AWS WAFのマネージドルールでありがちな予期せぬブロック - mazyu36の日記
はじめに AWS WAFのマネージドルールについて、観測範囲における誤検知あるある事象をまとめておく。 AWS WAFの意図せぬブロックあるあるを知りたい。 複数のプロジェクトで経験したのはリクエストボディ8kb越えでブロックされるのと、OIDCのエンドポイントへのリクエストがSQLインジェクションにされるやつ— mazyu36 (@mazyu36) 2023年1月18日 概要とよくとる対処方法を記載している。ただし対処についてはサービスの要件等を踏まえ、どこまでのリスクを許容するかを判断して設定する必要がある。 緩和する際もいきなりAllowにするのではなく、Countモードを活用し想定通りの挙動となるか確認した方が良い。以下参考リンク。 blog.denet.co.jp はじめに リクエストボディ8kb越えによるブロック(SizeRestrictions_BODY) 概要 対処方法 フ
S3のコストを大幅に削減した話 - Gunosy Tech Blog
広告技術部のUTです。 最近はカービィディスカバリーをゆっくりやってます 概要 過去の失敗 どうやったか 仕組み 結果 まとめ 概要 昨今ではデータドリブンな意思決定を重視する企業がどんどん増えており、データを活用することにより事業成長へのインパクトを出そうとしています。 データを事業へと活用するためには、蓄積されるデータを分析するために保管しておく必要があります。 弊社も創業時からデータを蓄積し事業に活用することに力を入れてきた企業の一つであり、日々大量のログが収集されています。 またAWSアカウントを複数運用していますが、一番データ量の多い広告アカウントのS3にはペタバイトレベルのデータが保管されています。 普段何気なく使っているデータレイクとしてのS3ですが、少量であれば無視できるくらい小さいので、コストを気にせず使っておられる方も多いのではないでしょうか? そのようなS3でも巨大な
WebRTC配信システムをAWSからオンプレミスに切り替えている話
2021年7月27日 DMM meetup #31 での発表内容です
AWS SDK for PHP v3 の ObjectUploader の使い方としきい値
AWS SDK for PHP にはファイルアップロードのための ObjectUploader メソッドがあって、ファイルサイズによって最適なアップロード方法で処理してくれる。 自分が携わっている開発中の Web アプリでは、 ( S3 へ) 小さなファイルも大きなサイズのファイルもアップロードされるので、 ObjectUploader を使ってみた。また、アップロード方法が切り替わる境界となるファイルサイズ (しきい値) を調べた。 ObjectUploader とは AWS SDK for PHP には、 5 GB までのファイルをアップロードできる PutObject と、大容量ファイルをアップロードするための MultipartUploader メソッドが用意されている。 ObjectUploader は、アップロードされたファイルサイズによって、 PutObject と Mult
AWS Chatbotで簡単にSlack通知!!&通知例いろいろ - Qiita
はじめに AWS Chatbot がついに一般利用開始となりました。(2020/4/23) SlackまたはAmazon Chime各種AWSサービスに関する通知を簡単に送ることが可能になります。 通知以外にもIAM、STS、KMSを除いたほとんどのサービスでAWS CLIの読み取り専用コマンドを AWS Chatbotを通じて実行できます(作成、変更、削除系のコマンドは実行できません)。 またLambda関数のinvokeやサポートケースの作成にも対応しています。 通知に関してはこれまでのように専用のLambda関数を個別に作る必要はありません。 以下のサービスの通知に対応しています。 AWS Billing and Cost Management AWS CloudFormation Amazon CloudWatch Alarms AWS Developer Tools AWS Co
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
AWSマルチアカウントにおけるIAMユーザー設計戦略を考えてみる - How elegant the tech world is...!
