クラウドインテグレーション2部技術3課の山下です。 今回は、Amazon Elastic Container Service（以下、ECS）の タスクロールとタスク実行ロールの違いについて、 簡単なサンプルアプリを用意して検証してみたいと思います。 (背景) タスクロールとタスク実行ロールの違いがピンと来なかった (結論) アプリのコードでAWSリソースへアクセスする場合、タスクロールに権限をつける 検証してみる 構成 データベース IAMポリシー IAMロール パターン1：コンテナ上のアプリケーションからSecrets Managerにアクセスする パターン1サンプルアプリ 検証結果（タスク…

こんにちは。AWS CLIが好きな福島です。 はじめに GUIによるアクセス方法 ①ユーザーポータルURLへのアクセス ②ユーザー名の入力 ③パスワードの入力 ④MFAの入力 ⑤AWSアカウントへのアクセス ⑥ログイン確認 CLIによるアクセス方法 ①AWS CLIの導入 ②SSOの設定 ③SSOへのログイン ④コマンドの実行 補足 終わりに はじめに 今回は、AWS SSO経由でAWSへGUIまたはCLIを使いアクセスする方法をブログに記載いたします。 GUIによるアクセス方法 ①ユーザーポータルURLへのアクセス AWS SSOの設定を行うと、ユーザーポータルURLが払い出されるため、その…

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 Before After 結論 使い方 実行例 VPC Subnet 詳細 ファイル構成 ①prd-fk-param.json ②serverworks-vpc.yml ③serverworks-subnet.yml ④create-stack.sh 終わりに はじめに 今回は、AWS CLIを使い、CloudFormationの複数のテンプレートで定義したParametersの値を1つのファイルで管理する方法をご紹介いたします。 AWS CLIを使ったCloudformationの操作については、以下にまとめているため、興味があ…

Amazon S3のバージョニングについて試してみた結果や、使用する上での注意点をまとめてみました。

CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い（拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い）ため、同じ設計思想をそのまま適用することが難しいためです。 そこで今回はSCPを設計する上で参考になりそうなサンプルポリシーを作成してみました。 おさらい Organizations SCP SCPのサンプルポリシー AWSリソース構築時のストレージ暗号化を強制するSCP IAMの一部操作を禁止するSCP 監査ログ、機密情報が…

CI2部 技術2課の山﨑です。 複数のAWSアカウントならびに複数のリージョンにワンオペレーションでAWSリソースをデプロイすることができるCloudFormation StackSetsはとても便利で、マルチアカウント運用をしている場合は重宝されている方もいらっしゃるのではないかと思います。 この度、CloudFormation StackSetsのOU単位のデプロイにおいてアカウント単位でデプロイ可能なオプションが追加されましたので、簡単にご紹介したいと思います。 おさらい CloudFormation StackSets とは？ デプロイターゲットについて アップデート概要 アカウントフ…

CI2部 技術2課の山﨑です。 5〜7月にかけてRDS Performance Insights のアップデートが3つありましたので、今回はそれぞれ簡単にご紹介したいと思います。 おさらい RDS Performance Insights とは？ アップデート概要 ①確認したいメトリクスの正確な時間範囲を指定できるようになりました ②データ保持期間が柔軟に設定できるようになりました ③7月1日から料金体系が変わり、より安価になりました まとめ おさらい RDS Performance Insights とは？ RDS Performance Insights はデータベースのパフォーマンスを監…

CI2部 技術2課の山﨑です。 7月にAmazon Athena がパラメータクエリをサポートしましたので簡単にご紹介したいと思います。 おさらい Amazon Athena とは？ アップデート概要 パラメータクエリを実行できるようになりました これまでのクエリとの比較 パラメータクエリを利用しない場合 パラメータクエリを利用した場合 おまけ まとめ おさらい Amazon Athena とは？ 標準的なSQLを使用してS3バケット内のデータソースに対してクエリを実行することができるサービスです。S3はRDS/Auroraのように事前に定義されたテーブルに対してデータを挿入するデータベースで…

CI2部 技術2課の山﨑です。 7月にTransit Gateway が VPC Flow Logs をサポートしましたので簡単にご紹介したいと思います。 おさらい VPC Flow Logs とは？ アップデート概要 Transit Gateway が VPC Flow Logs をサポートしました Transit Gateway が取得可能なVPC Flow Logs のログレコードについて まとめ おさらい VPC Flow Logs とは？ VPC のENI間で行き来する IP トラフィックに関する情報をキャプチャできるようにする簡易的なパケットキャプチャ機能です。。VPC FlowL…

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 前提 流れ ①IAMポリシーの作成 ①-①ChatbotがSSMのドキュメントを実行できるようIAMポリシーを作成します。 ②IAMロールの作成 ②-① IAMロールを作成し、①で作成したIAMポリシーをアタッチし、信頼関係には以下を設定します。 ③AWS ChatbotとSlackの連携 ③-①AWS Chatbotのコンソールを開きます。 ③-②新しいクライアントを設定を押下します。 ③-③Slackを選択し、設定を押下します。 ③-④許可するを押下します。 ③-⑤新しいチャンネルを設定を押下します。 ③-⑥設定名とSlack…

