はてなブックマーク

こんにちは。サーバーワークスでCloud AutomatorのSREチームで開発・運用を担当している尾崎です。 2回に渡って、Cloud AutomatorのSREチームが中心となって取り組んだアプリケーションのCI/CD改善について紹介します。 まずはCircleCIの設定ファイルのメンテナンス向上について紹介をして、別の記事でCircleCIを利用したカナリアデプロイについて紹介します。 なお、記事中で「CI」は主にアプリケーションの自動テストやコンテナイメージのビルド、「CD」はアプリケーションコード(コンテナ含む)のデプロイを意味しています。 開発チームが持っていた課題 課題への対策 アプリケーションデプロイ(CD)用のリポジトリを新設 CircleCIのダイナミックコンフィグを利用したデプロイ設定ファイルの分割 まとめ 開発チームが持っていた課題 Cloud Automatorは

こんにちは。AWS CLIが好きな福島です。 今回はタイトル通り、セキュリティグループのルールの一覧が欲しい際に実行するコマンドをご紹介いたします。 利用するコマンド,サブコマンド まず、AWS CLIの構造は以下の通りです。 aws <command> <subcommand> [options and parameters] 上記を前提に今回使う <command>,<subcommand>は、以下の通りです。 <command> ec2 <subcommand> describe-security-group-rules 結論 実行コマンド aws ec2 describe-security-group-rules \ --query "SecurityGroupRules[].\ [SecurityGroupRuleId,\ GroupId,\ IsEgress,\ IpProto

営業部 佐竹です。 本日は、AWS 上のリソースを悪用され Crypto Currency （仮想通貨/暗号通貨）の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。 はじめに キーワード 暗号通貨とその種類 採掘（マイニング） ウォレットへの送金 採掘悪用の概略図 悪用行為が増えている背景 ビットコインの高騰 イーサリアムの台頭 暗号通貨採掘悪用の攻撃経路 EC2 インスタンスに侵入し、侵入したインスタンス上で採掘を行う IAM Role を悪用し、悪意のある AMI から採掘用インスタンスを大量に横展開して採掘を行う 漏洩した IAM Credentials を悪用し、採掘用インスタンスを大量に横展開して採掘を行う 暗号通貨採掘悪用の防御手段 侵入させない SSH や RDP が意図せず解放されてしまいその

本ブログは動画での解説も行っています。 youtu.be はじめに 新卒1年目の近藤です。今回AWSのサービス「Amplify」で、デザインツール「Figma」との連携に関する（Amplify Studio）アップデートがありました。どちらも普段からよく使うものランキング上位のサービスなので、知りたい！ただそれだけの思いで設定を行ってみました。 何がうれしいのか デザインツールで作成した UI をコード（React コンポーネント）に変換できる Amplify Studio 上でコンポーネントを管理できる ローカルの開発環境へのインポートが簡単 私が率直に感じたうれしいポイントは上記の3つです。React などのフレームワークでは、Webページでよく使う要素（例えばボタンのUIなど）をコンポーネントとして管理することができます。通常、開発において、デザインツールで作成した UI をコードで

こんにちは、サービス開発課の丸山です。 本日はタイトルの通り、サービス開発課で開発している Cloud Automator の新機能の開発前の段階で行っている取り組みについてご紹介したいと思います。 とは言っても、うまくいっているベストプラクティスというほどのものではなく「今のところ実験も兼ねてこんな感じで回しています」という温度感のものです。 そのため、うまくいった取り組みや利点はもちろんのこと、課題に感じている部分も紹介していければなと思っております。 開発前に行っている取り組み 今回は次の3つの取り組みを紹介したいと思います。 Working Backwards ユーザーストーリーマッピング Example Mapping これらの取り組みは実装に着手する前に1~3の順番で行っています。 Working Backwards 背景 Working BackwardsとはAmazon社内

株式会社Flatt Securityの提供するセキュアコーディングの学習サービス「KENRO（ケンロー）」のトライアル利用が2021年10月に無料になりました。通常は8万円くらいかかるコンテンツの一部が無料になっています。 flatt.tech 無料の範囲をやり終えましたが、素晴らしいサービスで感動しました。 セキュリティに興味がある方には非常にオススメです。 オススメポイント 1. 無料で簡単に始められて期限もない Webサイトでポチポチっと申し込めばすぐに開始できます。 クレジットカード情報なども不要なので安心です。 期限もないので、マイペースで学習できます。 https://flatt.tech/kenro/ 2. よく聞く脆弱性の基礎が学べる OWASP Top 10 などに出てくるようなメジャーな脆弱性10項目のコンテンツがあります。 各項目の中でさらにサブコンテンツがありますが

