はてなブックマーク

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。 先日よりAWS公式サイトに気になる文言が追加されていることを確認しております。 AWS上で Microsoft 製品を利用している皆様に大きく影響する内容でしたので、こちらのBLOGで速報としてご紹介させていただきます。 追加された文言について つまりどういうことか 2025年9月30日までに何に移行すればよいか 1. SPLA の対象とならない製品に移行する 2. Listed Provider が直接ライセンス提供する Microsoft 製品やサービスへ移行する 3. Microsoft ライセンスを AWS へ BYOL する方式へ移行する 4. Microsoft の定める Listed Provider 以外のコンピューティングサービスへ移行する 参考ドキュメント まとめ 追加された文言について 追加された文言

カスタマーサクセス部 佐竹です。 本ブログでは、AWS re:Invent 2022 で発表されたアップデートである「Torn Write Prevention」と RDS における「Optimized Write」について記載します。 はじめに AWS Announces Torn Write Prevention for EC2 I4i instances, EBS, and Amazon RDS Amazon RDS Optimized Writes enables up to 2x higher write throughput at no additional cost New – Amazon RDS Optimized Reads and Optimized Writes Doublewrite Buffer Doublewrite Buffer の問題 Torn Write

カスタマーサクセス部 佐竹です。 本日は、以下のアップデートに関する運用上の注意点のお知らせです。IAM ポリシーで、IAM User に MFA デバイスの設定を強制されている場合に、本アップデートによる影響がありましたので周知のために記載しております。 aws.amazon.com はじめに アップデートの影響 IAM ポリシーへの影響 修正が必要な個所 ${aws:username} 発生するエラー 修正後の IAM ポリシー json 注意点やその他のご連絡事項 影響を受けないお客様 まだ全ての AWS アカウントが複数の MFA デバイス登録に対応していない 2台目の MFA デバイス登録からエラーが発生する場合 1台目の MFA デバイス登録からエラーが発生する場合 MFA デバイス名は AWS アカウント内で一意でなければならない 修正後はアスタリスク (*) で問題はないの

技術課の山本です。 近所の南アルプスでも紅葉が始まっていました。 Transit Gateway を使用して、AWS Network Firewall Endpoint の集約を考えてみる。 AWS Network Firewall を使用して、VPC内の通信を監査することが増えてきたように感じます。 そこでよく考慮に挙がるのが、Endpoint の集約です。 Endpoint は従量課金になるため、Endpointの母数を減らし、いろいろなサービスが１つの Endpoint を使うように構成しよう、と皆さん考えられます。 Endpoint を集約するためのネットワークを構成する際に、よく用いるサービスが Transit Gateway です。 本記事では、Transit Gateway を使用した、AWS Network Firewall Endpoint の集約を考えてみました。 VP

コーヒーが好きな木谷映見です。 AWS Cloud WAN が GA（一般提供）されてから早 1 か月経ちました。 本記事では、AWS Cloud WAN の概要と、簡単なセットアップを試します。 AWS Cloud WAN ドキュメント AWS Cloud WAN 概要 イメージ図 VPC 混雑時代 AWS Transit Gateway の登場 AWS Cloud WAN の登場 Cloud WAN を使ってみる 準備しておくリソース Cloud WAN の設定 グローバルネットワークとコアネットワークの作成 セグメントネットワークの作成 アタッチメントポリシーの設定 VPC アタッチメント コアネットワークのルートテーブル確認 VPC 内ルートテーブル編集 疎通確認 コアネットワークのダッシュボードを見る お片付け おわりに 追記 参考 AWS Cloud WAN ドキュメント ドキ

こんにちは。AWS CLIが好きな福島です。 はじめに 今回は、以下のハンズオンを実施したため、ハンズオンの内容を基にCI/CD for Amazon ECSの自動デプロイの流れをまとめてみます。 ◆AWS CI/CD for Amazon ECS ハンズオン https://pages.awscloud.com/rs/112-TZM-766/images/AWS_CICD_ECS_Handson.pdf また、以下のブログを読んだ後に本ブログをお読みいただくと良いかと存じます。 https://blog.serverworks.co.jp/cicd-ecs-build-deploy-files 概要図 流れの説明 ①コードのPush ローカルや開発環境で開発したコードをCodeCommitにPushします。 ②CodeCommitへのPushを検知し、CodePipelineが起動 Co

