セキュリティサービス部 佐竹です。本日のブログは、ランサムウェア対策 on AWS をまとめることを目標としています。と言いましても、全てを詳細に記述すると膨大な量になるため、「ある程度 AWS のセキュリティに詳しい中級・上級エンジニア」が、これを読むことで「ランサムウェア対策のスタート地点での、議論の抜け漏れを無くす」ということを目指します。いわゆる、"チートシート"のようなものを目指します。

概要 前提条件 想定ユースケース ログを出力するPythonアプリケーションの作成と実行 コンテナをバックグラウンドで実行する ログの出力方法（標準機能） CloudWatch エージェントを使用したログの送信・監視 CloudWatch エージェントとは CloudWatch エージェントの前提条件 CloudWatch エージェントのインストール CloudWatch エージェントの設定ファイルを作成する CloudWatch エージェントの起動と確認 CloudWatch Logsでの確認 アプリケーションのエラーを確認する CloudWatchで監視設定を行う メトリクスフィルターの作…

はじめに 新機能で何ができるようになったか 1. Regex Matching（正規表現マッチング） 2. Transforms（リクエスト変換） 試してみた Step 1: 環境構築 Step 2: URL リライトルールを追加する（マネジメントコンソール） 条件 URLリライト hostヘッダーリライト Step 3: 動作確認 /api/usersパターン /api/transactions/1234567パターン CDKを使った設定方法 まとめ はじめに アプリケーションサービス本部ディベロップメントサービス１課の森山です。 普段からAWSのアップデートのうち、気になるものを動作検証し…

セキュリティサービス部 佐竹です。本ブログは、IAM の最小権限を実現するためのセキュリティサービスである IAM Access Analyzer について、その中でも特に有用である「Unused Access (未使用アクセス)」機能の利用料に関するブログです。AWS Organizations 環境で有効化すると高額になりそうで怖い…という場合に、事前に組織全体の利用料を見積もる方法について解説します。

Cloud Automatorでは、企業におけるガバナンスとセキュリティを強化するための機能を継続的に追加しています。 これまでにご紹介した「サインイン履歴管理」や「アクション制限機能」に続き、今回は「IAMユーザー方式からIAMロール方式への変換機能」をリリースしました。 これまでの課題 AWSのセキュリティベストプラクティスでは、長期的な認証情報であるIAMユーザーのアクセスキーよりも、一時的な認証情報を使用するIAMロールの利用が推奨されています。 Cloud Automator でも IAM ロールで認証する AWS アカウントを登録できますが、従来から IAM ユーザーのアクセスキー…

はじめに 背景 目標 構成 作成手順 Dify導入手順 ナレッジベースの作成 データソース用バケットの作成 マルチモーダルストレージの作成 Bedrock ナレッジベースの作成 AWSリソースの作成 IAMユーザーの作成 Dify側の設定 チャットフローの作成開始 チャットフローの作成 おわりに はじめに こんにちは、アプリケーションサービス本部 ディベロップメントサービス3課の北出です。 今回は、DifyとAWSを利用して、PDF内のテキストだけでなく、画像の情報も含めたマルチモーダルなRAGを作成してみましたのでざっくりと方法を紹介させていただきます。 DifyとAWSの統合 ではこちらの…

セキュリティサービス部 佐竹です。本ブログでは GuardDuty Extended Threat Detection で検出されたインシデントを元に `sts:GetCallerIdentity` についてセキュリティの観点から解説を行いました。この API Call 自体は無害ですが、それによって返却される値は攻撃者にとって非常に重要な意味を持ちます。

New RelicのMCP（Public Preview版）をAmazon Q Developerで試した内容を紹介。AIアシスタントと連携し、統一的なデータアクセスが可能に。

CrowdStrike Falconの核となる機能の一つ、"Prevention ポリシー (防止ポリシー)"をご存知ですか？これは、従来型のアンチウイルス製品では対応が難しかった、マルウェア以外の攻撃やファイルレス攻撃などの高度な脅威から、エンドポイントを強力に保護するための設定を定義するものです。このポリシーを適切に設定・運用することで、組織のセキュリティレベルを飛躍的に向上させることができます。 CrowdStrike関連の記事一覧はこちら Preventionポリシーとは？ Preventionポリシーは、CrowdStrike Falconの次世代アンチウイルス(NGAV)機能である…

はじめに 1. AWS StackSetsとは 1.1 基本概念 1.2 なぜStackSetsが必要か 2. 権限モデル（Permission Model） 2.1 セルフマネージド（Self-Managed） 特徴 必要なロール 使用場面 2.2 サービスマネージド（Service-Managed） 特徴 前提条件 使用場面 3. 主要パラメータ詳細 3.1 基本設定パラメータ StackSet名とメタデータ 権限設定 3.2 自動展開設定（AutoDeployment） 基本設定 動作説明 3.3 展開制御パラメータ 同時実行制御 パラメータ説明 3.4 対象設定パラメータ 組織単位（O…

