こんにちは。エンタープライズクラウド部技術3課の脇江です。 EC2 の Windows Server インスタンスで SSM Agent を使用するときのプロキシ設定について調べる機会がありましたので、備忘のために記しておきます。 今回は以下を前提条件として動作の確認を実施しました。 SSM Session Manager のポートフォワーディングを使用して Windows Server にRDP接続 VPCエンドポイントを使用せず、インターネット経由で SSM を利用 インターネットにアクセスする際は必ずプロキシを経由する SSM Session Manager のポートフォワーディングによ…

こんにちは。6月よりEC部技術3課に配属されました、山本拓海です。 ザ・ポリスの好きなアルバムはゼニヤッタ・モンダッタです。 今回はスプリットビューDNSについての調査と実装方法をご案内します。 スプリットビューDNSとは DNSクエリ送信元によって、異なるDNS情報のセットを提供する機能をスプリットビューDNSといいます。 スプリットビューDNSには、他にもスプリットホライズンDNS, スプリットブレインDNS, スプリットDNSという呼び方あるようですが、 今回はスプリットビューDNSという呼称で統一して話を進めます。 スプリットビューDNSを利用することで、VPC内部からのDNSクエリへ…

こんにちは🐱 カスタマーサクセス課の山本です。 以下の記事を書いていて気になったので確認してみました。 記事内にも記載している通り、IAM Role のセッション時間はデフォルト 1 時間、最大 12 時間です。 blog.serverworks.co.jp また、以下の記事から Session Manager のアイドルタイムアウトは 1 〜 60 分を設定できます。 blog.serverworks.co.jp 「IAM Role でのセッション時間中に、Session Manager を使用してEC2 に時間のかかるコマンドを実行しました。すると、Session Manager のアイド…

こんにちは。🐱 ３月に技術課からカスタマーサクセス課に移動になっていた山本です。 表題の件が気になっていたので調べました。 訂正 (2023 年 6 月 9 日) 以下、誤った記載をしていました。申し訳ございません。 AWS IAM Identity Center を利用し、アクセスポータル経由で AWS アカウントにログインしている際の最大セッション時間は、以下のうち、短い方の時間になります。 アクセスポータルの最大セッション時間の残り時間。 ログインに用いた、許可セットの最大セッション時間の残り時間。 訂正後： AWS IAM Identity Center を利用し、アクセスポータル経由…

アインデンティティベースのポリシーとリソースベースのポリシーの整理をしてみました。

概要 全体像 Amazon ECR について 前提 手順 1. Docker Hubのコンテナイメージを実行 AWS Cloud9（以下、Cloud9）とは Cloud9 を起動する Details セクション Network settings セクション Cloud9 へ接続 Docker 確認 パブリックレジストリのPHPのコンテナイメージを実行する イメージの確認 実行中コンテナの確認 実行したコンテナへアクセス 実行中のコンテナへ接続 index.phpを作成 再び、PHPへアクセス 実行中のコンテナを停止 コンテナの状態を確認 2. Dockerfileからコンテナイメージをビルドし…

アプリケーションサービス部で現在研修中の鎌田(義)です。 Serverless Application Model(SAM)を使って、 スクレイピングを定期実行するアプリケーションを作成してみようと思います。 ローカル環境で開発を行い、テスト実行、AWSへのデプロイまでを行います。 弊社ではServerless Frameworkを使用することが多いのですが、 私自身はまだどちらも経験がない為、今回はSAMを選択してみました。 完成イメージ 構成図 フォルダ構成 前提 手順 SAMサンプルアプリの準備 sam init sam local invoke SAMで利用するIAM準備 テスト用S3…

こんにちは、「さばわのビブリオラジオ」ナビゲータのくればやしです。 「さばわのビブリオラジオ」はサーバーワークスグループのメンバーにおすすめの本を伺っていくラジオ番組です。 第8回のゲストはカスタマーサクセス部のやまもとさんにお話を伺いました。 www.youtube.com 収録後記 今回印象的だったのは、やまもとさんの駆け出しエンジニア時代の学習の様子でした。仕事が終わってからデータセンターに行ってネットワーク機器を触りに行ったり同僚とLTをしたりと技術の勉強に取り組んでいたそうです。 表題にも取り上げましたが、技術の勉強をしていると流行廃りもあるし、「これやることって時間の無駄かな？」と…

前置き こんにちは。Google Pixel Fold に興味があるが、ポチるか迷い中のエンタープライズクラウド部技術２課の三好です。 さて、迷うと言えばVPCを設定するときに「VPC内のDNS属性」についてどう設定していいか迷ったことはないでしょうか？ 「VPC内のDNS属性」には「enableDnsHostnames」と「enableDnsSupport」の二つの属性があります。 それぞれの属性が何の設定であるのか、Amazon VPC ユーザーガイドの記載を以下に引用します。 属性 説明 enableDnsHostnames VPC がパブリック IP アドレスを持つインスタンスへのパブ…

セキュリティな小ネタです。 AWS のアクセスキーなどをうっかりソースコードから漏洩しないように git-secrets のようなツールを設定されている方も多いと思います。 GitHub - awslabs/git-secrets: Prevents you from committing secrets and credentials into git repositories GitHub でもこれに近い機能を提供しています。 docs.github.com これ、アカウント単位のポリシーとして設定可能な項目であることを最近知りました。恥ずかしながらこの機能自体も私はきちんと利用していたわ…

