Amazon EC2 アクセス制御レシピ | DevelopersIO
はじめに 悪意のあるユーザーからシステムを守るにあたって、アクセス制御は重要です。 社内システムのような一般公開しないシステムの場合は必要な拠点からのみ接続を許可することで、悪意のあるユーザーからの攻撃をブロックします。 ECサイトのような一般公開するシステムの場合は必要な通信のみ許可します。 不要な通信を許可すると、攻撃が成立しやすくなります。 攻撃を防ぐだけでなく、攻撃を受けた後の対応としてもアクセス制御は重要です。 例えば、特定IPアドレスからの攻撃が認められる場合、そのIPアドレスをブロックします。 本記事ではAmazon EC2で行うアクセス制御の基本を整理します。 本記事でのアクセス制御は、主にIPアドレスベースでの制御を対象にします。 EC2のアクセス制限には主にセキュリティグループとネットワークACLで行います。 上記との2重管理になるため、iptablesやWindows
Amazon EC2 セキュリティレシピ | DevelopersIO
最新のミドルウェアを使う 古いミドルウェアには脆弱性が含まれることがあります。 脆弱性によってその影響は様々です。 外部から比較的容易にサービス断を行えるものや、不正なコマンドを実行され情報を抜き取られるなどよりクリティカルなものもあります。 最新のミドルウェアを利用し定期的にアップデートするようにします。 ミドルウェアの脆弱性が見つかると、脆弱性情報データベースや各ベンダで公開されます。 Common Vulnerabilities and ExposuresやJapan Vulnerability Notesが有名です。 Amazon Linuxの場合、Amazon Linux AMI Security Centerで公開されます。 各サイトを巡回するには骨が折れるため、RSSやtwitterで情報収集されるかたも多いかと思います。 影響が大きい脆弱性については、全社周知が行われる組織
Amazon VPC IPアドレス設計レシピ | DevelopersIO
はじめに AWSにはEC2やRDS、RedshiftなどVPCに対応したサービスが数多くあります。 これらのサービスを利用する場合、まずはVPCやサブネットを作成します。 VPCの作成ではIPアドレス(=CIDR)に何を指定するか迷う方が多いのではないでしょうか。 私がVPCとサブネットのCIDRを決める際に考慮しているポイントは、ざっと以下の通りです。 プライベートIPアドレス範囲から指定する VPNやDirect Connect利用時はオンプレミスとの重複に注意する VPCピア利用時はVPC間で重複できない 将来の拡張に対応可能なCIDRを選択する 最低でも/28以上が必要 CIDRブロックのうち、5IPは利用できない ELBを配置するサブネットは/27以上のCIDRかつ、少なくとも8個の空きIPを用意する それぞれの詳細をご紹介し、最後に優先順位をまとめます。 プライベートIPアドレ
【新機能】新しいロードバランサー Application Load Balancer(ALB)が発表されました | DevelopersIO
target2の場合も同様に作成します。 ターゲットグループにインスタンスを登録する 作成したターゲットグループにEC2インスタンスを登録します。 ターゲットグループを選択してコンテキストメニューでインスタンスの登録と登録解除をクリックするか、ターゲットタブの編集をクリックします。 インスタンスtarget1-aとtarget1-cを登録します。 ALBにインスタンスが登録されます。ロードバランサに登録していないため状態はunusedとなります。 同様にtarget2にもインスタンスtarget2-aとtarget2-cを登録します。 ALBを作成する ALBを作成します。アプリケーションロードバランサーを選択します。 ロードバランサの基本的な設定を行います。 プロトコルはHTTPとHTTPSのみとなっています。今回はHTTPSを選択します。 HTTPSを選択したのでSSL証明書を選択しま
「Hava」でAWSのシステム構成図を自動生成する | DevelopersIO
クラスメソッドでは、メンバーズサービスの一環として、お客様が構築された環境について構成レビュー(AWSのベストプラクティスに沿った構成になっているか?)や運用作業の支援(各種作業代行)を実施させていただいております。 これらを実施する場合、まず最初にやることはお客様の環境把握なのですが、設計ドキュメントは最新の状態が反映されているとも限らないので(そもそもドキュメントがないケースもあります)、多くの場合AWSのマネージメントコンソールから実際の環境を読み解くという作業が発生します。 小規模なシステム(本番環境のみ&EC2とRDSが1台ずつなど)であれば問題ありませんが、複数環境が混在、EC2も二桁台、、ぐらいになるとシステム全体像を把握するだけでも結構な時間がかかります。 今回はそんな既存環境の構成把握に一役買ってくれるであろうWebサービス「Hava | Automated AWS Ar
【社内資料公開】運用手順書を作る時のポイントについて書いてみた | DevelopersIO
