コーヒーが好きな木谷映見です。 AWS Summit Japan 2022 が盛り上がっていますね！ 昨日 2022 年 5 月 24 日、EC2 インスタンスの偶発的な停止を防ぐ「Stop Protection（停止保護）」機能が発表されました。今回はこの機能をさっそく試してみようと思います。 aws.amazon.com 最初に結論 ドキュメント 停止保護を有効化する 停止を試す マネジメントコンソールからインスタンスの停止を試す AWS CLI からインスタンスの停止を試す 再起動を試す マネジメントコンソールからインスタンスの再起動を試す AWS CLI からインスタンスの再起動を試す…

どうも! swx-ochiai です。 Python 3.10.x をAmazon Linux 2 にインストールします。 ただし、プリインストールのOpenSSLバージョンが 1.1.1 未満の場合、インストールに失敗します。 そのため、この記事では、ハマりやすいポイントを取り除くためインストール方法をまとめました。 なお、表示されるバージョンおよび手順は執筆時点（2022/5）時点のものです。 紹介するインストール方法 なぜこの方法を紹介するのか yum の場合 : Python 3.7.10 amazon-linux-extras の場合: Python 3.8.5 Python 3.1…

こんにちは。AS部DS1課の戸塚です。 以前Papermillを使う機会があったので、本記事ではPapermillの特徴や用途について書いていきたいと思います。 Papermillとは PapermillはJupyter Notebookをバッチ実行するためのツールです。 Papermillを使えば，ノートブックに引数を与えた上でバッチ実行できるため，パラメータごとにノートブックを作成せずに済みます。 また、S3上のNotebookを直接に読み書きする機能を持っており、実行結果をS3上にNotebookとして保存することができます。 JupyterLabとは Jupyter LabとはJupy…

こんにちは。DS1課の戸塚です。 今回は、PythonでBoxSDKを使ってBox上のファイルをダウンロードする方法を書いていきます。 インストール pip install boxsdk サーバー側JWT認証を使用するBoxアプリを使用する場合 pip install "boxsdk[jwt]" 認証 Box SDKを使用したJWTによるユーザー認証 Box SDKを使用したJWTによるユーザー認証について説明します。 開始する前に、以下の手順を完了しておく必要があります。 SDKを使用したJWT - Box開発者向けドキュメントポータル 開発者コンソール内でBoxアプリケーションを作成する …

カスタマーサクセス部 佐竹です。 本日は恒例の「東京リージョンで構築可能なインスタンスタイプのアベイラビリティーゾーン別一覧表」の更新ブログとなります。本ブログの最新情報については上記リンクより最新記事をご参照ください。 はじめに C7g インスタンスが GA （一般提供開始）しました I4i インスタンスが登場しました アベイラビリティーゾーン別一覧表 前回からの変更点 前回のブログ まとめ Compute Optimizer の注意点 はじめに 以前お伝えしました M6i、C6i のそれぞれのインスタンスが、未対応であった東京リージョンの apne1-az1(AZ-1c) で利用可能となり…

コーヒーが好きな木谷映見です。 様々な AWS KMS キーで、暗号化された EBS スナップショットのリージョン間コピーを試してみたいと思います。 今回は、単一の AWS アカウント内で実施します。 全体像 ① AWS KMS で暗号化キーを作成する AWS 管理のキー、カスタマー管理のキー、AWS 所有のキー比較 マルチリージョンキーの仕組み AWS 管理のキー準備 カスタマー管理のキー準備 カスタマー管理の単一リージョンキー ①-2 東京リージョン のカスタマー管理のキー ①-5 オレゴンリージョンのカスタマー管理のキー カスタマー管理のマルチリージョンキー ①-3 東京リージョンのカス…

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。 最近、サブドメインについて調べて理解を深める機会があったので、本BLOGにて紹介します。 とある社内からの相談は「すでに(AWS以外で)ドメイン取得とDNSサーバーを運用している状態から、サブドメインを設けて AWS の Amazon Route 53 (以下 Route 53 と記)でレコードを設定できるか？ドメインはAWSへ移管しない前提とする。」でした。 結論としては「可能」なのですが、実際にどのように設定すればよいかイメージをつかみたく、手元の環境でテストしました。そのときの内容をご紹介させていただきます。 概要 設定…

こんにちは！イーゴリです。 前回の記事では、自己証明書を発行し、AWS Client VPNを構築しましたが、サーバーの証明書はデフォルトの期限が2年しかありませんので、この記事では、OpenVPN easy-rsaで証明書の有効期限を100年にする方法をご紹介致します。 blog.serverworks.co.jp 注意点： 有効期限の長いクライアント証明書を使う場合は、紛失時に失効する運用を想定しましょう。 証明書の生成時に利用した暗号化アルゴリズムが、長い期間の経過により技術陳腐化したり脆弱性が見つかる可能性があります。 [ec2-user@ip-10-123-10-12 ~]$ cd …

こんにちは！イーゴリです。 この記事では、AWS Client VPN の導入をご紹介したいと思います。今回の認証方法としては相互認証（自己証明書版）を選びます。 目標 構成図 前提条件 証明書の作成 自己証明証を作成する方法 自己証明証を作成する 証明書をAWS Certificate Managerへのインポート クライアント VPN エンドポイントの作成 セキュリティグループ設定について Client VPN Endpoint をVPCのサブネットに紐づける 承認ルール ルートテーブルの変更 クライアントPC側の証明書を設定する 目標 VPC内にあるAWSリソース（EC2など）に接続でき…

