この IAM ユーザーが過去30日間にアクセスした AWS サービスを一覧化してください と言われたら | DevelopersIO
コンバンハ、千葉(幸)です。 タイトルの通りですが、特定の IAM ユーザーが過去一定期間でアクセスした AWS サービスを一覧で見たい、と言われたら皆さんはどのようなアプローチをとりますか? IAM ユーザーに限らず、グループ、ロール、ポリシーに置き換えてもよいです。 実は、以下の AWS CLI コマンドを使えば簡単にそのような要件に対応できます。 generate-service-last-accessed-details — AWS CLI 2.0.42 Command Reference get-service-last-accessed-details — AWS CLI 2.0.42 Command Reference これらのコマンドはまったく目新しい機能ではないですが、たまたま流れてきたツイートで存在を知りました。試したところ面白そうだったのでご紹介します。 1/ Hey
IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティ運用してますか?(挨拶 re:Invent 2019でリリースされた新機能のIAM Access Analyzerは簡単に無料で便利に公開設定を確認できる機能です。ただ、既存の機能でも決して出来なかったわけではないです。みなさんご存知AWS ConfigとConfig Rulesを利用すればね。 というわけでその違いからどうやって使っていくかという考察をしていきたいと思います。 そもそもIAM Access Analyzerどんな感じ? IAM Access Analyzerについてはまず下記を見ていただくといいと思います。 [速報] AWS Identity and Access Management Access Analyzerがリリースされました! #reinvent しかしリリースの内容だけだと正直良くわからん、と思ったので私の個人的
[激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! | DevelopersIO
AWSエンジニアは朝5時に起きるらしいと聞いていましたが、まさか自分がそっち側に回るとは思ってもいなかったもこ@札幌オフィスです。 とうとうきてしまいました! とうとう、ALB一つだけでターゲットグループの重み付けが出来るようになってしまいました!!!! Application Load Balancer simplifies deployments with support for weighted target groups New – Application Load Balancer Simplifies Deployment with Weighted Target Groups 従来までのBlue/Green(カナリアリリース) デプロイ方法 重み付けをしてトラフィックの数パーセントを新しい環境に流すような場合は、複数のロードバランサーを用意した環境で、Route53にて重み付
![[激アツアップデート]ALBだけでカナリアリリース(重み付け)ができるようになりました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/876809e40a16193d45c580a01a3f67fc9a50a044/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Felastic-load-balancing.png)
AuroraかRDSどちらを選ぶべきか比較する話をDevelopers.IO 2019 in OSAKAでしました #cmdevio | DevelopersIO
こんにちは、大阪オフィスのかずえです。10/11に、弊社は Developers.IO 2019 in Osakaを開催いたしました。お越し下さった皆様、ありがとうございました! 私は今回、「AuroraかRDSどちらを選ぶべきか」というタイトルで登壇させていただきました。このエントリはその内容をブログ用にアレンジしたものになります。 ゴール AuroraとRDSの違いを理解して、 適切に使い分けることができるようになる もくじ RDSとは Auroraとは� RDSとAuroraの違い� アーキテクチャの違い� Auroraにしかない機能� RDSかAuroraどちらを選ぶべきか� Auroraを使えないケース� (Auroraも使えるけど)RDSを使うべきケース� まとめ� 登壇資料� 参考資料� RDSとは 皆さんご存知かと思いますが、RDSはAmazon Relational Da
AWS Systems Manager セッションマネージャーでSSH・SCPできるようになりました | DevelopersIO