こんにちは。AWS CLIが好きな福島です。 はじめに 共通インフラアカウントを作る目的 共通インフラアカウント一覧 ①マネジメントアカウント(必須) マネジメントアカウントとは？ マネジメントアカウントに持たせる役割例 ②監査アカウント(ほぼ必須) ③ログアーカイブアカウント(ほぼ必須) ④IAMアカウント(ほぼ必須) ⑤ネットワークアカウント(ほぼ必須) ⑥踏み台アカウント(環境による) ⑦コスト最適化アカウント(環境による) ⑧監視アカウント(環境による) ⑨可視化アカウント(環境による) ⑩自動化アカウント(環境による) ⑪ADアカウント(環境による) 終わりに はじめに 昨今、AWS…

3月よりIE課（インターナルエデュケーション課） に異動しました山﨑です。 今回はAWS Organizations における「アクセス統制」について整理してみます AWS Organizations におけるアクセス統制 AWS Organizations のおさらい アクセス統制について ①IAM方式 IAM管理アカウント MFAを強制するポリシー スイッチロールを許可するポリシー 各種AWSアカウント IAMロールの例 運用イメージ IAM管理アカウント 各種AWSアカウント ②SSO方式 Management Account SSOアカウント 運用イメージ SSOアカウント IAM方式…

はじめに 前提条件 手順 EC2でOSユーザー作成 SSMでSSMSessionRunAsを有効化する 検証 IAMユーザー・ロールの設定 検証 ログについて 最後に はじめに 今回は、IAMユーザーごとにログインするユーザーを変える方法について書いていきます。 参考ドキュメントはこちらになります。 docs.aws.amazon.com 前提条件 今回は、Amazon Linux 2023での手順を記載しており、Session Managerにログイン可能な環境は揃っていることを前提とします。 そのため、本記事では以下のことは書いていません。 EC2作成方法 SSM Session Mana…

こんにちは、一年間の研修が終わり、ついに働いています末廣です。 そんな業務の中で RDS for Oracle のメモリ管理について、RDS ならではの制約や注意点があったので、ブログにまとめます。 本題に入る前に、本記事に登場する Oracle のメモリ管理に関する用語を簡単に説明します。 Oracle 関連用語について SGA（System Global Area） PGA（Program Global Area） 自動メモリ管理 HugePages 概要 関連パラメータ 値や条件式の見方 自動メモリ管理のパラメータ（206・207） SGA と PGA パラメータ（308・371） Hu…

こんにちは。AWS CLIが好きな福島です。 はじめに AWSで利用するCIDRについて AWSで利用するCIDR範囲を決める CIDRを適切に区切るとは AWSで利用するCIDRの更なる分割 リージョンごとに割り当てる 環境ごとに割り当てる VPCのCIDRについて サブネット設計について 終わりに はじめに 昨今、AWSを利用するにあたり、複数のAWSアカウントを利用したマルチアカウント構成が主流になってきているかと存じます。 私もAWS歴は浅いですが、シングルアカウント構成の場合は、VPCの数はそれほど多くなく、1つのVPCに比較的大きなCIDRの割り当てやセカンダリCIDRの追加を行い…

IE課で研修中の前田(青)です。 業務中、フルーツグラノーラをつまんでいたら食べ過ぎてしまったため運動しなければと焦っています。 今回は、前回の記事の執筆中に見つけたALBの認証アクションを実際に試してみたいと思います。 ALBの認証アクションとは？ ALBのリスナーでHTTPSを選択すると「認証」というアクションを有効化できます。 認証方法にはOIDC (OpenID Connect)と、Amazon Cognitoがあります。お手軽さ重視ということで今回はCognitoを選択し、実際に認証をやってみたいと思います。 検証環境の説明 下記のような環境で検証を行います。 認証アクションはリッス…

こんにちは、ラーニングエクスペリエンス課の小倉です。 私は AWS 認定インストラクター (AAI) として AWS 公式トレーニングの講師をしているのですが、先日、丸5日間連続で講師をするということを初めて経験しました。なかなかハードでしたが、楽しかったです！ サーバーワークスでは、自由に勉強会を開催してスキルアップをしています。その中で私は毎週月曜日の朝、「30分AWSハンズオン」という30分でできるAWSハンズオンを2021年9月から継続して開催しています。その内容をブログで定期的に紹介していきます。AWSをご利用のみなさまのスキルアップにお役立ていただければと考えています。 4回目は、…

Retool というローコードツールの構築法を紹介します

こんにちは、「さばわのビブリオラジオ」ナビゲータのくればやしです。 「さばわのビブリオラジオ」はサーバーワークスグループのメンバーにおすすめの本を伺っていくラジオ番組です。 第7回のゲストはエンタープライズクラウド部 みよしさんにお話を伺いました。 www.youtube.com 番組後記 今回印象的だったのは、暗号やインターネットの歴史等、技術の基盤的な部分を探っていくみよしさんの姿勢でした。 番組の中でも『暗号技術入門』を新人に勧めたい理由を伺うと「[知識の]使い回しが効くところ」とのことで、表面的な技術やプロトコルは移り変わっていくものですが、技術の基盤的な部分は廃れないということを経験…

3月よりIE課（インターナルエデュケーション課） に異動しました山﨑です。 今回はマルチアカウント環境でAWS Service Catalog を利用する方法について整理していきます。 先に結論 おさらい AWS Service Catalog とは 想定しているマルチアカウント環境について アカウント構成 現場の声（管理者） 現場の声（エンドユーザー） マルチアカウント環境でAWS Service Catalogを実装してみる 各種アカウントでの作業概要 Management Account SSOアカウント Sandboxアカウント Catalogアカウント 実作業（Management …