「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF導入時に必要なステップを解説します。 今回は以下のようなWebサーバ構成にAWS WAF導入するという例を想定します。 Webサーバ前段にロードバランサーがありますが、防御的な効果はほぼ無いため、SQLインジェクション等の不正アクセスのWebリクエストは、EC2インスタンス上で動いているWebアプリケーションに到達します。 もちろん、セキュリティに気を配って、アプリケーションやミドルウェアなどが構成されていれば、不正アクセスが成功することは少ないと思います。 しかし、セキュリティに絶対は無いため、防御レベルを上げるためにAWS W

本ブログは動画でも解説を行っています。 www.youtube.com こんにちは、サービス開発の丸山です。 今回は(も?)小ネタの紹介です。 私は VSCode の Remote - SSH という機能を使ってAWSのEC2にSSHして開発を行うことがたまにあります。 Remote - SSH とはその名の通りVSCodeでリモートのサーバーにSSH接続することで、ローカルにあるファイルと同じインターフェースでリモートサーバー上のファイルやターミナルを操作できる機能です。 VSCodeの Remote - SSHについてはこちらのブログをご覧下さい。 blog.serverworks.co.jp この時に、普通にSSH接続を行うのではなくAWS Systems Manager Session Manager の機能を使うことで、EC2インスタンスのセキュリティグループのインバウンド SS

営業部 佐竹です。 本日は AWS 初心者に向けた大切な2つのポイントを記載したいと思います。 はじめに AWS では、アップデートを追い続ける 公式の What's New を英語で確認する リリースではリージョンに注目する ドキュメントを英語で確認する 「AWSサービスアップデートまとめ」を確認する AWS では、十分に機能検証を行ってから本番環境へ適用する AWS 利用料を把握する まとめ はじめに 最近 AWS に関わるエンジニアが増えてきたと感じます。クラウド業界の市場規模が広がり続けているのもありますが、個人的には AWS クラウドプラクティショナーが転職に有利な資格だと認識されてきていることからもそれを感じ取っています。 さて、今日はそんな「最近 AWS に触れ始めました」という方に向けてのブログになります。 本ブログでお伝えしたいことはたったの2つです。AWS エンジニアに

こんにちは！サーバーワークスの松井です。 Transit GateWayについてハブみたいにVPCを行き来できるサービスだというざっくりとした認識で止まっている方は多いのではないでしょうか。 今回は一歩進んでTGWを複雑なネットワーク要件でどのように導入していけばよいのかをシュミレーションしながら紹介したいと思います。 よく見る構成 このような構成をよく見かけると思います。 では、実際にはどのように通信が可能なのでしょうか。 今回やりたいこと ・東京リージョンのVPCとシンガポールリージョンのVPCをつなぐ ・アカウントAとアカウントB内のVPCをつなぐ ・東京リージョンの本番環境と開発環境は通信できないようにする ・東京リージョンとシンガポールリージョンは、DX経由で社内ネットワークに通信可能(オンプレからの通信はリージョン毎に分ける) ・社内ネットワークとAWS環境のCIDR範囲は重複

週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベースのポリシー IAMユーザー IAMロール まとめ はじめに AWSにおいて認証・認可（権限の付与）を司るサービスと言えば IAM（Identity and Access Management）です。IAMではJSON形式でポリシーステートメントに具体的に許可したい操作、拒否したい操作を記述して認可（権限の付与）を行い、IAMユーザーやIAMロールに関連付けたりしてポリシーを適用します。今回は実際にポリシーを設計する際のポイントを考えて整理してみました。なおAWSが扱うポリシーはいくつかの種類と評価の優先順位がある

CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 評価ロジック 拒否の評価（明示的な拒否） Organizations SCP リソースベースのポリシー IAM Permissions Boundary セッションポリシー ユースケース：クロスアカウントのSwitch Role ①AssumeRole API Request ②temporary security credentials ③IAM Roleの権限でSwitch Role アイデンティティベースのポリシー まとめ はじめに AWSにおいて認証・認可（権限の付与）を司るサービスと言えば IAM（Identity and Access Management）が真っ先に思い浮かびます。例えば IAMのIAM Policyではポリシーステートメントに具体的

こんにちは。AWS CLIが好きな福島です。 はじめに 比較表 補足 グローバルデータベース(表のNo.14) マルチマスタークラスター(表のNo.15) クロスリージョンリードレプリカ(表のNo.10) データベースアクティビティストリーム(表のNo.16) バックトラック(表のNo.17) クローン(表のNo.18) Serverless (表のNo.19) まとめ はじめに 今回は、Amazon RDSとAuroraの違いをまとめました。 比較表 Excelに違いをまとめてみました。 ※可能と記載している場合でも、バージョンによってサポートされている/いないがあるため、ご注意ください。 補足 グローバルデータベース(表のNo.14) プライマリのクラスターを異なるリージョンに読み取り専用のクラスタ(最大5つ)として、作成できる機能です。 書き込みは、プライマリのクラスターに直接発行し

