先月にsecurityhubとconfigの新しい連携機能が発表されており、 挙動が気になっていたので試してみました。 aws.amazon.com 何が変わったのか config ruleで検知した違反をsecurityhubに自動連携してくれるようになりました。 これまでは、configで検知した…

AWSの基礎を学ぼう Gateway Load Balancerに参加しました AWSの亀田さんが、ほぼ毎週開催されている いろんなサービスを触ってみる勉強会です。 今週はGateway Load Balancer でした。 awsbasics.connpass.com 作成した環境 こんな感じの構成をハンズオンで…

cdkのsolution constructが便利だったのでブログに書いてみます。 solution constructとは AWSの公式ドキュメントに説明がありました。 aws.amazon.com AWS Solutions Constructs は、2 つ以上の CDK のリソースを組み合わせ、ロギングや暗号化などのベスト…

AWS SAMがgithub actionsを利用できるようになったようなので使ってみました。 使ってみるとめちゃくちゃ良かったので、記事にしてみました。 事前準備 まず何でも良いのでsamを作成します sam init -r python3.8 -n github-actions-with-aws-sam --app-temp…

AWS Organizationsの連携機能を色々と試しており、 cloudtrailでも連携機能を試してみました。 下記を参考にさせて頂いており、 KMSも含めて権限移譲をやろうとすると割と面倒で、 最終的にcloudformationを作成したのでブログ化してみました。 fu3ak1.haten…

Contorl Towerの東京リージョンがサポートされたので触ってみました。 色々と調査する過程で、Control Towerを有効化した時に 裏側で流れるcloudformationを読み解いて図示したので きっと誰かの役に立つと思いブログ化してみました。

AWS fsxを作成した後、AWSコンソールから以外ですべき設定作業があります。 それがこちら。 docs.aws.amazon.com 概要をざっとまとめるとこちらです。 Best Practices 項目 機能概要 関連リンク Data Deduplication データの重複を極力削減してくれる機能 li…

FSXを自己所有のADで作成する際、AD側で何をすれば良いのかが AWSのドキュメントを見ても、いまいち分かりにくかったです。 docs.aws.amazon.com aws.amazon.com 上記を見ながら作業をしてみたところ正常動作でき、 作業をより分かりやすく残しておきたいと…

AWSのClientVPNには認証方式が複数あります。 認証方式により、構成やUXが微妙に変わり、その質問をいただくことが多いため、 ユーザ視点でどんな感じになるのかを、7パターンで整理してみたいと思います。 これ以外にも構成パターンはあると思いますが、そ…

オンプレからAWS(RDS)への移行方法をまとめてみました。 AWS Database Specialityの勉強をする過程で、 何かとまとめておくと、後々便利と思い自分のメモにしていたのですが、きれいにしたので公開してみます。 RDSの種類 * 移行方式の数があるのでかなりの…

Auroraのリードレプリカ数をAutoscalingできます。 時間指定でもできるのか試してみました。 結論を言うとできます。AWS コンソールではCPU使用率、または接続数でスケールする設定しか できないようなのですが、基本はなんでもできそうです。autoscaling設…

AWS Appsync(GraphQL)のDynamoDBチュートリアルを触ってみました。 チュートリアル : DynamoDB リゾルバー - AWS AppSyncdocs.aws.amazon.com 私はインフラよりの仕事が中心なので 多くのエンジニアと同じくRDBを触ったことがあるのですが、 GraphQLには馴染…

AWS Cloudwatch Syntheticsで先日記事を書いてみたのですが、 「GUIワークフロービルダー」なる機能があったので使ってみました。 機能概要 サイトの動作確認等に利用が可能です。 サイト死活監視に加え、自動テストのようなイメージで 検索ボックスに「xxx…

CloudwatchにSyntheticsの新機能が追加されたので使ってみました。 サイトの死活監視が可能なようで、 Route53のHealthCheckと少し被っているのかと思ったのですが、 Route53よりも、より詳細なリクエストを送ることが可能なようです。 まずはベーシックなハ…

AWS Client_vpnで分割トンネル(split-tunnel)と言う設定項目があったのですが ドキュメントを読んだだけだと動作がよく分からなかったので調べてみました。AWS Client VPN エンドポイントの分割トンネル - AWS Client VPN デフォルトでは、AWS Client VPN エ…

