Amazon is an Equal Opportunity Employer: Minority / Women / Disability / Veteran / Gender Identity / Sexual Orientation / Age.
相次ぐパスワードリスト攻撃もあり、いわゆる MFA (Multi-Factor Authentication) が使えるサービスが増えてきました。 AWS でもデバイスによる MFA ができるようになっています。 この仕組みとかについて書きます。 AWS について主に書いていますが他のサービスで使われているものも大体同じ (少なくとも GitHub とかは) はずです。 AWS MFA で使われている仕組み IAM の FAQ でも書かれていますが、 AWS で使うことができるのは TOTP (Time-based One-Time Password Algorithm) です。 アルゴリズムの説明は こちら などがわかりやすかったです。 TOTP の RFC もそんなに分量ないので読んでみると良いと思います。 ざっくり言うと TOTP がしているのはすごく単純なことで、 認証を行う側と認
EC2 における仮想化方式や kernel の扱いにはいくつか種類があって、 カスタマイズ (パフォーマンスチューニングなど) をする上で必要になることがあります。 C3 インスタンスや I2 インスタンスの登場で、それらがより重要になってきた感があるので一度まとめてみます。 * この記事は基本的に Linux についてまとめています 大前提 世に出ている仮想化基盤はいくつかありますが EC2 に使われているのは Xen です。 ただし ハードウェアサポートの追加、インスタンスタイプに応じた各 VM リソースの割り当て方、 ネットワークの扱いなど、 Xen そのものに相当なカスタマイズが行われていることは想像に難くないと思います。 (とか言って API から上だけで実現されていたらそれはそれで面白いですね) 仮想化方式 PV (paravirtual) EC2 ではサービス開始当初から P
はじめに こんにちは植木和樹です。AWSでEC2と並んでよく使われているサービスがRDSだと思います。障害時のフェイルオーバーやバックアップも自動で行ってくれるため、データベースを手間をかけずに利用することができ本当に便利なサービスです。 さてRDSを用いたサービスをリリースしてしばらく経つと、徐々にCPUやメモリなどの使用率が増えていき、いよいよインスタンスタイプの見直しを検討しなければならなくなるかと思います。その時に気になるのが「インスタンスタイプ変更にはどれくらい時間がかかるのか?」「サービスの停止が必要なのか?」という点です。 本日はSingle-AZ/Multi-AZそれぞれのRDSについて、インスタンスタイプの変更にかかる時間や挙動を調べてみました。 今回のブログに記載したインスタンスタイプ変更の流れは、AWS公式のものでなくイベントログやDBの動きから筆者個人が「おそらくこ
Terraform + fluentd + Docker + Puree で小さく始めるモバイル行動ログ収集基盤構築 河合 航平 2015.07.07 1273 194192628259 こんにちは。 4月から新卒駆け出しインフラエンジニアとして日々奮闘しております河合です。 "モバイル行動ログ収集基盤" を "小さく" 始めたので、以下にインフラ構築からモバイルまでの設計までをまとめたいと思います。今回このログ収集基盤を作るにあたって私自身がこれまで経験したことのない技術・ツールを利用しましたので、それらの導入についてもご紹介いたします。 導入の背景 私は英単語サプリを中心にインフラを担当しています。 英単語サプリとは、聞ける・話せる・覚えてるをコンセプトとした高校受験からTOEICまで対策できる英単語学習のサービスです。 ユーザの分析によく使われるツールの1つにGoogle Analy
プロキシ経由で、Amazon EC2 API Tools (CLI)を実行したい場合、環境変数にプロキシの情報を設定する必要がある。 通常、API Toolsの初期設定で、環境変数には以下の5つを設定する。(ここ参照) Unix/Linuxの場合 export EC2_HOME=/path/to/tools export PATH=$PATH:$EC2_HOME/bin export EC2_PRIVATE_KEY=/path/to/pk-xxx.pem export EC2_CERT=/path/to/cert-xxxx.pem export EC2_URL=https://ec2.ap-northeast-1.amazonaws.com Windowsの場合 set EC2_HOME=C:\path\to\tools set PATH=$PATH:$EC2_HOME\bin set
コンテナを突き破れ!! ~コンテナセキュリティ入門基礎の基礎~(Kubernetes Novice Tokyo #11 発表資料)NTT DATA Technology & Innovation
はじめに 先日、CloudWatch Logs Subscriptionsという新機能の発表がありました。 CloudWatch Logsに記録されたログイベントをリアルタイムにKinesisへ投入する機能です。 これまでは、ログイベントを取得する場合、CloudWatch LogsのGetLogEvents APIにアクセスし一括でログを取得するしかありませんでした。 そして、このGetLogEvents APIには1アカウントあたり秒間10リクエストまで(上限緩和可)という制限があり、多くの種類のログを常に取得し続けたい場合は注意が必要でした。 今回、CloudWatch LogsからKinesisにログイベントを投入可能になったことにより、Kinesisストリームをポーリングするだけで常に最新のデータを取得できるようになりました。 また、KinesisはLambdaのイベントソースと