はじめに こんにちは植木和樹@上越妙高オフィスです。本日は私がここ10年くらい意識している運用手順書を書くときのポイントについてまとめてみました。 対象読者 開発・構築したシステムを別の人に引き継ぐ予定のある人 他の人が作ったシステムを引き継ぐ担当の人 半年後の自分でも分かる手順書の書き方に困っている人 (この記事を読むのにかかる時間の目安:5分) 1. ドキュメントの冒頭に書くこと まず個々の詳細手順の前に、ドキュメント自体について記載してもらいたいことです。 1.1. ドキュメントに書かれていることを3行で書く ドキュメントの最初には、このドキュメントに何が書かれているのかを100文字くらいで書いておくと良いでしょう。 システムが増えれば増えるほど手順書も増えていくものです。見つけたドキュメントに自分の期待するものが書かれているのか、冒頭数行でわかるようになっているとうれしいです。 1
[AWS Certificate Manager]東京でも無料でSSL証明書が使用可能になりました! | DevelopersIO
※:CloudFrontは米国東部 (バージニア北部)で設定を行うため、CloudFrontの全エッジロケーションでACMを使用できます。 早速試します ACMを設定する 設定の手順の詳細は、[ACM] SSL証明書発行時のドメイン認証メールをSESで受け取ってみたを参照して下さい。このエントリの「ACM設定」までを実施します。 東京リージョンでAmazon Linux 2016.03のEC2を起動して、以下のコマンドを実行します。(Webサーバのインストール、index.htmlの作成、Webサーバの開始) $ sudo yum install -y httpd $ sudo echo "AWS Certificate Manager" | sudo tee /var/www/html/index.html $ sudo service httpd start 次に、東京リージョンのEL
![[AWS Certificate Manager]東京でも無料でSSL証明書が使用可能になりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/e10c36a6d4b1f695a66553f82a3d6a1f8b46fc38/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2016%2F01%2Feyecatch_certificate_manager.png)
新入社員のためのWAF(Web Application Firewall)入門 | DevelopersIO
佐々木です。クラスメソッドも4月から新しい仲間が増えました。今日はWAF(Web Application Firewall)の基本的な知識を整理してみました。 基礎知識 WAFとは WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。 ファイアウォールとは ファイアウォールは、IPヘッダやTC
RHEL/CentOSユーザーのUbuntu入門【コマンド、設定ファイル編】 | DevelopersIO
(※1): yumは都度更新 (※2): 削除済みパッケージも表示 サービス編 | CentOS | Ubuntu | 説明 | |:-------|:-------|:----| |chkconfig --list|ls -l /etc/rc*.d/ or sysv-rc-conf --list(※3)|自動起動設定確認| |chkconfig <SERVICE\> on|update-rc.d <SERVICE\> enable(※4)|自動起動有効化| |chkconfig <SERVICE\> off|update-rc.d <SERVICE\> disable|自動起動無効化| |chkconfig --add <SERVICE\>|insserv -d <SERVICE\>(※5)|自動起動サービス追加| |chkconfig --del <SERVICE\>|insserv
【初心者向け】ApacheBench入門 | DevelopersIO
こんにちは、虎塚です。 今週クラスメソッド社内で性能テストツールのApacheBench をテーマにした勉強会を行うことになりました(勉強会というと固い感じですが、経験者から知見をいろいろ教えてもらおうという雑談会です)。 そこで、ApacheBenchをまったく使ったことがない方の予習用に、ごく基本的な情報をまとめておきましたので、公開します。 ApacheBenchのインストール方法 Apache HTTP Serverをインストールします。 sudo yum install httpd または、apr-utilパッケージをインストールすれば、httpdをインストールしなくてもApacheBenchを利用できます。 sudo yum install apr-util ApacheBenchの特徴 ApacheBenchは、Apache HTTP Serverに同梱されている性能テストツ
AWSで構築した環境にありがちなシェルスクリプトたち まとめ | DevelopersIO
