概要 当エントリーでは、Trend Micro Cloud One Conformity(以後C1C)に関し対象AWSアカウントで Real-time Threat Monitoring の設定を有効化する手順について紹介します。 GUIの製品画面は、執筆時点(2021/10)の内容となっており最新のものと一部異なる可能性があります。 概要 Real-time Threat Monitoringとは 手順 1.C1C管理コンソールにログイン 2.RTM設定手順画面へ遷移 Bash PowerShell (参考) このコマンドでどのような処理が実行されるのか 3.AWS Cloud Shellの…

概要 当エントリーでは、Trend Micro Cloud One Conformity(以後C1C)に関し対象AWSアカウントの追加手順について紹介します。 GUIの製品画面は、執筆時点(2021/10)の内容となっており最新のものと一部異なる可能性があります。 先にネタばらしをしてしまいますが、AWS環境の場合は導入手順がとっても簡単で数分で完了します。 概要 手順 1.C1C管理コンソールにログイン (参考) 別経路から登録 2.Add new Account 画面にAWS Accountを選択 3.Account details 4.Choose the authentication …

こんにちは。AWS CLIが好きな福島です。 今回はタイトル通り、セキュリティグループが紐づくENIを表示するコマンドをご紹介です。 利用するコマンド,サブコマンド まず、AWS CLIの構造は以下の通りです。 aws [options and parameters] 上記を前提に今回使う , は、以下の通りです。 ec2 describe-network-interfaces describe-security-groups 結論 実行コマンド 調査したいSGI…

こんにちは。AWS CLIが好きな福島です。 今回はタイトル通り、セキュリティグループのルールの一覧が欲しい際に実行するコマンドをご紹介いたします。 利用するコマンド,サブコマンド まず、AWS CLIの構造は以下の通りです。 aws [options and parameters] 上記を前提に今回使う , は、以下の通りです。 ec2 describe-security-group-rules 結論 実行コマンド aws ec2 describe-securi…

概要 当エントリーでは、Trend Micro Cloud One Conformity (以後C1C)で初期導入時に、考慮しておきたい「デフォルトで有効化されていない重要なルール」についてどうすべきかについて考えていきます。 ※これが正解というものがない内容なので、管理者ご自身で良いと感じた内容のみ取り入れるような視点で参照頂ければと思います。 概要 何故に重要なのにデフォルトで有効化されていないルールがあるのか？ 対象ルールの対応の進め方について考える リスクレベルの指定が高いものを把握する (参考)C1Cのリスクレベル 1. Canary Access Token (IAM-055) ル…

営業部 佐竹です。 本日は、AWS マネージドポリシーである ReadOnlyAccess では、AWS CloudShell の実行環境（ブラウザ）が立ち上げられないという内容について記載します。

こんにちは。AWS CLIが好きな福島です。 はじめに 結論 構成図 Foundation OU とは Suspended OU とは 導入した理由 ①RootにアタッチできるSCPの擬似的な制限緩和 補足 ②CloudFormaion StackSetsのエラー回避 補足 ポイント 備考 終わりに はじめに 今回は、タイトル通り、AWS OrganizationsとCFn StackSetsを実際に運用して判明した現場に即したOU構成をご紹介いたします。 AWSのホワイトペーパーに記載のOUのベストプラクティスについて、まとめたブログもあるため、ご紹介しておきます。 blog.serverw…

最近ランニングを始めたCI部1課の山﨑です。 今回はCloudWatch LogsのログをKinesis Data Firehose経由でS3バケットに転送してみました。 はじめに ポリシー設計について 5Wで要件を整理する ポリシー要件の早見表 アカウントB の実装 Step1. S3バケットの作成 Step2. Kinesis Data Firehose に関連付けるIAMロールの作成 TrustPolicyForFirehose.json PermissionsForFirehose.json Step3. Kinesis Data Firehose の配信ストリームの作成 Step4.…

3ヶ月間、新卒2, 3年目のメンバーでAWS Japan主催の実践型ものづくりトレーニング『ANGEL Dojo』に参加し、企画の最終報告会にて賞をいただくことができました。本ブログにてANGEL Dojoの流れや感想を共有します。

営業部 佐竹です。本日は、Direct Connect （DX） と Site-to-Site VPN （VPN） を併用する構成において、AWS側の操作をトリガーに Direct Connect から VPN へフェイルオーバーを行う方法を掘り下げます。

概要 当エントリーでは、CanaryTokenついてざっくり理解しつつ、実際にAWS環境で監視する設定を仕掛ける手順を紹介していきます。 概要 CanaryTokenとは ざっくり試して理解する 活用方法の例 管理対象AWSアカウントに設定すると何が良いのか？ NIST準拠 CSPM製品のルール準拠 実際にやってみる IAMユーザーの作成 (参考) CanaryTokenで利用するIAMユーザー名やProfile名に関する考察 Amazon SNS のトピック作成 Amazon CloudWatch にて対象ログにメトリクスフィルターを作成 アラームの作成 動作を確認する アラームの通知内容を…