カスタマーサクセス部 佐竹です。 本日は、新しい AWS Certified Advanced Networking – Specialty (ANS-C01) 認定に合格しましたので、その対策や感想について思ったことを記載していきます。 はじめにのはじめに はじめに 「ANS-C00」の歴史 「ANS-C00」の問題傾向 私の経験 私が過去記載したブログの一部（ネットワークに関する） AWS Network Firewall に関する弊社ブログ Gateway Load Balancer に関する弊社ブログ Transit Gateway に関する弊社ブログ Route 53 に関する弊社ブログ 受験前に行った準備 サンプル問題 無料の模擬試験（20問） 試験ガイド 試験の対象となる主要なツール、テクノロジー、概念 受験後の感想 合否 試験問題について 出題傾向について 残念だったところ

こんにちは！クラウドインテグレーション部技術1課のイーゴリです。 本件の記事では、S3バケットのオブジェクトロックを設定してみましたので、ご紹介させて頂きます。 S3オブジェクトロックとは S3バケットのオブジェクトロックの設定 新規のS3バケットを作成する場合 既存のS3バケットでオブジェクトロックを有効にする場合 オブジェクトロックの設定 オブジェクトロックの対象 バケットのデフォルトオブジェクトロック オブジェクト単位のオブジェクトロック バケットのデフォルトの保持期間を設定する場合 バケット内のオブジェクト単位の保持期間を設定する場合 保持モード コンプライアンスモード ガバナンスモード 注意事項 S3オブジェクトロックとは 簡単に説明しますと、S3のオブジェクトロックとは、S3内にある対象のオブジェクトが絶対に削除されないようにするための保護機能となります。ロックする期間を設定す

こんにちは！イーゴリです。 本件の記事では、AWSのSite to site VPNでオンプレミス環境のネットワークをAWSのVPC（Virtual Private Cloud）と接続する方法をご紹介したいと思います。 構成図 構築する前に知っておくべきこと AWSのBlackbeltからのまとめ AWS側との接続方法 Site to site VPNのユースケース ルーティングの推奨タイプ ゲートウェイタイプ その他の考慮事項 ASNについて AWS Site To Site VPNでオンプレミスとAWS間のネットワークを接続する方法（VGWの方法） カスタマーゲートウェイの作成（対向側） 仮想プライベートゲートウェイの作成（VPC側） ルートテーブルの伝播の有効化 サイト間の VPN 接続の作成 対象ルータの設定ファイルのダウンロード 構成図 構成図 構築する前に知っておくべきこと A

SRE部 佐竹です。 今回は EC2 の機能の1つである「オンデマンドキャパシティー予約」について詳しく説明します。 はじめに キャパシティー予約とは何か オンデマンド？ キャパシティー予約を利用する 予約の詳細 インスタンスの利用資格(Instance eligibility) 一致する詳細を持つ任意のインスタンス この予約を指定するインスタンスのみを受け入れます。 EC2 インスタンスのキャパシティー予約の設定 オンデマンドキャパシティー予約機能対応表 None：なし Open：開く 動作確認 キャパシティー予約の設定を変更する Open：開く 停止後の挙動 Open：開く CR 不足時の挙動 Target by ID：キャパシティーの予約の指定 動作確認 Target by ID：キャパシティーの予約の指定 停止後の挙動 Target by ID：キャパシティーの予約の指定 不足時の

こんにちは！イーゴリです。 Amazon ECS で Amazon ECR のイメージがあるタスク定義を指定したら、ステータスが「RUNNING」ではなく、「STOPPED」になった場合（何かしらのECSのエラーが発生した場合）、どうやって解決すればいいかをこの記事でご紹介させて頂きます。 よく発生するパターン Cloudwatch Logsの有効化 (有効化してない場合) Apple Silicon M1でDockerイメージを作成しようとしている場合 よく発生するパターン インターネットへのアクセスがない ECSからECRへアクセスするにはインターネットアクセスが必要となりますので、ECSが →パブリックサブネットにある場合、インターネットゲートウェイがVPCにアタッチされているか、ルートテーブルの設定が正しく設定されているかをご確認ください →プライベートサブネットにある場合、NAT