AWS Systems Manager セッションマネージャーに待望の機能(のひとつ)がやってきました! Session Manager launches tunneling support for SSH and SCP サーバーにSSHしたり、ローカル・リモート間での SCP 越しのファイルの送受信も可能になりました。 更には SSH セッション越しにポート転送もできます。 ということで、さっそく試してみましょう! リモートの準備 SSM エージェントをインストール SSH先サーバーに 2.3.672.0 以上の SSM エージェントがインストールされている必要があります。 古いエージェントがインストールされている場合、アップデートしてください。 Manually Install SSM Agent on Amazon EC2 Linux Instances - AWS Systems
やはりお前らの多要素認証は間違っている | DevelopersIO
よく訓練されたアップル信者、都元です。 いきなりガン煽りのタイトルで申し訳ないんですが、これしか頭に浮かびませんでした。 ちなみに原作は見たことがありません。 弊社は本日を最終営業日として、これから冬季休業となります。 今年も一年、どうもありがとうございました。というわけで書き納めの一本、その2。 さて、「認証」という言葉がありますが、要するに 相手が誰(何)であるかを確認すること を表します。 正確には「ひとつのデジタルアイデンティティがある実体に対応することの確証を得ること」です。 が、まぁそれはまた別のお話。 この「認証」はなにもコンピュータに限定した話ではなく、人間同士のコミュニケーションでも 随時行っている話です。目の前で自分と会話している人物が、本当に自分が望んでいる相手かどうか、 というのは確信できていると思います。 結論 さていきなりの結論ですが。実は単要素なのに、二要素認
ec2sshとpecoでsshログインを楽しもう | DevelopersIO
はじめに サーバのログインを楽にするために「~/.ssh/config」を編集しているかと思いますが ec2sshというツールで自動的に「~/.ssh/config」を編集してくれるツールがあります。 また「peco」というツールを組み合わせることで少しカッコよくサーバへログインできるので紹介したいと思います。 ・ec2ssh https://github.com/mirakui/ec2ssh ・peco https://github.com/peco/peco pecoをインストールする $ brew install peco ec2sshをインストールする $ gem install ec2ssh ec2sshを使ってみる 環境変数をセットする $ export AMAZON_ACCESS_KEY_ID=“XXXXX" $ export AMAZON_SECRET_ACCESS_KEY
Terraformにおけるディレクトリ構造のベストプラクティス | DevelopersIO
はじめに こんにちは、中山です。 Terraformを使用していく中で、どのようなディレクトリ構造(tfファイルの配置方式)がベストなのかと考えたことはありませんか。私自身いろいろと試している最中なのですが、現時点で私が考えるベストプラクティスをご紹介します。 ディレクトリ構造 いきなりですが、以下のとおりです。 ├── Makefile ├── README.md ├── app.tf ├── bastion.tf ├── cloudfront.tf ├── db.tf ├── elasticache.tf ├── elb.tf ├── envs │ ├── dev │ │ ├── main.tf │ │ └── variables.tf │ ├── prd │ │ ├── main.tf │ │ └── variables.tf │ └──
Fargateがタスクスケジュールをサポートし定期実行処理の幅が超広がりました! | DevelopersIO
「せっかく、EC2インスタンスを気にしなくてよいFargateなんだから、もっとバッチ処理で気軽に使いたいよね」 そんなハマコーの一日千秋の想いが届いたのか突如として、Fargateにごついアップデートが舞い降りました。 AWS Fargate Now Supports Time and Event-Based Task Scheduling 今まで、「AWS Lambdaでは、ライブラリや実行時間に制限があって使いにくい」けど「AWS Batch使うには荷が重い」的なユースケースにバッチリハマる機能だと思うので、全国のコンテナファンは今すぐ使ってみると良いと思います。 Fargateきたか…!! ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ / タスクのスケジュール機能とは ECSクラスター内に存在するタスクを、スケジュールに則り実行する機能です。 構造的に、EC
Amazon謹製のEFSバックアップソリューションを使ってみた:バックアップ編 | DevelopersIO
Amazon Elastic File System (EFS)が東京リージョンで一般提供されて約2ヶ月たちました。 みなさん、Amazon EFS をお使いでしょうか? プロダクションサービスに組み込む場合、どれだけ手離れよく運用できるかは重要なポイントです。 Amazon EFS を運用する上で一点気をつけないといけないのは、Amazon EFS は可用性・耐久性は高いが、ファイルシステムの意図しない変更や削除に対しては別途対策が必要ということです。 このような意図しないオペレーションに対しては、Amazon EFS のユーザーガイドでは EFS-to-EFS バックアップソリューションが推奨されています。 今回は、このバックアップソリューションで実際にバックアップしてみます。 リストアについては、次の記事を参照ください。 Amazon謹製のEFSバックアップソリューションを使って