Amazon Connectを使って色々試しているうちに不要な問い合わせフローが増えていませんか？ 以前は削除する方法がなく、フロー名を (202x/y/z)この問い合わせフローは使用していません！ のように変更する、などといった苦しい運用になっているケースもありました。 現在は削除APIが提供されており、削除が可能です。 AWS CLIを使用した削除手順を紹介します。 環境 手順 Amazon ConnectインスタンスIDを確認 問い合わせフローIDを確認 問い合わせフローを削除 確認 補足 まとめ 環境 Ubuntu 20.04 LTS on WSL2 AWS コマンドラインインターフェ…

本記事ではAmazon CloudWatch アラームのアクションを一時的に無効化する方法をご紹介します。 マネージメントコンソールでは無効化出来ない API または AWS CLI で実施可能です 有効化の方法 参考 マネージメントコンソールでは無効化出来ない 2022-05-16 現在、マネージメントコンソールではアクションを無効化することはできません。 できそうで、できない API または AWS CLI で実施可能です DisableAlarmActions API アクション、または AWS CLI の disable-alarm-actions コマンドを使用します。 AWS CL…

CI2部 技術2課の山﨑です。 今回の記事で伝えたいことは以下の通りです！ S3バケットポリシーでPutBucketPolicyを制御する際はポリシーの記述ミスに注意しましょう！ S3バケットポリシーについておさらい バケットポリシーにおけるPutBucketPolicyの制御について 実例の紹介 注意事項 まとめ S3バケットポリシーについておさらい S3のバケットポリシーはAWSで定義可能なポリシーの1つである「リソースベースのポリシー」に分類され、IAMポリシーよりも評価順序が優先されるという特性を持っています。つまりバケットポリシーでDenyした操作はIAMユーザーやIAMロールにAd…

CI2部 技術2課の山﨑です。 4月27日にIAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されるというアップデートがありました。 aws.amazon.com 今回はこのアップデートで一体何が便利になったのかを一部ご紹介します。 Global Condition Key とは アップデートの概要 aws:ResourceOrgID 想定するユースケース これまで aws:ResourceOrgID を使った場合 何が嬉しいのか aws:ResourceOrgPaths 想定するユースケース これまで aws:ResourceOr…

こんにちは、アプリケーションサービス部 ディベロップメントサービス2課の木田です。 本記事ではAWS初心者の方向けに、パブリックサブネット上のEC2からプライベートサブネット上のRDS(MySQL)に接続してみよう！という内容です。 また、筆者自身が躓いた点も記述してあります。筆者の失敗から学んで頂ければ幸いです！ 構成 前提 セキュリティグループの作成 基本的な詳細 インバウンドルール 筆者が躓いた点 プライベートサブネットの作成 VPC サブネットの設定 サブネットグループの作成 サブネットグループの詳細 サブネットを追加 RDSの起動 エンジンのオプション テンプレート 設定 インスタン…

EC2キーペアにアップデートがありましたので、自前の公開鍵をCloudFormationつかってインポートできるか試してみました！

こんにちは 技術課の山本です ゴールデンウィークは群馬にある至仏山に登ってきました 降雪後の朝焼け前に登り始めたので人の足跡も無い静かな世界でした 「仕事を頑張ってまた山に行くぞ」 と気持ちを新たにしました API Gateway (HTTP API) のJWTオーソライザー と Cognitoユーザープールを使って OAuth 2.0 の "Client Credentials Grant" を実装する OAuth 2.0 の "Client Credentials Grant" OAuth 2.0 の "Client Credentials Grant" については 以下の RFC に詳し…

コーヒーが好きな木谷映見です。 2022/4/29に、EC2 キーペア用に新しい管理機能が追加されたアナウンスがありました。 aws.amazon.com アップデートは大まかに以下3点です。 1. キーペア作成日が閲覧可能になった 2. API経由でキーペアの公開鍵が閲覧可能になった 3. CloudFormationでキーペアの作成/削除が可能になった キーペア作成日が閲覧可能になった マネジメントコンソール AWS CLI v1 の最新バージョン（AWS CLI 1.23.11） v2 の最新バージョン（AWS CLI 2.6.4） API経由でキーペアの公開鍵が閲覧可能になった v1 …

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。 先日私の業務PCを入替した際、CloudFormationテンプレート(以下CFn)のエディタ環境を再セットアップしました。 私は Microsoft Visual Studio Code (以下VSCodeと記載) をCFn用エディタとして利用していますが、サーバーワークス先輩方のアドバイスをもとに cfn-lint の拡張機能をアドオンして構文ミス・スペルミスを早い段階で気が付けるようしています。 この便利な cfn-lint ですが、Windows パソコンで利用する場合のセットアップ手順が一癖あります。まだ利用者がそれ…

AWSConfigRoleは「ダメ。ゼッタイ。」 2022年5月4日に AWS Health Event の通知を受信しました。 3行でまとめると以下になります。 AWSConfigRole というIAMポリシーは非推奨、今後アタッチできなくなる。 AWSConfigRole は使い続けられるが、ポリシーはメンテされないため、新しいリソースタイプに対応できない。 AWS_ConfigRole を今後は使ってくれ。 念のため、通知内容の全文も掲載します。 AWS Config will be deprecating the managed policy AWSConfigRole on July…

こんにちは。Cloud Automatorの開発・運用をしている尾崎です。 先日発表されたLambda Function URLsは個人的に待望の機能でした。従来LambdaをHTTP(s)で呼び出す際に必要だったAPI Gatewayを不要にできる点にメリットを感じています。 今回はこのLambda Function URLsをCloud AutomatorのWebhook後処理に設定して、Cloud Automatorのジョブで「EC2: インスタンスを停止」した後にLambdaからEC2インスタンスの終了をしてみようと思います。 なお、記事の内容は2022/04/20現在のもので、設定値…