先日、弊社メンバーとコスト最適化の定番なチェックポイントがリスト化されている資料が欲しいねと話になったので、色々な参考情報(末尾記載)をベースにまとめてみました。 こんな悩みを抱える方々に、ご活用いただけますと! 定番とされる AWS コスト最適化に関するチェックポイントを押さえたい とにかく不要なコストを削減したい クイックウィンな最適化を優先的に実施したい チェックリスト Amazon Athena チェックポイント 対応・検討 推奨度 関連情報
EIC エンドポイント作成 EIC エンドポイントを作成します。 VPCエンドポイントの作成から、サービスカテゴリでEC2 Instance Connect Endpointを選択します。 サブネットは、プライベートサブネットを選択します。 Preserve Client IPには、チェックを入れずに、エンドポイントを作成します Preserve Client IPとは Preserve Client IP チェックをいれると、EIC エンドポイントは、ユーザーのクライアントIPを保持できます。 クライアントIPを保持すると、EC2に接続時、ユーザーのクライアントの IP アドレスがソースとして使用されます クライアントIPを保持しない場合、EC2に接続時、プライベートサブネットにあるEC2 Instance Connect エンドポイントのElastic Network Interfac
VPCエンドポイントポリシーでマネジメントコンソールからサインインできるアカウントを制御できるぞ。なお、インターネットに抜けずに閉域網からマネジメントコンソールにアクセスを実現するものではない模様。 インターネットに抜けずに閉域網からマネジメントコンソールにアクセスしたいな こんにちは、のんピ(@non____97)です。 皆さんはインターネットに抜けずに閉域網からマネジメントコンソールにアクセスしたいなと思ったことはありますか? 私はあります。 世の中にはセキュリティルームなどインターネットへのルーティングがされていない / インターネットへのアクセスが許可されていないエリアがあったりします。 そして、システムの要件上、そのような場所から運用することが求められるケースがあります。 そのような環境でAWSの運用をするのはかなり大変です。何しろAWSマネジメントコンソールにアクセスするにはイ
1 はじめに CX 事業本部のデリバリー部の平内(SIN)です。 re:Invent 2022 で AWS IoT Core の MQTT v5 対応が発表されたが、 これにより、新しく拡張されたプロパティによって、MQTT v3.1 では、比較的複雑になってしまう作業を、簡潔に実装することが可能になりました。 AWS IoT announces general availability for version 5 of MQTT message broker (MQTT5) AWS IoT Code では、元々、ルールのアクションにRepublishを設定すると、簡単にメッセージブローカーに到着したメッセージを、別トピックに Publish しなおすことが可能ですが、今回、Republish 時に、MQTT v5 で拡張されたプロパティが設定可能になりました。 今回は、この動作について、
「最近は、データベースもB/Gデプロイできるらしいよ?」 「そりゃそうやろ。B/Gデプロイなんて、最近当たり前……… へ?DBが?無理でしょ?ほぇ?どういうこと?」 最初アップデートのタイトルを見たときの、ハマコーの率直な感想です。 Blue/Greenデプロイは、現行バージョンのトラフィックを活かしたまま新バージョンを動作確認し、問題なければ新バージョンをリリースするという、最近の安全なデプロイの概念において無くてはならないものです。 同時に新旧バージョンを稼働させるため、基本的にはステートレスなアプリケーション・サーバーにおいて利用するものという固定概念があったのですが、それをデータベースに対して既存のAWSの技術を組み合わせつつAWSらしいマネージドな仕組みで解決しようという、意欲的なリリースです。制約事項もそれなりにあるので、皆さんの運用ワークロードに当てはまるかは、事前の検証が必
CircleCIがOpenID ConnectをサポートしたのでAWSと連携させてJWTを使用したAssumeRoleを試してみた こんにちは、CX事業本部 IoT事業部の若槻です。 このたび、CI/CDプラットフォームCircleCIで、OpenID Connect(OIDC)がいよいよサポートされたとのことです。待ちわびていた人も多いのではないでしょうか。 #OIDC リリースされました! (OpenID Connect Tokens) Twitterでも「1月にでるはずだったよね」という期待をずいぶん頂き、ご関心をひしひしと感じてしました。 - Changelog: https://t.co/oqM0zbE2OF - Doc: https://t.co/fOYKoKfTNd — CircleCI Japan (@CircleCIJapan) March 26, 2022 Circle
[アップデート]EventBridgeのクイックスタートでGitHub、Stripe、Twilioとのイベント連携が簡単に作れるようになりました! EventBridgeのクイックスタートでGitHub、Stripe、Twilioとのイベント連携が簡単に作れるようになりました!実際にGitHubと連携する際の動きを確認しています、 はじめに CX事業本部の佐藤智樹です。 今回は、EventBridgeのクイックスタートでSaaS(GitHub、Stripe、Twilio)とAWSサービスの連携が簡単に作れるようになったので紹介します。全体の流れはほぼ共通ですがSaaSごとにシークレットの登録などは異なるため、本記事ではGitHubとの連携を中心的に紹介します。 具体的な構成 CloudFormationによってSaaSの Webhook に対応するLambdaとFunction URLsが
