あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります！ AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP

リポジトリに Issue を新規作成した際に、Project (Beta) へ自動追加する設定がなく不便だったので、 GitHub Actions を使用して自動化する方法をご紹介します。 Organization で PAT が使用できない環境だったので、GitHub App によるアクセス許可を使用します。 GitHub App を作成する GitHub App で認証/認可するために GitHub App を用意します。 GitHub App を作成するためには、アカウントの設定画面を開きます。 Organization のプロフィールから Settings を選択します。 GitHub App を作成する画面は Third-party Access ではなく、Developer settings のアコーディオンメニューに隠されています。 New GitHub App をクリックし

単著ならではの一貫性と、筆者のノウハウをありったけ突っ込んでやろう！というあっつい想いを感じる素晴らしい書籍です。 「2018年から2024年、コンテナ界隈もいろいろ変わったもんだなぁ…（しみじみ）」 献本いただいた「Docker/Kubernetes 実践コンテナ開発入門 改訂新版」を眺めながら、ハマコーはそんな感慨にふけっておりました。 5年前、Docker始める人はまずこれ！書評「Docker/Kubernetes 実践コンテナ開発入門」で旧版の書評を書いたご縁で、著者の山田さんより改訂新版の献本をいただき、今この場にその本があるというわけです。 改めて中身読んでいたのですが、単著でこれはマジでやばいです。今コンテナを使った開発を進めようとしたときにでてくるであろう、開発〜運用面でのトピックが幅広く凝縮されている本で、「これ一冊読んどけば、マジはずれないよ」というぐらいの力が入った書

yamlでテストシナリオを書いたらそのまま実行できる……そんな夢のようなシナリオテストツール"runn"の紹介とやってみた記録です これまでのシナリオテストツールに対する課題感 シナリオテストツールといえば、 Cucumber や Gauge といったツールが有名です。 ですが、これらのツールは「シナリオファイル」とは別に、シナリオを実行するためのコードも書かないといけません。しかも、そのコードではAPIを呼び出す処理を特定のプログラミング言語を使って書かなければなりません。その中には、HTTP Clientを実際に操作するような処理も含まれます。 私は「シナリオテストがしたい」のであって、「シナリオに沿ってAPI呼び出しを行う処理を書きたい」のではありません。こういった課題感を、ここ数年ずっと抱えてきました。 そんなとき、ついに見つけたツールが "runn" でした。 APIのシナリオテ

神奈川県高校入試のネット出願システムの不具合影響を受けた利用者として、Gmailを扱えないメール環境について外部から調査しました。 出願システムで独自実装されたメールシステムの不完全な実装と、メール関連のDNSの設定不備が原因であった可能性が高いと推測します。 2024年の神奈川県立高校入試出願システムの不具合の影響を受け、@gmail.comのメールアドレス を利用出来なかった一利用者として、 インターネットから参照可能な範囲で、出願システムのメール環境について調査。 被疑箇所の推定と、状況を改善する対策について検討する機会がありましたので、紹介させて頂きます。 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について MX設定 「mail.shutsugankanagawa.jp」のMXレコードを確認しました。 1/18(21時) $ dig mx mail.shut

Gmailに届かないと報告されている2024年神奈川県立高校入試の出願システム自動返信メール、 2024年1月15日にYahooメールに届いたメールヘッダー情報などから、送信ドメイン認証(SPF、DKIM、DMARC)の確認を試みました。 2024年2月の神奈川県立高校の受験を予定している家族から、 "インターネット出願システムの登録を試みたが、システムからの返信メールがGmailのアドレスが届かないため、代わりにYahooメールを利用した。" との報告を受けました。 今回、2024年1月15日にYahooメールで受信したインターネット出願システムのメールを調査する機会がありましたので、紹介させて頂きます。 2024年1月19日 追記 ネット出願システムの不具合解消後のメールの調査結果を公開しました。 2024年1月18日 追記 ネット出願システムのメールサーバ側の問題について調査結果を公

旧聞ですが、2023/11/13からAmazon ECSが冪等なタスク起動をサポートし、副作用無しに再試行、複数回呼び出せるようになりました。 現時点では、以下のECS APIが冪等性をサポートしています。 CreateService CreateTaskSet RunTask 冪等性を実現する場合、主に次の2通りがあります。 複数回呼び出される前提で、アプリを冪等に実装 一度しか呼び出されない前提で、アプリをシンプルに実装 Amazon SQSを例に取ると、at least onceなスタンダードキューが前者で、exactly onceなFIFOが後者です。 今回のECSアップデートは後者です。ECSタスクの冪等起動対応により、ライブラリ･フレームワークの力を借りながら頑張って冪等に実装していたタスクを、シンプルに実装できるようになることがで期待できます。 ポイント 重要なポイントを述べ

AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。 「ECSのランタイム脅威検知って、商用製品必須だよね。どれにすっかなぁ。結構高いよね」 「1年前の予告を経て、よーーーやくAWSマネージドなやつがGAされましたよ」 去年のre:Invent2022においてKeynote中に予告だけされていたコンテナ環境のランタイム検知（【速報】GuardDutyによるコンテナランタイムの脅威検知サービスが発表されました！）。 先日のre:Invent 2023のアップデートにより、待望のECSにおけるランタイム検知が、GuardDutyで実現できるようになりました！！もともとEKSにおけるランタイム検知は提供されていましたが、それがECSにも拡張されたアップデートです。 これまでAWSのECSにおいてランタ

[アップデート]Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました #AWSreinvent ついにECS on Fargateでコンテナランタイムのセキュリティ対策ができるようになりました！Fargate利用者は全員必見のアップデートです！ こんにちは。AWS事業本部トクヤマシュンです。 本日より、Amazon GuardDuty ECS Runtime Monitoringが利用できるようになりました！！ 当機能はECS on Fargate、ECS on EC2のどちらにも対応しています！！ (2023/11/29追記：ECS on EC2は現在プレビュー機能のようです。) 立ち位置としては、これまでAmazon GuardDuty EKS Runtime MonitoringとしてEKSのみに提供されてきた機能が、 Runti

こんにちは、つくぼし(tsukuboshi0755)です！ AWS Lambdaのロギング設定を制御できるようになったというアップデートがあったので、今回試してみます！ 何が嬉しいか 今までCloudWatch Logsに対するLambdaのロギング設定は、以下がデフォルトで固定され、変更できないようになっていました。 ログ形式：Text ログレベル：なし ロググループ名：/aws/lambda/<関数名> ※なおログ形式については、今までもPowertoolsを使用すればJSONに変更可能でした。 上記3点について、今回のアップデートによりLambdaのコンソールまたはAPIを通じて柔軟に設定できるようになりました！ 試してみる それではどのようにログ設定を変更できるようになったか試してみましょう。 公式では以下のブログで使い方が紹介されています。 上記のブログはLambdaのランタイム

はじめに VS Codeでコーディングをするとき、Gitの操作やビルド、デプロイなど、決まった処理を手動で実行するのが面倒だなと思ったことがあるのではないでしょうか。tasks.jsonというファイルを使えば、そういった面倒な手順を自動化し、開発効率を上げることができます。 この記事でやること この記事では、作業ブランチにmainブランチの取り込みを行うGitコマンドを自動化してみます。mainブランチを取り込むために、以下のコマンドを毎回手で実行しているとします。 git stash git pull origin main git stash pop これをtasks.jsonに定義して自動化したいと思います。 タスクの作成 タスクを作成するには、VS CodeのメニューのTerminal⇒Configure Tasksを選択します。 Create tasks.json file fr

AWSで構築した環境の運用を行っていると、 「あれ、いま自分はどこ（インスタンス）にいるんだっけ？」 と思うことがあります1。 たとえ思わなかったとしても、クリティカルな操作を行う前には、いま自分がログインしているホストが確実に目的のところかどうかを確認したいという運用エンジニアは多いのではないでしょうか。 オンプレミスだった場合 これがオンプレミス環境であれば、ホスト名が明示的に設定されているところが多いかと思います。 Linuxサーバであればuname -nコマンドで確認できますし、そもそもプロンプトに常時表示する設定も入っているでしょう。 [hogehoge@webapp01a]$ uname -n webapp01a MySQLへリモート接続している場合は、システム変数をクエリすれば確認できます。 mysql> show variables like "hostname"; +--

「delivery.logs.amazonaws.com」と「logdelivery.elb.amazonaws.com」、そして「logdelivery.elasticloadbalancing.amazonaws.com」を整理します。 はじめに 清水です。ALBのアクセスログはS3に保存されます。この際に書き込み先のS3バケットではバケットポリシーにてアクセス制御がなされます。バケットポリシーの内容についてはApplication Load Balancerのユーザガイドに記載されていますが、過去から現在までに以下3つのService Principalを使ったS3バケットポリシーが記載されてきました。 delivery.logs.amazonaws.com logdelivery.elb.amazonaws.com logdelivery.elasticloadbalancing.

こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きなネクストモード株式会社の吉井 亮です。 日本国内においても多くのシステムがクラウド上で稼働していることと思います。 俊敏性、拡張性、従量課金、IaS、セキュリティなどクラウドのメリットを享受しやすい所謂 SoE で多くの実績があるように感じます。 ここ1~2年は、社内基幹システム・情報システム、SoR 系のシステムのクラウド移行が本格化してきたというのが肌感覚であります。 クラウドでのシステムインフラ構築は従来のようにゼロから非機能要件定義を行っていくものではなく、ベストプラクティスをまず実装して少しずつ微調整を行っていくものと考えています。とはいえ、システムごとの要件は予め明らかにしておくことがインフラ構築においても重要になります。 クラウド上では出来ること出来ないこと