はじめに 2020年3月以来の投稿になりますが、「AWS案件に携わる中で、いろいろと貯まった知見を世のエンジニアの皆さんと共有したいな..」という思いに突然駆られ、本稿ではAWSマルチアカウントにおけるIAMユーザ設計の戦略をご紹介します。 ビジネスの要件・制約等により、取り得る設計は様々ですが、一つのベストプラクティス例としてご参考になればと思います。 IAMポリシーに関する基本方針 カスタマー管理ポリシーの利用 AWS利用において、避けては通れないIAM設計。 AWSでは、AWSアカウント(ルートユーザー)の通常利用は推奨しておらず、 AWSアカウント作成後は速やかにIAMユーザーを作成される方も多いのではないでしょうか。 AWS アカウントのルートユーザー 認証情報を使用して AWS にアクセスしないでください。また、認証情報を他のだれにも譲渡しないでください。代わりに、AWS アカ
AWS NLB についてあれこれ - 水深1024m
AWS ELB (ALB, CLB) には日頃からだいぶお世話になっているわけですが、新しい Network Load Balancer (NLB) がリリースされましたね。 新しいNetwork Load Balancer – 秒間数百万リクエストに簡単にスケーリング | Amazon Web Services ブログ 雑に言えば CLB TCP モードの次世代版というとこですかね。 ざっくりドキュメントを読みつつ、いくつか気になる点があったのでまとめます。 ドキュメントに記載されていない内容は私が検証した内容です。何か間違いがあればお気軽にご指摘ください。 パケットはどのように流れるのか 一応図にしておきます。なんというか懐かしい (とか言ったら怒られそうな) 流れですね。 ALB や CLB (HTTP, TCP 両方) ではロードバランサがそれぞれの通信を終端していわゆるプロキシの
プラットフォームの上でものを作るということ
プラットフォームの上でものを作るということ Amazon EKS Advent Calendar 2019 の最終日です. みなさまご存知の通り、AWS には Amazon ECS と Amazon EKS という2つのコンテナオーケストレーションに関するサービスがあります. ECS は2014年に発表された AWS ネイティブなコンテナオーケストレータ、EKS は OSS のコンテナオーケストレータである Kubernetes をマネージドな形で提供するサービスで、2017年に発表されました. 今日はこの Amazon ECS と Amazon EKS という2つのサービスについての話を書こうと思います. // 読んでくださっているみなさまをミスリードしないための DISCLAIMER 本記事の著者は AWS に勤めています. また、この記事には僕個人の意見や想いも強くこもっています.
入社後にAWSアカウントの整理とAWS SSOを導入した話 - トレタ開発者ブログ
こんにちは、2019年7月よりトレタにJOINした @aibou です。 本記事はトレタ Advent Calendar 2019の16日目の記事です。 趣味はNFL観戦とボルダリングです。NFLは今年11月にマイナス気温の屋外で現地観戦してきました。 最近リードクライミングの講習を受けまして、ガシガシと岩を登っております。 さて、今回はAWSアカウントとAWS SSOのお話をしようと思います。 既に社内エンジニアへの共有や社内WikiにAWS SSOの利用マニュアルを残していますが、経緯や変遷について記載していないので、トレタ社員の方にも読み物として読んでいただければなと思っています。 免責事項 本記事を参考に実施したことで発生した金銭・セキュリティ等あらゆる問題について責任を負いかねますので、自己責任のもと実施していただくよう、よろしくお願いいたします。 また、誤り等あればはてブ等でご
【小ネタ】AWS CLIでAWS Account IDが取れるようになりました! | DevelopersIO
西澤です。みんな大好きAWS CLIで地味に嬉しいアップデートがあったのでご紹介します。 Release: AWS Command Line Interface 1.10.18 : Release Notes : Amazon Web Services 意外に取りづらかった自分のAWS Account ID これまでAWS Account IDを取得する方法って確立された方法がありませんでした。下記記事のように皆さん工夫していたのが実情かと思います。 【Tips】AWS CLIでAWSアカウントIDを取得する方法 | Developers.IO 意外にわかりづらかった今使用しているプロファイル 特に複数アカウントを切り替えて利用する環境では、今AWS CLIで使っているprofile情報が何なのか非常にわかりづらかったと思います。aws configure listで切り分けをして確認する
【図解/AWS】インターネットGWとNAT-GWの違い〜各メリット、パブリックサブネットとは〜
インターネットゲートウェイとはインターネット GW は Static NAT を行います。つまり、パブリック IP を割り当てられた EC2 インスタンス等は、プライベート IP とパブリック IP が 1 対 1 で変換されます。 Static NAT の場合、NAT テーブルには通信前から「プライベート IP とパブリック IP の変換ルール」が定義されていますので、EC2 から始まる通信であっても、インターネットのクライアントから始まる通信であっても、IP は変換され、通信が可能です。 なのでインターネット GW の使い道は主に「インターネットからのアクセス」と「インターネットへのアクセス」の両方を実現することです。 インターネット GW は VPC に配置します。そしてインターネット GW を使いたい EC2 インスタンスは、「デフォルトルート 0.0.0.0/0 のターゲット」と