[神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce 神機能が提供されました。EC2やコンテナでマルウェア感染の挙動を検知したら、GuardDutyがマルウェアスキャンを実施できるようになりました。ユーザーが頑張ることが1つ減りました。控えめに言って最高ですね。 こんにちは、臼田です。 みなさん、AWSで脅威検知してますか?(挨拶 神機能がリリースされました!現在開催されているAWSのセキュリティカンファレンスre:InforceにてEC2やECS/EKSなどのコンテナワークロード上でマルウェアを検知した際にスキャンする機能が発表されました! New for Amazon GuardDuty – Malware Detection for Amazon EBS Volumes | AWS News Bl
ログ・モニタリングのやること AWS CloudTrail の設定 CloudTrail は AWS リソースに関して「誰が」「いつ」「何に」対して「どうような」操作をしたのかのイベントを記録するサービスです。イベント履歴から 90 日間分のイベントを確認することはできますが、イベントログの長期保管の設定(証跡の作成を行い、S3 に保管)をしておくことで、トラブル発生時の解析やインシデント発生時の調査などに利用できます。 有料です(無料利用枠もあります)。 [YouTube] AWS CloudTrail を触ってみた CloudTrail Insights イベントを利用することで、機械学習により異常なアクティビティを検出することもできます。通常の操作で検出されることがあるため、始めに試してみて、あまり活用しないようであれば無効化を検討でも良いと思います。 イベントログは S3 と Cl
よく使いそうな S3関連のセキュリティ機能を主観でまとめてみます。 「汎用的」、「便利」、「コスパが良い」といった基準で選びました。 6つのセキュリティ機能を説明していきます。 ブロックパブリックアクセス ACL無効化 デフォルト暗号化 S3 Storage Lens GuardDutyの「S3保護」 Security Hubの「セキュリティ基準」 ブロックパブリックアクセス(以降 BPA) 「意図しないS3バケットの公開」を未然に防ぐ ための機能です。 アカウントレベル、もしくはバケットレベルで設定できます。 設定パラメータは 4つあります。 BlockPublicAcls … パブリックACLを付けた投稿(Put Object)ができなくなります IgnorePublicAcls … すべてのパブリックACLを無視します BlockPublicPolicy … パブリックなバケットポリ
AWSを使っているとたまーに「AWS SigV4」署名付きリクエストでアクセスを許可するサービスがでてきます。そんなときにcurlライクにAWS SigV4署名付きリクエストができるツール「awscurl」を紹介します。 みなさん。AWS使ってますか? AWSを使っているとたまーに「AWS SigV4」署名付きリクエストでアクセスを許可するサービスがでてきます。 代表的な例をあげると IAM認可 を設定した API Gateway です。 20190514 AWS Black Belt Online Seminar Amazon API Gateway このAWS SigV4署名はAWSの アクセスキーID と シークレットアクセスキー を元に署名を行い、ドキュメントに署名手順の例も載っているんですが、自分でやるには手順が複雑で面倒くさいです。 完全な署名バージョン 4 署名プロセスの例
私がこのDevelopers IOでも屈指の良エントリだと思っているのが、以下の佐伯さんのエントリです。 ディレクトリ移動をするだけでAWSのクレデンシャルを切り替えてくれるので、複数のAWSアカウントに対してCLIベース(私はTerraformを使うことが多い)で作業をするような方にはとてもおすすめです。一度お試しください。 M1 Macでは動かなかった 最近開発環境をM1 Macに変えました。するとこの仕組みが動作しませんでした。 環境情報 MacBook Pro (13-inch, M1, 2020) チップ: Apple M1 OS: MacOS Big Sur (バージョン11.6.2) 原因 上記仕組みはdirenvとassume-roleという2つのツールを組み合わせて実現されているのですが、assume-roleがM1に対応していないようです。 % assume-role
サーバレス時代のマルチテナンシーを考える ~ Thinking about multi-tenancy in the serverless era ~ #cm_showcase 京セラのロボティクスチームがマルチテナンシーをどのように考え取り組んできたか、またその過程でクラスメソッドがどのように支援してきたかをご紹介します こんにちはおんづか(@onzuka_muscle)です。 本記事ではMAD事業部として1年以上前から支援をさせていただいている京セラ様のセッションをレポートします! セッション概要 サーバレス時代のマルチテナンシーを考える ~ Thinking about multi-tenancy in the serverless era ~ 昨今、DX 言葉に代表されるように、ビジネスをデジタライズし、サービサーとしてソフトウェアを提供するニーズが高まっています。 しかし、サービ