カスタマーサクセス部 佐竹です。 本日は、S3 Intelligent-Tiering を利用した実際のコスト削減効果をご紹介します。 はじめに CUR の保存にかかる費用について S3 Intelligent-Tiering のコスト削減効果 ① Frequent Access tier への移動 ② Infrequent Access tier への移動 ③ Archive Instant Access tier への移動 まとめ はじめに 以前、以下のブログで「S3 Intelligent-Tiering」に新しく追加された機能「Archive Instant Access ティア」について記載しました。 blog.serverworks.co.jp この機能は、S3 Intelligent-Tiering の「自動」では今まで移動できなかった「アーカイブ層」へ、長期間利用していなか

コーヒーが好きな木谷映見です。 今日はスイッチロールの概念と設定方法についてまとめていきます。 スイッチロールとは？ ざっくりとしたイメージ 真面目なイメージ スイッチロールのイメージ 「帽子をかぶって力を得る」 IAM ポリシーの種類 アイデンティティベースのポリシー リソースベースのポリシー IAM ロールの信頼ポリシー sts:AssumeRole とは IAM ロールに付与されるポリシー スイッチロールをする際の権限まとめ スイッチロールの手順 スイッチ元アカウントA での準備① スイッチ先アカウントB での準備 スイッチ元アカウントA での準備② スイッチ元アカウントAからスイッチ先アカウントへスイッチロールする スイッチロールのユースケース 参考 具体的な設定方法を知りたい方は「スイッチロールの手順」をご参照ください。 スイッチロールとは？ ざっくりとしたイメージ 「人んちの帽

こんにちは、クラウドインテグレーション部 技術1課 宮形 です。 AWSでSSL/TLS証明書を利用する際、入手先として利用できるのが AWS Certificate Manager (ACM と記) です。 通常であれば毎年お金を払って証明書の発行・更新を行いますが、ACMを選択するとパブリック証明書・プライベート証明書を無料で発行・更新できます。 aws.amazon.com ACMは全てのシチュエーションで利用できるわけではありませんが、AWSをお使いであればACMを選択することで 証明書費用や管理工数を削減することができます。 今回本BLOGでは、ACMを利用する場合に必要となるルート証明書について紹介したいと思います。 ACMで発行した証明書のチェーンを確認 ACMが利用するルート証明書の入手先 クライアントへのルート証明書配布の検証 OSの証明書の自動更新を無効化 すでに配布さ

こんにちは！技術4課のイーゴリです。 この記事では、試しにAWS CodePipelineを使って、CodeCommit → Codedeploy → EC2へデプロイのプロセスを作ってみましたので、ご紹介したいと思います。 構成の説明 前提条件 IAMユーザー用のGit 認証情報の生成手順 CodeCommitリポジトリを作成する CodeCommitリポジトリにサンプルコードを追加する CodeDeployエージェントのインストール 事前準備（IAMロール作成） エージェントのインストール Codedeployでアプリケーションを作成 CodeDeployのIAMロール作成 アプリケーションの作成 デプロイグループの作成 CodePipelineでパイプラインを作成する 構成の説明 CodeCommitにコードをアップロードすると、CloudWatch Eventsがこれを検知して、C

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。 私はサーバーワークスへは昨年2021年12月に中途入社しまして、はや4か月がたとうとしています。 実務では主に VPC、EC2、RDS、WorkSpaces といったインフラ部分の構築を担当してきましたが、そろそろ新しい領域チャレンジということで、Dockerコンテナ技術 にトライしてみようと思います。 アプリケーション開発の経験無い、インフラエンジニア視点での文章となります。専門の方がみてお見苦しい表現があるかもしれません。ご了承ください。 Dockerコンテナとは Windows コンテナに挑戦 参考情報 ゴール 検証開始 コンテナを動かす EC2 Windows サーバー を準備 Windows コンテナのセットアップ まず動かしてみる オリジナルHTMLコンテンツをWindowsコンテナのIISで動かす まとめ D