ども、大瀧です。 4/11(火) DevelopersIO Day Oneで登壇したセッション「DNSにちょっとだけ詳しくなりたい人に贈る少し突っ込んだDNSの話」のレポートブログです。 資料 IT技術に携わる様々な方に向けて、DNSに興味を持ってもらえるような話題を3つご紹介しました。会場の挙手で参加者の職種を聞き満遍なくいろいろな方が参加いただいていたので、興味を持ってもらえたのであればミートできたのかなと思っています(前向き)。 DNSの勉強方法とデバッグ Amazon Route 53 DNS over なにか この記事では、Route 53のIP Anycastの様子↓をEC2インスタンスから検証するコマンド実行例を補足しておきます。 IP Anycastでは同一のグローバルIPアドレスのホストを地理的に離れた場所に分散配置し、クライアントからは最寄りのホストに向くようインターネ

ども、大瀧です。 昨年re:Invent 2022での発表後Private PreviewだったVPC Latticeが一般利用可能(GA: General Availability)になり、全てのアカウントで利用できるようになりました。 VPC Latticeとは VPC Lattice(日本語では"格子")はVPC向けのリバースプロキシサービスで、現時点ではHTTPとHTTPSをサポートします。リバースプロキシサービスというとELBがありますが、ELBがインターネット向けの様々な機能を持つのに対してVPC LatticeはVPC向けのシンプルな機能に絞りつつ、異なるVPC向けにELBではVPCエンドポイントやVPCピア接続を追加構成するのに対して、VPC LatticeはVPCをまたぐ仕組みを内包しているのが特徴です。あともう一つ、ELBではHTTPS通信のために必要だったTLS証明書

はじめに CX事業本部IoT事業部の佐藤智樹です。 先日AWS DevDay Online Japan というイベントで「AWS CDK はどう使いこなすのか、初期開発から運用までのノウハウ」というタイトルで登壇しました。 今回は上記の登壇で使用した資料の公開と今回の発表をやりたかった理由などについて書きます。 動画 登壇資料 発表の理由 この1年半ほどの間でAWS CDKを利用した案件へ4,5件ほど関わらせていただいて、最初にここを設計しといた方がよかったという部分やチーム内で認識がずれていると後から直すのが大変な部分を全体的に紹介しました。今回紹介した個々の情報はネット上にもある程度はあるのですが、開発の最初期から運用まで考えてまとまった情報はない気がしたので、今回まとめて発表してみました。今後AWS CDKを本格活用したい方の参考になれば幸いです。 後、以前のイベントでAWS CDK

「最近、モダンモダンすげぇ聞くけどモダンってなに？」 「人の数だけモダンはあるんだよ…」 近年、パブリッククラウドを主軸としたアプリケーション開発文脈の中で「モダンアプリケーション」という言葉をよく聞くようになりました。自分もMAD（Modern Application Development）事業部の部長を去年やっていたりして、モダンという言葉には人一倍敏感だったりします。 そんなおり、そのモダンアプリケーションについて真正面から解説する本を、著者の落水さんから献本いただいたので、僭越ながら書評という形でご紹介させていただきます。 モダンがなにかようやくわかるの…!? ( ﾟдﾟ)　ｶﾞﾀｯ /　　 ヾ ＿_L| /￣￣￣/＿ ＼/　　　/ 丸わかりやで。 書籍の概要「AWSで実現するモダンアプリケーション入門」 AWSで実現するモダンアプリケーション入門 〜サーバーレス、コンテナ、マイ

DMARCとは DMARCはRFC7489で標準化されているメール認証技術となります。 https://tex2e.github.io/rfc-translater/html/rfc7489.html JPNIC様の以下のページが概要としては非常にわかりやすくまとまっておりますので ご存じのない方は一度読んでみるのがわかりやすいと思います。 https://www.nic.ad.jp/ja/basics/terms/dmarc.html ざっくりといえばこれまで受信側に委ねられていたSPF・DKIMの認証結果の取り扱いを送信側が指定するための技術です。 DMARCが存在しない場合、SPFやDKIMの認証が失敗した場合でもそのメールをどのように取り扱うかについては受信側に委ねられています。 SPFやDKIMで不正かどうかの判断材料は受信側に提供はしているものの 不正な場合の挙動については受信

ども、大瀧です。 現在開催中のAWS re:Invent 2022で発表されたVPCの新機能、Amazon VPC Latticeをご紹介します。 VPC Latticeとは VPC Latticeはサービス間通信をシンプルに実現するVPCの新しい機能です。サービス間通信に利用できるAWSの機能としてELB(Elastic Load Balalncing)やAPI Gateway、RAMによるVPCサブネット共有などがありますが、VPC LatticeはVPCの一機能という特性を活かし、ネットワーク構成を極力意識せずに利用できる点や異なるAWSアカウントおよびVPCとの連携を一元的に扱える点がユニークと言えそうです。 VPC Latticeの構成 ELBの構成によく似ています。以下をそれぞれ設定し、サービス連携に利用します。 リスナ: 1つまたは複数のリスナを任意のポート番号とプロトコルで