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド search-transit-gateway-routes ①Activeなルートの出力 ②blackholeなルートを出力 ③全てのルートを出力 ④静的ルートを出力 ⑤動的ルートを出力 全てのTGWのルートテーブルの出力 終わりに はじめに 今回は、TGWのルートテーブルを取得する方法をご紹介いたします。 その他のTGWの情報を取得するコマンドはこちらにまとめているため、 ご興味がありましたら、ご確認いただけますと幸いです。 その他のAWS CLI関連の記事 …

営業部 佐竹です。本日は、Direct Connect （DX） と Site-to-Site VPN （VPN） を併用する構成での AWS Transit Gateway のルートテーブル設計と実際の設定をご紹介しつつ、実環境で VPN へのフェイルオーバーテストを行った結果をご紹介します。

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド describe-transit-gateways ①NameTag,TransitGatewayId ②①+AmazonSideAsn ③①+State,OwnerId ④①+Description ⑤①+DefaultRouteTableAssociation,AssociationDefaultRouteTableId ⑥全情報 ⑦全情報(ヘッダー付き) describe-transit-gateway-attachments ①NameTag,TGWAt…

はじめに アプリケーションサービス部の宮本です。最近電動シュレッダーを買いました。暇さえあれば不要な書類をバリバリ粉砕して楽しんでいます。いつか大事な書類をバリバリしてしまわないか心配です。 さて、今回は Codebuild のマネージド型イメージで使用する Node.js のバージョンを厳密に指定する方法をご紹介します。 何がしたいのか Codebuild では、ビルド環境として自前で用意した Docker イメージを使えますが、AWS が提供してくれる Docker イメージも利用することができます。これをマネージド型イメージと呼びます。 docs.aws.amazon.com マネージド…

こんにちは。AWS CLIが好きな福島です。 今回は、タイトル通り、CloudShellで常に最新のAWS CLIを利用する方法をご紹介いたします。 結論 ~/.bash_profileに以下を追記すればOKです。 この設定を行うだけで、CloudShellにログインする度にAWS CLIのバージョンアップを自動で行います。 if [[ ! -e /tmp/awscliv2.zip ]] ; then cd /tmp curl -s "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip" unzi…

こんにちは！サーバーワークスの松井です。 Transit GateWayについてハブみたいにVPCを行き来できるサービスだというざっくりとした認識で止まっている方は多いのではないでしょうか。 今回は一歩進んでTGWを複雑なネットワーク要件でどのように導入していけばよいのかをシュミレーションしながら紹介したいと思います。 よく見る構成 このような構成をよく見かけると思います。 では、実際にはどのように通信が可能なのでしょうか。 今回やりたいこと ・東京リージョンのVPCとシンガポールリージョンのVPCをつなぐ ・アカウントAとアカウントB内のVPCをつなぐ ・東京リージョンの本番環境と開発環境は…

こんにちは。AWS CLIが好きな福島です。 はじめに Cloud Control APIとは 詳細 触る前に AWS CLIのバージョンアップ 権限設定 触ってみた ①create-resource ②get-resource-request-status ③get-resource ④update-resource ⑤list-resources ⑥delete-resource 終わりに はじめに 今回は、AWS CLIまたはAWS SDKを使ってCloud Control APIが操作できるようになり、実際に触ってみたため、ブログに記載いたします。 AWS announces the …

はじめに /home ディレクトリ以下に yum パッケージをインストールする方法 ① mirrolistの変更 ②パッケージのインストール ②-1 --releasever オプションについて ②-2 --installroot オプション Tips 容量の問題 パスを通す パッケージの削除 まとめ はじめに 開発環境を構築する際に、EC2 を立てると運用回りで工数がとられるのであまり立てたくない、代替として CloudShell が使えるかな?と思い、検証をしていました。 その一環で CloudShell の /home ディレクトリ以下に yum でパッケージをインストールする方法を模索…

CI部の古川（智）です。最近は赤い食べ物（トマト系か辛い系）にハマっています。 EC2からNATゲートウェイを経由してFTPサーバーへパッシブモードで通信させようとした際、セキュリティグループやNACLの設定で頭がごちゃついたので「こうすればOKだよ～」というのをブログとして残しておこうと思います。 今回の構成 FTPのパッシブモードで使用するポート 制御用コネクション データ転送用コネクション セキュリティグループとNACLの設定 EC2（FTPクライアント）のセキュリティグループ アウトバウンド EC2（FTPクライアント）があるサブネットのNACL インバウンド アウトバウンド NATゲ…