AWS障害時にどこを見ればいいのでしょうか。また、どうやって障害に気づけばいいのでしょうか。 例えば「Direct Connectが壊れた」「EC2のAPIに異常が発生した」時は、気づきたいものです。 AWS Health イベントの通知 パブリックイベントとは アカウント固有のイベントとは Service Health Dashboard（SHD） Personal Health Dashboard（PHD） ダッシュボード イベントログ EventBridge 通知構成の例 AWS Health API イベント一覧 イベント詳細 オープン＋パブリックイベント オープン＋アカウント固有のイベント イベントタイプ一覧 まとめ AWS Health イベントの通知 AWS障害発生すると AWS Health イベント が通知されます。この通知内容を見るには、次の4つのサービスを利用できます

営業部 佐竹です。 本日は、2021年9月2日 の 午前7時30分から午後1時42分までの間に発生していた「東京リージョンにおけるダイレクトコネクト（専用線：以下 DX と記載）障害に関する記事となります。 はじめに 影響範囲について 一時的な対応策 DX をダウンさせる 1-1. CGW で NIC を Shutdown する 1-2. 物理線を抜く 1-3. DX フェイルオーバーテストの実行 2021年10月5日 追記 BGP 設定で対応する 2-1. 広報経路を更新する その他の手法 参考情報 Personal Health Dashboard の履歴1 [4:00 PM PDT] [4:45 PM PDT] [6:49 PM PDT] [6:49 PM PDT] [9:56 PM PDT] Personal Health Dashboard の履歴2 [05:39 PM PDT]

CI部 佐竹です。 本日は、AWSのホワイトペーパー（白書）を読みながら、AWS Organizations の OU に関するベストプラクティスを学びたいと思います。 はじめに Organization (組織) SCP (サービスコントロールポリシー) エンティティ Root OU (organizational unit) アカウント 構成図 Organizations における悩み Organizations のホワイトペーパー Recommended OUs Security OU Log archive account 運用ログデータ 不変的なログデータ このアカウントへのアクセスの管理 Security tooling accounts AWSサービスの一般的な例 Detection Identity and Access Management Incident Respon

このブログではとてもお久しぶりです。 営業課の生井です。 最後に書いたブログはどれだったかなと調べてみました。 …もう3年前なんですね。時が経つのは早いです。 今日はAmazon EC2にリタイア通知が届いた時の対応手順を紹介しようとおもいます。 Amazon EC2 リタイア通知とは Amazon EC2を利用していると時々リタイア通知がきます。 通知例 EC2 has detected degradation of the underlying hardware hosting your Amazon EC2 instance (instance-id:XXX) associated with your AWS account (AWS Account ID: XXXX) in the ap-northeast-1 region. Due to this degradation you

技術 1 課の水本です。 私はメモやノートに Notion を使っているのですが、先日、このようなツイートを見かけたので調べてみました。 Notion、ちょっと気をつけないとなのが画像を貼り付けると、がんがんパブリックな AWSにアップされている。ノートがシェアされていなくても画像の直リンクは見られるし、ノートを削除してゴミ箱から消しても画像は消えない・・うっかり、変な画像を貼らないようにした方が良さそう。— たにぐち まこと／学ぶ。をちゃんと (@seltzer) 2021年6月10日 ※紹介したツイートの方も続いての投稿で注釈を入れていますが、パブリックというのは語弊があります。 TL;DR Notion はストレージに Amazon S3 を使っている Notion でオリジナルファイルを確認した際の挙動と影響 不安な方への Notion の使い方 TL;DR Notion に埋め込

結論 pyenv global しても何も起きないときはこの警告がないか確認すべし（ exec -l $SHELL とか実行する）。 WARNING: `pyenv init -` no longer sets PATH. Run `pyenv init` to see the necessary changes to make to your configuration. 出ていたら、以下のコマンドを実行すべし。 $ echo 'export PYENV_ROOT="$HOME/.pyenv"' >> ~/.bashrc $ echo 'export PATH="$PYENV_ROOT/bin:$PATH"' >> ~/.bashrc $ echo 'eval "$(pyenv init --path)"' >> ~/.bashrc $ echo -e 'if command -v py

SRE部 佐竹です。 EC2 Instance で運用しているDNSサーバの設定を変更する機会があったのでブログにします。 はじめに 通常の名前解決経路 EC2 上に構築したDNSサーバを利用する場合の各名前解決経路 amzn.local.net の名前を解決する場合 local.net の名前を解決する場合 Systems Manager の名前を解決する場合 解決策 nslookup での検証結果 設定反映前 設定反映後 まとめ はじめに VPC Endpoint Service (AWS PrivateLink) を作成すると、その VPC 内の指定した Subnet に ENI が作成され、以後その Private IP アドレスをサービス用のIPとして利用可能になります。 通常であれば、以下の通りの経路で名前解決が可能です。 これは、Systems Manager (SSM) 向