[小ネタ] DynamoDBのキャパシティユニットをCloudWatchで見るときのコツ | DevelopersIO
ども、大瀧です。 クラウドネイティブなEC/CRM SaaSであるPrismatixでは、AWSマネージドサービスをこれでもかと駆使ししており、日々の運用ではそれらのメトリクス監視が肝要です。マネージドNoSQLサービスであるDynamoDBの運用としては、パフォーマンス設定であるキャパシティユニットの監視が鉄板と言えるでしょう。 DynamoDBのキャパシティユニットは、テーブルないしグローバルセカンダリインデックスにおける単位時間あたりの性能キャパシティを確保するものです。運用としては消費量が確保したキャパシティを超えないよう、CloudWatchアラームを設定して監視したり、スパイクでなければAuto Scalingを設定してキャパシティを増やしたりできます。 CloudWatchでキャパシティユニットの使用状況を見たい! キャパシティユニットの直近の状況をAWS Managemen
![[小ネタ] DynamoDBのキャパシティユニットをCloudWatchで見るときのコツ | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/4b2f07b09ab4c1be36356e4aa6b29a3c80c4aa9a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FDynamoDB.png)
Amazon Route 53のALIASレコード利用のススメ | DevelopersIO
よく訓練されたアップル信者、都元です。 Amazon Route 53は、AWSが提供するDNSサービスです。通常、ドメインを取得すると、ドメインレジストラからDNSがサービスで提供されることが多いと思います。費用は大抵ドメイン代に含まれていて、追加費用は無いことが多いです。しかしAWSで利用するドメインは、下記のような理由から、ドメインのオマケで付いてくるDNSではなく、Route 53を利用するメリットが大いにあります。 無料じゃないとは言え、とにかく安い。Route 53のコストが月10ドル超えるような人気サービスを作れたら勝ち組です。 プログラマブルである。レコードの定義と書き換えをスクリプトで実行できる。デプロイの自動化に寄与。 CloudFormationからレコードの定義と書き換えができる。まぁ↑とほぼ同じことを言ってますが。 SLAは100%(!?) ELB, CloudF
【新機能】API Gateway VPC integrationを使ってみた #reinvent | DevelopersIO
コンニチハ、千葉です。 re:Invent2017 キーノート2日目で発表されたアップデートになります!! API Gateway VPC integrationとは? API GatewayのバックエンドとしてLambdaやHTTP、AWSサービスを指定することができました。また、HTTPのバックエンドはインターネット経由でのアクセスのみでしたが、今回VPC integrationによりVPC内のリソースをバックエンドに指定することができるようになりました。 やってみた API GatewayからバックエンドにVPCを指定するためには、NLB + VPC Linksが必要になります。 ネットワークロードバランサ(NLB)の作成 今回はinternalなNLBを作成します。(externalでも可) NLBのターゲットグループにはNginxをインストールしたEC2をアタッチしました。 VP
コンセプトから学ぶAmazon DynamoDB【GSI篇】 | DevelopersIO
よく訓練されたアップル信者、都元です。今回はグローバル・セカンダリ・インデックス(GSI)にフォーカスします。LSIを忘れないうちにGSIいきますよっ。 ローカル・セカンダリ・インデックス(LSI)というのは、ハッシュキーattributeが共通で別のレンジキーattributeを持つ、複合キーテーブルに対するインデックスでした。 グローバル・セカンダリ・インデックス(GSI)とは 例えば、Amazon DynamoDB Developer Guide - サンプルテーブルとデータにあるProductCatalogテーブルは、Idがハッシュキーとなったハッシュキーテーブルです。つまりこのテーブルは、Idを条件としたquery(問い合わせ)しかできません。ハッシュキーテーブルであるが故に、LSIも定義できません。 アプリケーション要件「ProductCategoryで絞り込んだ後、Title
コンセプトから学ぶAmazon DynamoDB【LSI篇】 | DevelopersIO