AWSでサーバを運用する際にはEC2からAWS CLIを使って他のAWSのサービスと連携したりすることがあると思いますが、AWS環境ならではのシェルスクリプトを集めてみました。AWS CLIのバージョンは1.7.13、Pythonのバージョンは2.6.9を使っています。私はAmazon Linuxで動作を確認しています。 目次 準備する AWS CLIのインストール AWS CLIのアップデート aws configureでセットアップする IAM roles for EC2 instancesに関して 監視系 CloudWatchでカスタムメトリクスを設定する ZabbixからCloudWatchの値を取得する プロセス監視する バックアップ系 AMIとEBSのバックアップを作成する RDSのスナップショットを作成する S3のフォルダを削除する 便利スクリプト系 Route53の自動登録
AWS管理コンソールの不正ログインをCloudTrail と CloudWatch Logsで検知する | DevelopersIO
はじめに 最近セキュリティについての意識が高くなってきていますね。 AWS管理コンソールへの不正ログインも心配事のひとつです。 またAWS管理コンソールへのログインは現状IP制限をすることができません。 下記ブログでは閲覧や操作が一切できない状態にする方法が紹介されています。 「AWS管理コンソールへのアクセスをIPアドレスで制限したい | Developers.IO」 今回は違ったアプローチでAWS管理コンソールに不正ログインがあった場合に CloudTrailとCloudWatch Logsを使って検知する方法を試してみました。 ※特定のIP以外からログインがあった場合にCloudWatchでアラームを飛ばします。 ■参考URL [新機能]CloudTrailでサインインが記録出来るようになった | Developers.IO CloudTrailとCloudWatch Logsの連携
Amazon EC2再入門 2015年1月版 | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 半年前に「Amazon EC2再入門 2014年7月版」と銘打ってEC2の記事を書きましたが、AWSらしい頻繁なアップデートによって古くなっている部分もあるので、記事もアップデートしようと思います。 最近EC2関連の重要アップデートが出てきました。嬉しい機能が増えているのですが、昔の知識では使いこなせないので、現時点でのEC2の起動方法について纏めようと思います。 起動手順 EC2を起動していきましょう。 AMIの選択 AMI(Amazon Machine Image)を選択します。 AMIの種類 Amazon Machine Image(AMI)には以下のような種類があります。 My AMI 自分で作成したAMIです。 AWS Marketplace Marketpkaceで公開されているAMIです。 Community AMI 他の
【速報】Amazon RDS:メンテナンスへの柔軟な対応が可能に(pending-maintenance) | DevelopersIO
こんばんは、三井田です 仕事始めの最初の週末は、お客様からのこんなサポート問合せで劇的に幕を開けました。 RDSのMaintenanceの項目にAvailableが表示されました 本件について、2015/1/10 0:40 JST時点で、AWSからのリリースノートは発表されてません。 本稿の情報源は、現時点ではRDSのマネジメントコンソールとそのリンクから辿れる公式ドキュメントとなります。 Amazon RDS User Guide: Upgrading and DB Instance Maintenance 注)現時点では「Operating System Upgrades for a DB Instance」の説明の画像がリンク切れとなってます Amazon RDS API Reference: ApplyPendingMaintenanceAction DescribePending
EC2でサーバーに負荷を発生させる stress ツールを使ってみる | DevelopersIO
はじめに こんにちは植木和樹です。Amazon Linux AMI 2014.09がリリースされて随分と経ちましたが、リリースノートにちょっと目を引いた記載がありました。 Amazon Linux AMI 2014.09 Release Notes New packages In addition to the features above, here are some other new packages added based on customer requests: : stress-1.0.4 : stressというのはCPUやメモリーの負荷を発生させるツールです。サーバーの高負荷状態でのアプリケーション挙動を確認する際に使用します。便利なツールなので使い方をおさらいしてみました。 stressの使い方 プロジェクトページ stressツールのプロジェクトページはこちらです。 s
【Excel改造】AWS環境定義書自動生成【SecurityGroup編】 | DevelopersIO
