを試してみる | DevelopersIO
CDKTF 0.19でconfig-driven importがサポートされたので、試してみました。 CDKTF 0.19 adds support for config-driven import and refactoring config-driven importとは Terraform 1.5で追加された機能です。 従来からTerraformでは、terraform importコマンドで既存リソースをTerraformの構成管理下に置くことができました。 しかし、このコマンドはリソースを1つずつインポートする必要がある・結果をプレビューすることができない等制限もありました。 config-driven importでは、importブロックを利用することで上記の制限をなくし、インポート操作をコードで定義できるようになりました。 import { # ID of the clou
terraform importしてplan差分がない=環境が再現できているといつから錯覚していた? - Qiita
はじめに 先日、Terraform v1.5.0がリリースされました v1.5の目玉はなんと言っても import ブロックと terraform plan -generate-config-out によるtfファイルの生成ですよね〜。これで既存のリソースもimportし放題だと巷で話題です。 ところで、Terraformの特徴として、「インフラをコード化することで環境が再現できる」などと一般的に謳われています。また、Terraformには「既存リソースをimportする機能」があります。別にそれぞれ単独では間違ってはないのですが、これらを組み合わせて、「既存リソースをimportしてplan差分が出なければ元の環境を再現できる」と言えるのでしょうか? 残念ながら現実にはそうとも言い切れません。なんとなく経験上わかってる人もいるとは思いますが、意外と気づいてない人も多そうな気がしたので、ち
Google Cloud のマネージド Terraform、 Infrastructure Manager 登場!
こんにちは。クラウドエースの阿部です。 今回はひっそりと一般提供されていた Infrastructure Manager について紹介したいと思います。 Infrastructure Manager とは Infrastructure Manager (以降、Infra Manager と表記) は、 Google Cloud におけるリソースのデプロイや管理を IaC で自動化するためのマネージドサービスです。 内部では Terraform と Cloud Build を使用してリソースの管理を行っています。 Infra Manager の特徴 特徴としては以下の通りです。 GitHub 等と連携した CD (継続的デリバリ) の構築を簡単に実装できます。Cloud Build で同じ事をやる場合は、 cloudbuild.yaml で CI/CD パイプライン設定が必要です。また、ロー
Aurora Cluster Cloneを使ったDataLake連携 - Qiita
Aurora ClusterからのDatalake連携で、Cluster Cloneという仕組みを活用すると非常に便利だったので紹介します。 この記事では、Aurora Clusterをbatch連携でDataLakeに流し込む設計の話を扱います。他にもDMSを用いてstream連携する方法などがありますが、ここではscope outします。 そもそも「DataLake連携」とは? チームや書籍によって少しずつ定義が異なると思いますが、ここでは「データ分析環境を構築するために本番DBからデータを抽出してくる仕組み」を指します。 データ分析では複雑なSQLやpython scriptを用いてデータを処理していくことが多いですが、これを本番DBに直接実行してしまうと負荷が大きくサービス運用に支障が出ます。 そこで、AWSではS3 bucketにデータを吐き出すことでそこにAthenaを通してア
Amazon Connectで月4ドルで電話発信する仕組みを構築する | DevelopersIO
今までAmazon Connectは受信専用のコールセンターのイメージだったのですが、発信専用として使うと、非常に安価に電話発信機能をAWSに組み込むことができます。 「システム障害アラート、やっぱり電話で発信したいよね…」 システム運用の要である障害アラート。異常発生に即対応するためのアラート運用は重要です。アラートの通知先としては代表的なものにメールがありますし、最近ではSlackなどのチャットツールを併用している現場も多いと思います。 しかし、やっぱり昔から一番緊急度が高いアラートとして利用されているのは、「電話」じゃないでしょうか。そう、聞きたくないんだけれど聞かないといけないアレです。 ただ、電話によるアラートをシステムに組み込むのって敷居が高そうじゃありませんか?サードパーティーのサービスを契約したり初期費用がかかったり時間も手間もかかったり… そこでAmazon Connec
【AWS IAM Identity Center】Google Workspaceの代わりにCloud Identityを使ってGoogleアカウントからのシングルサインオン環境を作る - サーバーワークスエンジニアブログ
エンタープライズクラウド部の松田です。こんにちは。 タイトル長いですが短くするのは諦めました。 Cloud Identity(Google WorkspaceのIdP機能だけを抜き出したようなもの。無償で使えます。)とAWS IAM Identity Center(旧: AWS Single Sign-On)を使ったシングルサインオンのセットアップを行う機会がありましたのでブログにまとめてみます。初めて触れるサービスでしたので(そもそもシングルサインオン自体馴染みがありませんでしたが)、そもそものサービス概要についても掘り下げていきます。 AWS IAM Identity Centerとは 何ができるのか 外部IdP連携パターンもざっくり説明 Cloud Identity(Google Workspace代替)との連携 作業の流れ 1. ドメイン取得 2. Cloud Identityの登
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた | DevelopersIO
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた AWS IAM Identity Center で一時的なアクセス許可を与える仕組みを提供するソリューション Temporary Elevated Access Management (TEAM) が aws-samples で公開されました。例えば、特定の AWS アカウントへの AdministratorAccess 権限のアクセスを利用者が申請し、上長が承認する、といった運用を実現できます。 AWS のブログでも TEAM の使い方が紹介されています。 本ブログでは TEAM ソリューションをデプロイし、AWS アカウントへの一時的なアクセスの申請と承認を試してみます。
カスタマイズで広がるAWS Copilotの実践力 - KAYAC engineers' blog
SREチームの橋本です。SRE連載の7月号になります。 カヤック社内では弊社藤原のecspressoをAmazon ECSのデプロイツールとして活用していますが、AWS公式のデプロイツールAWS Copilot(現在v1.29)もそのオールインワン的な性質から、開発・運営リソースが限られるプロジェクトでは選択肢に入るようになってきました。 今回はそのAWS Copilot活用のため、背後にあるAWS CloudFormationテンプレートをカスタマイズする手法を紹介します。 AWS CopilotとCloudFormation AWS CopilotはECSなどのデプロイを簡単にするCLIツールですが、実態としてはManifestと呼ばれるYAMLの設定ファイルからCloudFormationテンプレートを生成し、各種リソースを作成・管理するものです。 AWS Copilotは内部的にC
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
re:Invent 2023で感じたセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as I felt at re:Invent 2023
Terraform 1.7 から import ブロックで for_each が使えるようになった
BigQuery Remote Functionsによる形態素解析 - DMM inside
Amazon BedrockのEmbeddingsを試しました。(良さげです) - Qiita
Terraform 1.6 で追加されそうな terraform test コマンドを試してみる