はじめに 真面目な導入 元ネタ 状況設定 やりたいこと DynamoDB のテーブルを用意する Cognito User Pool を作る ユーザープールを作成する ユーザー作成 アプリクライアント作成 グループを作る Lambda 関数と API Gateway と Cognito Authorizer を作る serverless.yml Lambda あと必要なもの 何はともあれデプロイ どういうこと？ もう少し具体的に 寄り道 リクエストしてみる さいごに はじめに こんにちは。アプリケーションサービス部の保田（ほだ）です。 最近さつまいもが滅茶苦茶美味しいということを再認識しました。 1センチぐらいの厚さに切ったのを茹でてオプションで塩をちょっとかけるだけで美味です。 という訳で今日は Lambda のポリシーを動的に制御する方法を考えます。 真面目な導入 例えば API Gat

こんにちは。サーバーワークスでCloud AutomatorのSREチームで開発・運用を担当している尾崎です。 2回に渡って、Cloud AutomatorのSREチームが中心となって取り組んだアプリケーションのCI/CD改善について紹介します。 まずはCircleCIの設定ファイルのメンテナンス向上について紹介をして、別の記事でCircleCIを利用したカナリアデプロイについて紹介します。 なお、記事中で「CI」は主にアプリケーションの自動テストやコンテナイメージのビルド、「CD」はアプリケーションコード(コンテナ含む)のデプロイを意味しています。 開発チームが持っていた課題 課題への対策 アプリケーションデプロイ(CD)用のリポジトリを新設 CircleCIのダイナミックコンフィグを利用したデプロイ設定ファイルの分割 まとめ 開発チームが持っていた課題 Cloud Automatorは

こんにちは 技術課の山本です 雪が続くと夏山が恋しくなりますね 天狗岳(八ヶ岳) そして久保史緒里さんオールナイトニッポンのメインパーソナリティー就任おめでとうございます さて本題です ECSのサービス検出機能(サービスディスカバリ)について 改めて理解を深めるためにブログを書くことにしました ECS のサービス検出機能とはなにか ドキュメント サービス検出 - Amazon Elastic Container Service ECSのサービス検出機能を使うとECSクラスターの中にある各サービス間の名前解決が可能になります パブリックではなくプライベートな名前空間での名前解決が可能です ECSのサービス検出機能はECSクラスターの中にあるサービスにDNS名を付与します (xxxx.service など) サービス内のタスクの増減に応じてDNS名に対応するレコード値(IPアドレス)を自動更新

どうもこんにちは 技術課の山本です 休日は山に登っています 山中湖パノラマ台付近 そして新内眞衣さん卒業おめでとうございます(これを言いたくてブログを書きました) さて本題です CloudFront が AWS-managed prefix list に対応しました aws.amazon.com prefix list (プレフィクスリスト)ってなに？ docs.aws.amazon.com Cidr ブロックをリストにして束ねたものです セキュリティグループやルートテーブルの設定・管理を楽にしてくれます 例として 2つの Cidr ブロックを 1つのプレフィクスリストに束ねて pl-my.network と名前を付けます ※カスタマー管理プレフィクスリスト プレフィクスリストの名前 エントリするCidr ブロック pl-my.network 172.32.1.1/32 172.32.2.

こんにちは。AWS CLIが好きな福島です。 今回はタイトル通り、セキュリティグループのルールの一覧が欲しい際に実行するコマンドをご紹介いたします。 利用するコマンド,サブコマンド まず、AWS CLIの構造は以下の通りです。 aws <command> <subcommand> [options and parameters] 上記を前提に今回使う <command>,<subcommand>は、以下の通りです。 <command> ec2 <subcommand> describe-security-group-rules 結論 実行コマンド aws ec2 describe-security-group-rules \ --query "SecurityGroupRules[].\ [SecurityGroupRuleId,\ GroupId,\ IsEgress,\ IpProto

DS課の古川です。 RDS Proxyの登場により、AWS LambdaとAmazon RDS間接続のボトルネックを回避できるようになりました。 今回は、RDS Proxyを経由してAWS LambdaからAmazon RDSに接続する手順を試してます。 はじめに 最大同時接続数 LambdaとRDBの接続 RDS Proxy リソース Security Group Lambda用 RDS Proxy用 RDS用 手順 1. データベースを作成 2. 接続テスト 踏み台サーバー or Cloud9を用意 RDSに接続 テスト用のテーブルを作成 3. Secrets Managerの設定 4. RDS Proxyの起動 5. Lambda関数の作成 serverless.yml lambda_rds_proxy.py 6. Lambdaを実行 気をつけるポイント 参考 はじめに 最大同時接続