セキュリティサービス部 佐竹です。本ブログでは、AWS Cost Anomaly Detection の変遷と、2025年のアップデートで対応した Amazon EventBridge および AWS User Notifications を含めた現在の通知方法を整理します。今からマルチアカウント管理を行われる場合は、「AWS User Notifications」へと通知を集約されるとお手軽に設定ができて良いでしょう。

はじめに こんにちは、山本です。 私が前職でオンプレミスでシステム運用をしていた頃、DNSサーバーは必ず プライマリ／セカンダリ構成 にしていました。 しかし AWS を勉強&業務活用し始めてから「Amazon Route 53はリージョンを選ばなくても冗長化されている」、「 SLA が100％」と聞き、「いったいどうやって可用性を担保しているのか？」と疑問に思いました。 今回は、オンプレのDNS構成とAmazon Route 53の内部冗長設計を比較しながら、Amazon Route 53の DNS 可用性の考え方を整理していきます。 オンプレミス時代のDNS可用性： Primary / S…

Map ステート全体をリトライする 全体の処理フロー（リトライ発生時） 各ステップの詳細解説 1. 1. GenerateSampleArray (Pass ステート) 2. 2. ProcessItemsInParallel (Map ステート) Iterator (Map ステートの反復処理) の詳細 グラフビュー 障害時のリドライブ Map ステートで失敗した 処理 (States) のみをリトライする 全体の処理フロー 各ステップの詳細解説 グラフビュー 障害時のリドライブ まとめ 1. パターン1：Map ステート全体をリトライ（組み込み Retry） 2. パターン2：失敗したアイ…

ChatGPTやGemini、Claudeなどの生成AIサービスがビジネス現場で普及する中、 「自社でも生成AIを活用したいが、セキュリティや運用、コスト面で導入に踏み切れない」 「すでにAWSを利用しているのだから、Amazon Q Business が気になる。しかし、非エンジニアの社員が本当に使いこなせるのだろうか？」 そんな疑問や不安を抱えている、企業のIT担当者やDX推進者の方も多いのではないでしょうか。 本ブログでは、Amazon Q Business だけで1週間過ごしたことで見えた、Amazon Q Business 導入が効果的なユースケースや利点・限界・運用上のポイントなど…

はじめに こんにちは、サメ映画をこよなく愛する梅木です。 今回は、AWS Systems Manager Patch Manager を利用したパッチスキャンについて、検証および検証手順をまとめます。 はじめに AWS Systems Manager Patch Manager とは 用語 検証 1. 準備 1-1. EC2の構築 1-2. マネージドノードの確認 2. パッチスキャン 2-1. パッチベースラインの作成 2-2. パッチポリシーの作成 2-3. パッチスキャンの実行 3. パッチスキャン結果の確認 4. パッチ適用 5. パッチスキャン結果の再確認 さいごに AWS Syst…

こんにちは、スマホの着信音がナイトライダーのCS2課畑野です。 昨今のAIブームによりK.I.T.T.のようにクールな人工知能が登場するのを待ちわびています。 さて今回はAWS License ManagerでRDS SALとOfficeライセンスを管理する上での注意点をまとめてみました。 2025年10月よりAWSのパートナー企業などが独自のSPLAライセンスでMicrosoft製品をAWS上で利用できなくなったことに伴うライセンス管理方法の1つとしてご案内します。 AWS上でRDS SALやOfficeライセンスを利用する際の候補になるかと思います。 構成 詰まったポイントと回避策 Off…

Automated deployment of Amazon Bedrock AgentCore Runtime with AWS CDK L2 Construct. Simplifying IAM and build processes to enable rapid execution of AI agents.

Amazon Bedrock AgentCore RuntimeをAWS CDKのL2 Constructで自動デプロイ。IAMやビルドプロセスも簡素化し、AIエージェントの迅速な実行を可能にする方法を紹介。

データドリブンな人間を目指している香取です。 今回はタイトルの通り、Databricks のコマンドラインツールである Databricks CLI をインストールして Databricks ワークスペースに接続するまでの方法を紹介します。 Databricks CLI を使用すると、ターミナルから Databricks ワークスペースを操作でき、ノートブックの管理、ジョブの実行、DBFS の操作など、様々な作業を実行できます。 前提条件 Databricks CLI のインストール Databricks ワークスペースへの認証設定 OAuth トークンを使用した認証 認証プロファイルの確認 …

こんにちは！ エンタープライズクラウド部ソリューションアーキテクト課の足達です。 本ブログでは、EC2やRDSの自動停止設定をAWSサービスのみで実装する方法についてご紹介します。 はじめに 今回実施すること 自動停止設定に使用するAWSサービス 設定の全体像 設定方法 1. IAMポリシー・IAMロールの作成 EventBridge用IAMロール SSMオートメーション用IAMロール 2. SSMオートメーション用ドキュメントの作成 3. EventBridgeスケジューラーの設定 さいごに はじめに 私事ではありますが、最近、ANGEL Dojo 2025というものに参加させていただいてい…