ブラウザのみでVPNサーバーをたてる - hatappi.blog
1週間くらい海外旅行にいってた。 オーストラリアにいってたのですが、向こうは12月が夏なので半袖ですごせて最高〜って感じでした!! PCとかはもってかなくて電子機器類はSIMフリーのiPhoneとiPadだけ。 そんな旅行中に日本国内からアクセスしたいサービスがでてきた。 日本国内のVPNサーバーに対してiPhoneやiPadからVPN接続すればやりたいことは実現できるんだけど、VPNサーバーをどう調達するかが課題になってくる。 VPNサーバーどんな選択肢があるか 野良で落ちているのは使わないとして後は有料版の30日お試しみたいなのを使うことも考えた。 www.expressvpn.com ちゃんとしたところなのかとかを調べたりするのも面倒だったから自分でさっと作ってしまった。 用意するもの ブラウザ(今回はChromeの71.0.3578.77を使用しました) AWSのアカウント どうや
Amazon Linux 2のExtras Library(amazon-linux-extras)を使ってみた | DevelopersIO
Amazon Linux 2には Extras Library と呼ばれるパッケージ群が存在し、Python、Golang、MariaDB、Ansible などの特定のパッケージをより新しいバージョンで利用することが出来ます。 Extra Packages for Enterprise Linux (EPEL) のような位置づけで、通常はディストリビューション標準のパッケージを利用する一方で、特定のパケージではより新しいバージョンを試せます。 この特別なパッケージは AWS がキュレートし、amazon-linux-extras コマンド経由で管理します。 今回はこの Extras Library を実際に使ってみます。 Extras Library は amazon-linux-extras コマンドで操作 Extras Library は専用プログラム amazon-linux-ext
【超重要】対応しないと使えなくなるかも?!今、全S3ユーザがチェックすべき署名バージョン2の廃止について | DevelopersIO
ご機嫌いかがでしょうか、豊崎です。 注意喚起記事です。一部のS3利用者に影響が出ることなので、是非ご確認、および対象の方はご対応いただければと思います。 具体的に何のことかというと、Amazon S3のAWS署名バーション2の廃止についてです。 弊社suzukiがすでに記事を書いていますが、Amazon S3のAWS署名バーション2が2019年6月24日に廃止されます。これは、より安全にAWSおよびS3を利用できるようにするために署名バージョンの変更が行われるためです。 これによって一部のAWSユーザのS3の利用に影響が出ます。 署名バージョン4専用のS3エンドポイントを古いCLIで試してみた AWSの各サービスのAPIを利用する際、AWSが送信元を特定できるようにリクエストに署名が必要です。現在AWSのAPIで利用されている署名バーションは「2」と「4」の2種類あり、「4」が推奨されてい
大きくなってきたIoTプロダクトのログ活用について 〜Amazon Elasticsearch Service篇〜 - フォトシンス エンジニアブログ
ども、id:kazuph1986 です。この記事は、Akerun Advent Calendar 2018の1日目の記事です。 今回は弊社のログの活用をするためにサクッとElasticsearchを導入して業務改善を行った話をします。 背景 弊社では利用関連のデータはすべてDBに保持しており、データをRails consoleやRedashを用いて確認・分析を行っております。 ですが、IoT機器自体のログをすべてDBに含めるのは(負荷・量・金銭コスト的に)無理があったため、そのままサーバーのログとして吐き出しているだけのものもあります。 弊社ではログの収集については、 リアルタイムにCloudWatchLogsに送信 日次でS3に送信 しており、それぞれ 短期間の生ログの確認用 長期間の保存用 という分け方をしていました。 サポートのために弊社のカスタマーサポート(以下、CS)のメンバーと
RDS for MySQLからAuroraへの移行 〜Auroraリードレプリカを利用した低コスト移行方式〜 - コネヒト開発者ブログ
こんにちは。インフラエンジニアの永井(shnagai)です。 今回は、メインサービスで使っているDBを、RDS for MySQLからAmazon Auroraへ移行した話について書こうと思います。 Auroraの良さについては、一つ前のブログにまとめているので気になる方はこちらをご覧ください。 tech.connehito.com なぜAurora移行を行ったのか 可用性を担保しながら、コストメリットが享受できる RDS for MySQL時代は可用性を確保する為に、マスター、レプリカ全て MultiAZ構成で組んでいました。しかし、MultiAZだとアクティブ-スタンバイ構成なので、スタンバイ機はトラフィックを捌かず寝ている状態になります。 Auroraにすることで、マスター - レプリカ間のフェイルオーバーが可能になり、全てのRDSインスタンスをアクティブに運用することで、同じマスタ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS Lambda in VPC with RDS and Internet Connection
そんなことあるんだ AWS
OpsJAWS-JAWSUG-KANAZAWA_20181123 - Speaker Deck