サーバーレスアーキテクチャを基礎から復習したかったです。手を動かしたい派なので初心者向けのハンズオンをやってみました。なにを復習したら良いのかはやってみてから考えることにしました。 以下の構成を手を動かして作ります。 画像引用: ハンズオンのアンケート回答後にダウンロードできる資料より やってみた感想 2019年に収録されたハンズオン動画のため一部マネージメントコンソールのUIに変更は見られるものの構築する上では支障はありませんでした(2021年11月現在) API Gateway プロキシ統合のLambda(Python)と、SDKを使い他のAWSサービスの呼び出しを試せる 以下のサービスの連携を簡単に体験したい初心者にオススメ API Gateway Lambda Translate DyanamoDB ハンズオンを完走するまでの所要時間は約1時間30分でした ハンズオン記事のリンク
こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか?(挨拶 社内で行っているAWSトレンドチェック勉強会の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopersIOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 今回もバラエティ豊かなラインナップです。 ちなみにAWSの最新情報をキャッチアップするだけなら週間AWSがおすすめですが、DevelopersIOのブログを読むとAWSさん公式とはまた違った知見や解説、面白さがありますの
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
Developers.IO 2021 Decadeという弊社オンラインイベントにて、「Cloudflare + OpenSearch + Lambdaで始める全文検索開発入門」というテーマでお話させていただきましたので、紹介します。 セッション概要 現在開発に携わっているプロフィールビュアーサービスProfllyでは、検索エンジンとしてAmazon OpenSearch Serviceを採用しています。 サーバーレス環境において、コストを抑えつつ快適にOpenSearchを利用できる開発環境を準備すべく、Cloudflareを利用したOpenSearch + Lambdaの構築方法を解説します。 動画 スライド アジェンダ Amazon OpenSearch Service + Lambdaを組み合わせた全文検索 開発のためのローカル環境OpenSearch構築 Cloudflareを利用
はじめに CX事業本部IoT事業部の佐藤智樹です。 先日AWS DevDay Online Japan というイベントで「AWS CDK はどう使いこなすのか、初期開発から運用までのノウハウ」というタイトルで登壇しました。 今回は上記の登壇で使用した資料の公開と今回の発表をやりたかった理由などについて書きます。 動画 登壇資料 発表の理由 この1年半ほどの間でAWS CDKを利用した案件へ4,5件ほど関わらせていただいて、最初にここを設計しといた方がよかったという部分やチーム内で認識がずれていると後から直すのが大変な部分を全体的に紹介しました。今回紹介した個々の情報はネット上にもある程度はあるのですが、開発の最初期から運用まで考えてまとまった情報はない気がしたので、今回まとめて発表してみました。今後AWS CDKを本格活用したい方の参考になれば幸いです。 後、以前のイベントでAWS CDK
GitHub ActionsでAWSの永続的なクレデンシャルを渡すことなくIAM Roleが利用できるようになったようです アクセスキー、撲滅してますか? ナカヤマです。 目黒方面より、以下のような福音が聞こえてきました。 何がどのくらい最高かと言いますと! GitHub Actions に AWS クレデンシャルを直接渡さずに IAM ロールが使えるようになることがまず最高で! クレデンシャル直渡しを回避するためだけの Self-hosted runner が必要なくなるところも最高です!!✨✨✨ https://t.co/IUQmfzkIB0 — Tori Hara (@toricls) September 15, 2021 元ネタはこちら。 Ok I blogged about it. That's how excited I am. 1. Deploy this CFN templ
Amazon Linux 2 の Dockerイメージから開発環境を作り Visual Studio Codeで接続してみる Amazon Linux 2のDockerイメージから開発環境として使うコンテナを作り、Visual Studio Codeで接続してみました。 コンテナは以下をインストール or 可能としてみました。 AWS CLIをインストールする。かつクレデンシャルはローカルのものをコンテナ内でも使えるようにする。 (開発言語として)Go言語をインストールする。 ローカルマシンとコンテナで共有できるフォルダを作成する。 以下、今回作成した「docker-compose.yml」と「Dockerfile」について書いていきたいと思います。 作成したもの ローカル環境について 本作業はMacで行いました。docker-composeとDockerがインストールされているものとしま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く