はじめに AWS 公式ブログ投稿 Deployment models for AWS Network Firewall 3 種類のモデルアーキテクチャ North-South トラフィックと East-West トラフィックとは Distributed AWS Network Firewall deployment model とは Centralized AWS Network Firewall deployment model とは Combined AWS Network Firewall deployment model とは 生じた疑問とその回答 生じた疑問 Inspection VPC はなぜ必要なのか VPC ごとに個別の URL フィルタリングルールを適用するには 疑問 3 と 疑問 4 各構成パターンの整理と比較 構成パターン一覧 1. Distributed Inspe

CI部2課の山﨑です。 AWSではEC2のAMI、EBSのスナップショット、RDSのスナップショットなどAWSサービスごとに様々なバックアップ方法があります。本記事ではこれらを一元管理することが可能なAWS Backupというサービスについて、その仕組みや基本操作を整理していきます。 AWS Backupとは 仕組み 料金 AWS Backupをセットアップしてみる バックアップボールトを作成 バックアッププランを作成 バックアッププランをAWSリソースと関連付ける 動作確認 復旧ポイントからEC2を復元する 復元する際にAWS Backupに渡すIAMロールの権限について まとめ AWS Backupとは AWSドキュメントには以下のように紹介されています。バックアップの一元管理とバックアップアクティビティのモニタリングが可能であるということさえ押さえておくと良いです。 AWS Back

技術 1 課の水本です。 最近 Terraform のリファクタリングを行っているのですが、ベストプラクティス迷子になっています。 HashiCorp でも明確な方針は打ち出していない為、Terraform を利用する各プロジェクトで方針を決めているのが現実のようです。 今回は私が出会ってきた問題と、それについての対応、見解を書き連ねていきます。 あくまでも私が思ったことですので、「こうしたほうがいいよ！」というネタも募集しています。 workspace 使うのか使わないのか問題 結論として、私自身は workspace という機能を知ったものの、使うことは考えませんでした。 Terraform では workspace という個別のエリアを設けることが可能で、これを prod や staging と命名し作成しておくと、完全に環境を分離できるというメリットがあります。 ただしデメリットと

こんにちは。AWS CLIが好きな福島です。 今回は、Trend Micro Cloud One - Workload Secuirty(以下C1WS)を触る機会があり、 C1WSのドキュメントの確認や動画を視聴したため、C1WSの概要と7つの機能を備忘録として、ブログに記載いたします。 補足：C1WSとは、旧 Trend Micro Deep Security as a Serviceのことになります。 参考：Trend Micro Cloud One Workload Security (JP) C1WSとは コンポーネント概要 用語 Deep Security Manager(DSM)　※Trend Microが管理。 Deep Security Relay(DSR)　※Trend Microが管理。 C1WSコンソール　※ユーザーが管理。 Deep Security Agent(D

CI部2課の山﨑です。 SNSのメール通知内容を整形する方法としてLambdaを利用するという方法がありますが、今回はEventBridgeの入力トランスフォーマーを利用して、SNSのメール通知内容を整形してみました docs.aws.amazon.com 想定した利用シーン 今回はSecurity Hubが検知した内容をメールで運用担当者に通知するという利用シーンを想定しました。以降はSNSとSecurity Hubはすでに構築済という前提でEventBridgeの設定に絞ってご紹介します。 EventBridgeのルール作成 イベントパターン Security Hubの通知の中でも重要度が高い内容のみを通知するようにイベントパターンをカスタムしました 【今回利用したイベントパターン】 { "source": [ "aws.securityhub" ], "detail-type": [

お久しぶりです。 クラウドインテグレーション部 柿﨑です。 IAMには属性ベースのアクセスコントロール(以下、ABAC)というものがございます。 ドキュメントを読んだだけではちゃんと理解できているか怪しいため、今回は触りながらABACの挙動を確認してみようと思います。 たまたまAWS SSOを触る機会があったため、せっかくなのでAWS SSO + ABACの組み合わせを試してみましょう。 情報量はなるべく絞ってシンプルにいきます。 構成情報 手順 AWS SSOの設定 メンバーアカウントの準備～ABACの挙動確認 まとめ 構成情報 今回の構成はざっくりこのようなかたちです。 マスターアカウントのAD Connectorと認証アカウントのAD on EC2はすでに設定済みで、AWS SSOを有効化したところからスタートとします。 手順 AWS SSOの設定 AWS SSOを有効化した直後はI