リモートワークがどの会社でも進んでいますね・・・ 割と問合せの多いClientVPNを調べてみましたのでブログにまとめてみようと思います。 ClientVPNの概要 clientVPNの概要は下記が分かりやすいと思います。 AWS Client VPN の詳細 - AWS Client VPNClientVP…

AWS WAF がいつの間にかWAF Classicという名前になっている・・・・ そして今のWAFはWAFv2と呼ぶらしいです。 何が違うのか分からなかったので触ってみました。 主な変化点 WCU WAF v2にはWCUという概念が導入されています。 WCUは遠足のおやつのような概念…

AWS BackupでEFSとの連携が便利になり、 EFSでのファイル単位のリストアができるようになりました。 機能を使ってみる機会がありましたのでメモ的に書いてみます。 aws.amazon.comユースケースとしては、ユーザやシステムが誤ってファイルを消してしまった場…

小ネタです。 SAMで「sam build」したところ下記のエラーが出てしまいました。 Build Failed Error: PythonPipBuilder:None - Binary validation failed! sam build --debugで詳細見ると、 ローカルのpython versionがpython3.7だけど runtimeを3.8に指定し…

AWSではSSMセッションマネージャーを使うことで 踏み台サーバなしでPrivateのEC2へ接続できます。 ザックリとしたサンプル手順は下記のようになります。 1)VPCエンドポイントを作成 2)EC2のIAM設定 3)NW設定(EC2,VPCendpointのセキュリティグループ設定) 4)S…

AWSのAutoscalingという機能があります。 これは便利な機能なのですが、アプリケーションもそれに対応した作りになっていた方が相性が良いです。 逆を言えば、AWSのベストプラクティスに従わないと途端に運用が大変になってしまいます。 検討時に気づいて欲…

AWSのTranscribeが待望の日本語対応をしてくれました！ 早速どんなものか試してみたいと思います。 また同じSpeech To Textのサービスを持っているGCPでの動作比較もしてみました。 今回は電話の会話記録の音声データでスピーカが2人存在するデータを利用し…

cloudtrailの「ログファイルの検証を有効化」の有効化にはするのですが、 機能詳細を確認することがありませんでした。 先日触ってみたので備忘で残したいと思います。cloudtrailの赤枠部分のファイルを書き換えてみました。偽造 Validate-logsを試してみる …

先日、AWS LambdaからGCPのSDKを利用したいと思い、 Layerを固めることがありました。 その際エラーが出てしまい解決までにハマってしまったので、 ブログに書こうと思いました。 エラー内容 固めたzipをlambda Layerとしてアップしたところ Runtimeエラーと…

「AWS WAF 海外IPを拒否しGoogleのクローラ（bot）は許可する設定」を することがありましたので設定時のメモとして書きます。 Googleのクローラの条件 まずは通すべき条件を調べました。 色々と細かい条件はあるようです。今回の私の要件は User-Agentヘッ…

最近AWS KMSについて聞かれることがあったので ブログにまとめてみようと思います。 KMSってなに？をざっくり 対象鍵を安全に保管してくれるサービス 各AWSサービスのデータ暗号化・複合化する機能として連携（S3、EBS等) うるさいセキュリティのポイントを…

S3のホスティングを利用している場合で、 オブジェクトを特定時間に公開したいと思うことがありました。 その際、S3のバケットポリシーを利用して公開時間を 設定することが可能でしたので備忘で記事にします。 検証内容 バケットポリシーの時間を更新する {…

VPCピアリングでうまく接続できない時に確認したいことを、自分でもたまに忘れそうなのでメモがてら書きます。 セキュリティグループ、ルートテーブル、NACL この辺りは当然ですね。丁寧に確認しましょう。 OSポート許可（iptables,firewall等） windowsの場…

では、前回の続きです。 AWS SESでメールを送った時はどうなるのか？ まず、特に何も特別な設定はしないで、SESでメールを送ってみます。 受信者でgmailで受信した場合、 メッセージのソースを表示すると、詳細の情報が確認できます gmail 上記からSPFの認証…

会社の人から「SPF認証ってなに？」とか 「AWS SESはSPFに対応していますか？」といったことをよく聞かれます。 そこで今回はSPFについて書きたいと思います。 SPFとは そもそもSPFとは何か？ということですが、 送信元認証（＝メール送信者が想定と正しいと…