ついにブロックができるようになった！Amazon GuardDuty Malware Protection for Amazon S3が発表されました！ #AWSreInforce Amazon GuardDutyで待望のマルウェアに対する保護機能がリリースされました！信頼できないオブジェクトをS3にアップロードする環境ならガンガン活用していきましょう！ こんにちは、臼田です。 みなさん、AWS上でのマルウェアチェックしてますか？(挨拶 AWS re:Inforce 2024で待望のS3に対するネイティブなマルウェア検出と保護の機能である「Amazon GuardDuty Malware Protection for Amazon S3」がリリースされました！ Detect malware in new object uploads to Amazon S3 with Amazon Gua

みなさんこんな画面を見たことありませんか？？ このような状態は避けるべきです。理由は以下の通り。 各リソースの役割がわかりにくい オペレーションミスが発生しやすい リソース削除などの判断が難しくなる 単純に見栄えが悪い そこで今回は弊社が環境を構築する際によく使う命名規則を紹介したいと思います。 新規でリソースを作成する際に参考にしていただけると嬉しいです。 ※AWSアカウントでシステムや環境を分離していたとしても、命名規則を守ったほうがリソースの見通しがよくなります。 リソース名から何を知りたいのかを考える みなさんはリソース名（主にNameタグ）から何を知りたいですか？？ 対象のリソースによっても異なりますが、共通で知りたいものは以下になるかと思います。 対象システム 環境(本番、検証、開発) また、リソースによってはこれ以外に知りたい情報もあるはずです。 Subnet、RouteTa

今日はユーザが意識することなく、接続元 IP アドレスによって IAM 権限を「管理者権限」「参照権限」に切り替える方法を紹介したいと思います。やりたいことを絵にすると、以下のとおりです。 例えば、オフィスやセキュリティエリア内など特定の IP アドレスからアクセスしている場合は、「管理者権限」として利用でき、自宅などパブリックアクセスの場合には「参照権限」のみに権限が変わる想定です。 今回は IAM 管理アカウントでのみ IAM ユーザを発行し、AWS リソースのあるアカウントにはスイッチロールでログインする想定で検証していますが、スイッチロールしない環境でも同じことは出来るかと思います。 IAM ユーザー準備（スイッチ元 AWS アカウント側） IAM 管理アカウントに IAM ユーザを作成します。AWS コンソールにはこのアカウントの IAM ユーザでログインし、各環境にスイッチロー

ChromiumでHeadless 最近、ChromeがHeadlessに対応しているという情報を目にしましたので備忘録として手順を共有したいと思います。 Amazon Linuxでやろうとしたけどツライ 最初にAmazon Linuxを使ってChromiumをインストールしようとしましたが、各種パッケージが足りないとエラーが続き諦めました。 Ubuntuでラクラクセットアップ とても簡単にセットアップできましたのでこちらの方法をご紹介します。 まずはじめに適当なタイプのEC2インスタンスを起動します。サーバーの種類は、Ubuntu Server 16.04 LTS (HVM), SSD Volume Typeを選択しました。 次に、SSHでサーバーにアクセスを行い、以下の手順で必要なソフトウェアをインストールします。 $ sudo apt-get update $ sudo apt-ge

はじめに こんにちは。モバイルアプリサービス部の平屋です。 iOS 11で追加されたフレームワークCore NFCを使って、NFCタグのデータを読み取る実装を試してみましたので紹介します。 本記事は Apple からベータ版として公開されているドキュメントを情報源としています。 そのため、正式版と異なる情報になる可能性があります。ご留意の上、お読みください。 検証環境 Mac macOS Sierra 10.12.5 Xcode Version 9.0 beta (9M136h) iPhone 7 iOS 11.0 (15A5278f) Core NFC NFCタグを検出し、NDEF(NFC Data Exchange Format)データを含むメッセージを読み取るためのフレームワークです。 NFCタグとCore NFCを組み合わせて使うと、以下のような機能を実現できます。 店舗内の製品に

はじめに こんにちは植木和樹＠上越妙高オフィスです。本日は私がここ10年くらい意識している運用手順書を書くときのポイントについてまとめてみました。 対象読者 開発・構築したシステムを別の人に引き継ぐ予定のある人 他の人が作ったシステムを引き継ぐ担当の人 半年後の自分でも分かる手順書の書き方に困っている人 （この記事を読むのにかかる時間の目安：5分） 1. ドキュメントの冒頭に書くこと まず個々の詳細手順の前に、ドキュメント自体について記載してもらいたいことです。 1.1. ドキュメントに書かれていることを3行で書く ドキュメントの最初には、このドキュメントに何が書かれているのかを100文字くらいで書いておくと良いでしょう。 システムが増えれば増えるほど手順書も増えていくものです。見つけたドキュメントに自分の期待するものが書かれているのか、冒頭数行でわかるようになっているとうれしいです。 1

負荷試験対策ミーティング ここでは、チームメンバーを集めて、システム要件の再確認と、バックエンドのアーキテクチャを再確認をまず行います。すなわち、「求められているもの=要件」と、「提供できるもの=アーキテクチャ」の確認です。ここの認識が揃っていないと、的はずれな負荷試験を実施してしまうことになりかねません。立場や役割にかかわらず、サービス全体として考えるべきです。 負荷試験の目的 負荷試験を行うことによって、何を示したいのか決めます。今回は、以下の目的を定めます。 サービスリリース後、想定されるピーク時のリクエストを受けた場合でも、問題なく稼働を続けられることを確認する システムのスループット限界値を確認する 負荷試験の観点 たいていのWebシステムの場合、昼夜を問わず稼働し続けるものとなるでしょう。今回例にとったシステムも24時間365日、リクエストを受け付けるものとします。この場合、観

はじめに AWSが提供するACM（AWS Certificate Manager）、 CloudFront、ELB（2016年4月17日より東京リージョンでも利用可能になりました）で利用できる、 HTTPS通信用のサーバ証明書を、追加費用なく利用できるサービスです。 AWSの無料SSL証明書サービスCertificate Manager について調べてみた ACMではサーバ証明書の作成時、対象ドメインの正当な保有者である事の確認のため、 メール認証が行われます。 通知先はwhoisに登録されたドメインの管理者と、 admin@<ドメイン> administrator@<ドメイン> hostmaster@<ドメイン> postmaster@<ドメイン> webmaster@<ドメイン> 宛に確認URLを含むメールが送信されます。 今回、 上位ドメインに委任されたサブドメインのみ、Route5

この記事では、組織のセキュリティを評価して改善するのに役立つCISベンチマークの概要説明と、実際のベンチマークを利用したAWS環境の具体的なチェック項目について、ご紹介します。 西澤です。先日、CIS(Center for Internet Security)よりCIS AWS Foundation Benchmarkが発表されました。CISは、セキュリティの促進を目的とした米国の非営利団体で、専門家により精査されたセキュリティ基準を公開してくれています。今回、公開されたドキュメントを読み解くことで、AWSを利用する上で必要となるセキュリティ設定について理解を深めることができればと目を通してみることにしました。 AWS Security Blog | Security and Compliance in the AWS Cloud CISベンチマークとは？ CISとは下記のような非営利団体