従来はVPC内のインスタンスからS3に接続するためには、インスタンスがパブリックネットワーク内にある必要がありました。しかし、VPCエンドポイントという特別な裏口ができたので、プライベートネットワーク内のインスタンスもこの裏口からS3に接続することが可能になりました。 VPC内のプライベートネットワークからS3への接続方法 1 VPCエンドポイントを作成する 1-1: VPCコンソール > エンドポイント作成 1-2: VPCを選択 *VPC-ID : VPCエンドポイント = 1:1になります 1-3: バケットポリシーを設定 今回はFull Accessの設定としました。特定のバケットへの通信のみ許可する場合は、こちらでポリシーを追加すると良いと思います。 1-4: ひもづけるルーティングテーブルを選択 *インターネットゲートウェイに紐付いていない、ローカルNWのみ通信可能なルーティン
ウィスキー、シガー、パイプをこよなく愛する大栗です。 本日、VPCのプライベートサブネットからS3へアクセスできるアップデートがありましたのでご紹介します。 どういう仕組み? プライベートサブネットからアクセスするために、VPC内に特別なエンドポイントを作成します。ルートテーブルでS3へアクセスするIPアドレスをVPCエンドポイントへ向けるようにしてアクセスを可能とさせます。 設定 Management ConsoleのVPCダッシュボードに、以下のように「エンドポイント」という項目が増えています。 ではエンドポイントの作成を行います。 VPC:エンドポイントを作成するVPCを選択します。 サービス:現状ではS3(com.amazonaws.ap-northeast-1.s3)固定になっています。 ポリシー:今回は「フルアクセス」を選択します。ポリシー作成ツールを使用してVPC Endpo
こんにちは、sparkgeneです。 先日、リクルートグループでAWSの活用事例などについて共有しましょうな会「R-JAWS」の第1回に参加してきました。 内容としては、ADSJのソリューションアーキテクトの方にAWSについての話や、新しく発表されたMachine Learningについての話があったのと、活用事例についてのLTといった内容でした。 弊社でもAWSを使っていますので、私を含めて2名がLTに参加してきました。 料理サプリの監視 私(@sparkgene)が担当している料理サプリというサービスでどのような監視が行われていて、可視化についてのLTです。 監視ツール CloudWatch Sensu CloudWatch 標準メトリックス+カスタムメトリックスを利用 Sensu CloudWatchを同じ内容を1分間隔でチェック エンドポイント、プロセスの死活確認もやってる メトリ
こんにちは。望月です。 先日(といっても結構前ですが)、ついに待望のCloudTrailの全リージョン対応が発表されました。 その前からそうだったかは未調査ですが、CloudTrailを有効にしていない場合に、AWSのTrusted Advisorで警告が出るようになりました。 この警告を消すためにも、全リージョンでCloudTrailを有効にしましょう! スクリプト化してみた ですが、手作業でぽちぽちやるのはアレなので、自動化しました。既にj3tm0t0さんがAWS - 全リージョンのCloudTrailロギングを有効にするワンライナー - Qiitaにてワンライナーを公開されていますので、そちらを使うのもいいと思います。このワンライナーではS3バケットと適切なBucket Policyが設定されていることが大前提なので、まだBucketを作成していないアカウントでは、先にS3バケットを
森永です。 今回は技術寄りの話ではなく、概念的な話です。 がっつりインフラエンジニアの方というよりは、情シスなどでAWSに関わるの非エンジニアの方向けに書いていきます。 AWSを利用する上ででてくる「アカウント」についてまとめてみました。 オンプレと何が違うの?、というお話をよく耳にしますので、オンプレとの対比を挟みながら説明していきます。 AWSで使用するアカウント AWSでは以下の3つのアカウントに大別されます。 OS(Linux/Windows)アカウント IAM AWSアカウント この中でさらに2つに大別でき、OSアカウントはOS以上のレイヤについて、IAMとAWSアカウントは物理やネットワークレイヤといったAWSで管理されるレイヤについて管理するアカウントになっています。 各アカウントについて、管理方針も含めてもう少し深くまとめていきます。 OSアカウント 特に説明はいらないかと
2015/11/13追記:現行のサービスにおける上限値や制限値については下記のAWS公式ページに情報がまとまっているようです。サービス毎の状況を確認される場合はこちらをご参照ください。 - AWS Service Limits - Amazon Web Services - AWS サービス制限 - アマゾン ウェブ サービス AWSでインフラ構築作業を行っていると、規模によってはあっという間に(定められている)要素数の上限に達してしまいます。後述する『上限緩和申請』を行えばその上限は増やす事が出来るのですが、実際に構築を行う前にその辺りの申請はスムーズに済ませておきたいところ。と言うわけで、現在AWSで利用上限が定められている要素とそれらの上限を増やす(上限緩和申請)ための依頼フォームの情報を個人的学習目的及び今後の備忘録として整理してみました。 AWS Service Limits(A
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く