この記事は下記AWS環境定義書自動生成記事の続編です。 【Excel改造】AWS環境定義書自動生成【EC2編】 AWS環境構成仕様書の作成 今回はSecurity Groupの一覧を作成したいと思います。 他のSecurity Groupの仕様作成記事としては下記があります: Ruby編: SecurityGroupの逆引きをするスクリプト書いた AWS CLI編: [小ネタ] セキュリティグループ毎に関連付いたEC2インスタンスの一覧を表示する 開発環境 Windows 8.1 Visual Studio 2012(C#) Excel 2013 AWS SDK for .NET 2.3.5 フランクフルトリージョンが追加されたこともあり、AWS Toolkit for Visual Studioを今回最新版にバージョンアップしてみました(記事の内容には関係ありません) EC2のSecur
Amazon EC2から負荷テストを行うときの落とし穴と対策 | DevelopersIO
ども、大瀧です。 ここのところ新機能を追いかける記事ばかりだったので、今回は少し毛色の異なるノウハウ系を書いてみます。 負荷テストの前置き(読み飛ばし可) 「Webサイトがテレビ番組で紹介されることになった!大幅なアクセス増がやってくる!」という場合に、ロードバランササービスのElastic Load Balancing(ELB)やCDNのCloudFrontなどスケールするサービスを組み合わせ乗り切るというのは、クラウドらしい柔軟性の高さを活かせる典型な例かと思います。実際、弊社の事例でも多くのお客様に提供し、ご好評をいただいています。 これらのサービスを構成するにあたり、実際のアクセス増に耐えられるか試すため負荷テストを実施することも多いと思いますが、大規模なケースになってくると難しいのが負荷テストを実施するマシンの確保です。これについてもAmazon EC2であれば、Auto Sca
これからAWSを始める人は一読すべき「AWS運用チェックリスト」を読んでみた | DevelopersIO
はじめに こんにちは植木和樹です。AWSでは各種ホワイトペーパーなどの資料を多数公開しています。 AWS アーキテクチャーセンター | アマゾン ウェブ サービス(AWS 日本語) 今回は上記ページからダウンロードできる「AWS 運用チェックリスト(PDFファイル)」を読んでみました。運用チェックリストという名前ではありますが、AWSを利用する方は一度目を通しておくのをお勧めする内容でした。 チェックリストは大きく3つ「ベーシック」「エンタープライズ」「セキュリティ監査」に分かれています。このうちベーシックは15項目程とコンパクトにまとまっていて、簡易チェックリストとしてお手頃です。 残念ながらまだ日本語訳がされていないようですので、今回ベーシック部分だけをザックリ読んで簡単なコメントを書いてみました。 ベーシック運用チェックリスト 原文は「我々は〜〜〜を設定しています(理解しています)」
会社にAWSを導入する人は一読すべき「エンタープライズAWS導入ガイド」を読んでみた | DevelopersIO
はじめに 4月にAPNパートナーの有志からエンタープライズAWS導入ガイド がリリースされました。日本語です。 実は迂闊にもそのことを気づいたのが最近でした。というわけで今更ですが読んでみた感想を書いてゆきます。 結論から言いますと会社にAWSを導入したいと考えている方、AWSの提案書を書かないといけない方であれば「must read or die」です。読むべし、です。 本書の最後に 「ユーザー企業によるエンタープライズシステムにおけるクラウドサービス導入の 一助となれば」とありますが、なります、なりすぎます。 エンタープライズAWS導入ガイド 以下、どんな点が参考になったか説明してゆきます。 まずは目次です。 1章 はじめに 2章 AWSサービス概要 3章 エンタープライズ構成例 4章 システム・運用要件 5章 移行 6章 調達 1から3章はわかりやすいのですが、この資料以
Developers.IO:サービス・テーマ別 全AWS関連エントリまとめ | Developers.IO
現在、クラスメソッド株式会社 開発ブログ『Developers.IO』には、現時点で1500件を超えるエントリが蓄積されており、そしてこと"AWS"に関しては、全エントリの1/5以上、300件超のエントリがその比率を占めています。(全エントリ:1587件、AWS関連エントリ(カテゴリ=AWSのもの):346件、共に2013/07/31現在)。 そこで今回、『AWS』に関するエントリを抽出、整理し、『まとめ』ページとして作成してみました。ざっくり以下のルールで整理しています。 『カテゴリー』または『タグ』にAWSが設定されているエントリを抽出しています。 エントリの内容に応じて、一番近いと思しきテーマのページに振り分けています。 1エントリで復数のテーマについて言及している場合、それぞれのテーマ(で振り分けられているページ)に振り分けています。 (※各種まとめページについては当ブログの『まと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