よく訓練されたアップル信者、都元です。今回はローカル・セカンダリ・インデックス(LSI)について深堀りしてみましょう。 ここまでの復習 その前に、色々復習しておきましょう。 DynamoDBのインデックス3種類 まず、DynamoDBが持てるインデックス3種類をあらためてまとめておきます。 暗黙的な、キー(ハッシュキーのみ、または、ハッシュキー+レンジキー)による検索のためのインデックス 明示的に定義した、ローカル・セカンダリ・インデックス(LSI) 明示的に定義した、グローバル・セカンダリ・インデックス(GSI) このうち、暗黙的なインデックスは1テーブルにつき1つだけ、LSI及びGSIは1テーブルにつき各5個まで定義できます。つまり、1つのテーブルには最小で1個、最大で11個のインデックスがあります。検索を行う場合は、まず「どのインデックスを使って検索をするか」を指定し、その上で検索条
S3バケットへのアクセスを特定のIPとVPCに制限する | DevelopersIO
はじめに オンプレミスにあるデータをAWS上で分析する場合、いったんオンプレからS3にデータをアップロードし、そのデータをAWS上のEC2等で参照/分析するのはよくあるパターンです。 その際、オンプレミスのサーバにはS3の操作権限をもったIAMユーザのアクセスキーを設置することになりますが、万が一アクセスキーが漏えいすると第三者に重要な情報を盗まれたり改変されたりする恐れがあります。 そのような事態を避けるために、S3バケットには必要なリソース以外からのアクセスを遮断するような制限をかけることをお勧めします。 具体的には下記からのアクセス以外は遮断した方が安全です。 オンプレミスのサーバのIPアドレス 分析環境が構築されているAWS VPC S3バケットの管理を行う拠点(AWSマネジメントコンソールを利用する場所)のIPアドレス S3バケットへのアクセス制御の方法はいくつかありますが、今回
【新機能】S3がVPCのプライベートサブネットからアクセス可能になりました! | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 本日、VPCのプライベートサブネットからS3へアクセスできるアップデートがありましたのでご紹介します。 どういう仕組み? プライベートサブネットからアクセスするために、VPC内に特別なエンドポイントを作成します。ルートテーブルでS3へアクセスするIPアドレスをVPCエンドポイントへ向けるようにしてアクセスを可能とさせます。 設定 Management ConsoleのVPCダッシュボードに、以下のように「エンドポイント」という項目が増えています。 ではエンドポイントの作成を行います。 VPC:エンドポイントを作成するVPCを選択します。 サービス:現状ではS3(com.amazonaws.ap-northeast-1.s3)固定になっています。 ポリシー:今回は「フルアクセス」を選択します。ポリシー作成ツールを使用してVPC Endpo
[CDP] High Availability Forward Proxyパターンの構築 | DevelopersIO
Squidの設定(/etc/squid.conf) 「AWS のPublicサービスとの連携」と「パッケージの取得・更新(yum)」のリクエストはSquidを経由するので、プロトコルはhttpとhttpsのみ有効とします。Proxyサービスのリスンポートは8080を設定しています。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks fr
![[CDP] High Availability Forward Proxyパターンの構築 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/159aae9aca8c6edf2f9802a0b5ceac5fe829ed41/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F07%2Fcdp.png)
【新機能】ALBのHost-based routingを試してみた | DevelopersIO
ご機嫌いかがでしょうか、豊崎です。 ELB(ALB)にアップデートがありましたので、ご紹介させていただきます。 ホストベースルーティング ALB(アプリケーションロードバランサー)にホストベースルーティングの機能が追加されました。 このアップデートにより、HTTPヘッダのホストフィールドに基づいたリクエストのルーティングが可能になりました。 これまで利用可能だったパスベースのルーティングと組み合わせて使うことも可能です。 また、アプリケーションロードバランサで作成できるルールの数も75に拡大されています。 できるようになること ホストベースのルーティングを使用することでELB(ALB)に複数のドメインを紐付けてドメインごとにバックエンドの異なるEC2またはコンテナにルーティングすることが可能になります。 試してみる 準備 webサーバを2台用意します。 hostA hostB 上記EC2を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「AWS上でインシデントの調査 Amazon Detective」というタイトルでre:Growth 2019に登壇しました #reinvent #cmregrowth | DevelopersIO