はじめに インプット ①「AWSの最新情報」を英語で確認する 日本語ではなく、英語でチェックする 30分以上は時間をかけない ②「ドキュメント履歴」を確認する ③「AWS ニュースブログ」を確認する アウトプット ④社内のSlackチャンネルでキャッチアップしたアップデート内容を要約して発信する ⑤アップデートに関するクイズを作成して社内のSlackチャンネルで発信する まとめ はじめに 私は毎朝30分の時間を使ってAWSのアップデートをキャッチアップすることが習慣になっています。習慣化するまでに時間がかかりましたが、この習慣のおかげで以下のような嬉しいことが起こっています。 参画しているプロ…

こんにちは、CI部 柿﨑です。 最近はバドミントンのスマッシュがキレイに打てるようになってきており、楽しくて仕方ありません。 今回はALBのリスナールールの優先度に焦点を当てていきたいと思います。 ※本ブログの執筆時点(2022年7月)での情報となりますので今後、変更されることが予想されます。 ALBのリスナールールの優先度について 勘違いしていたこと 事実 疑問1 疑問2 今回の調査を行うに至った背景 ALBのリスナールールの優先度について 勘違いしていたこと ALBのリスナールールを複数設定するとマネコン上では以下のとおりに優先度が1, 2, 3, 4と表示されます。 このことから優先度の…

カスタマーサクセス部 佐竹です。 本日は、AWS Certified Advanced Networking – Specialty (ANS-C01) に合格しましたので、その対策や感想について思ったことを記載していきます。本ブログが何かの参考になれば幸いです。

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 ファイル一覧 フォルダ構成 各ファイルの詳細 CodeBuildで利用 1. buildspec.yml: ビルド処理の定義書 buildspec.ymlの例 version pre_build(ビルドの前処理) build(ビルド) post_build(ビルドの後処理) artifacts 2. Dockerfile: dockerビルド時に利用する定義書 Dockerfileの例 FROM COPY Dockerfileの詳細 CodeDeployで利用 3. appspec.yml: デプロイ処理の定義書 version …

こんにちは。AWS CLIが好きな福島です。 はじめに 今回は、以下のハンズオンを実施したため、ハンズオンの内容を基にCI/CD for Amazon ECSの自動デプロイの流れをまとめてみます。 ◆AWS CI/CD for Amazon ECS ハンズオン https://pages.awscloud.com/rs/112-TZM-766/images/AWS_CICD_ECS_Handson.pdf また、以下のブログを読んだ後に本ブログをお読みいただくと良いかと存じます。 https://blog.serverworks.co.jp/cicd-ecs-build-deploy-file…

こんにちは。AWS CLIが好きな福島です。 はじめに 結論 ①Access Analyzer for S3にて検知されていないこと そもそも、IAM Access Analyzerとは Access Analyzer for S3の確認方法 IAM Access Analyzerへのアクセス パブリックアクセスが可能なS3の確認 補足 ②オブジェクトのACLを設定変更し外部からアクセスできる状態にしていないこと Security Hub(S3.8)でチェックされているS3バケットの一覧を取得 オブジェクト数の確認 check-s3-list.txtに記載のバケットのオブジェクトのACLの確認…

こんにちは。AWS CLIが好きな福島です。 はじめに CLIを使ったCodeCommitへのアクセス方法 概要図 前提 手順 ①git-remote-codecommitの導入(既に導入されている場合、対応不要です。) ②AWS CLIの導入(既に導入されている場合、対応不要です。) ③Gitの導入(既に導入されている場合、対応不要です。) ④Gitの設定(既に設定されている場合、対応不要です。) ⑤AWS CLIのProfileの設定 ⑥git cloneの実行 終わりに はじめに 今回は、CodeCommitへCLIを使ったクロスアカウント方法をブログに記載いたします。 CLIを使ったC…

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。今回はひさしぶりに Amazon WorkSpaces (以下 WorkSpaces と記) についてのBLOGになります。 WorkSpaces の展開作業を効率化したり、利用ユーザーの初期設定作業の負担を軽減させたいとき、検討に入るのが WorkSpaces のカスタムバンドルの利用です。 ご自身でセットアップした WorkSpaces をゴールドイメージとして カスタムバンドル を作成することがで、WorkSpacesのセットアップ作業が1回で済みますので、システム管理者と利用ユーザーの負担を軽減することができます。 とこ…

こんにちは！イーゴリです。 既存サブネットにあるリソースのプライベートIPアドレスの状況が分からない状態で、今回構築するAWSリソースのIPアドレスを指定したい場合、「どのプライベートIPアドレスを使えば良いか」の方法をこの記事ではご紹介したいと思います。 AWSの特定サブネットで使用されているIPアドレスの一覧を取得する方法 AWSで特定IPアドレスが空いているか知りたい場合 AWSマネジメントコンソール AWS CLI 補足 特定サブネットでどのぐらい空いているIPアドレスが残っているかの確認 AWSの特定サブネットで使用されているIPアドレスの一覧を取得する方法 [サービス]>[EC2]…

こんにちは。AWS CLIが好きな福島です。 はじめに 背景 概要図 やり方 ⓪事前準備 ①クレデンシャルの設定を行います。 ①Cyberduckを開き、「新規接続」を押下します。 ②プルダウンを押下し、「詳細設定」を押下します。 ③「Profiles」を選択し、検索バーに「S3 (Credentials from AWS Security Token Service)」を入力後、表示されたチェックボックスにチェックを付け閉じます。 ④「S3 (Credentials from AWS Security Token Service)」が選択されていることを確認後、「Profile Name i…