はじめに Row Level Security とは 動作検証 テーブル作成と RLS 設定 動作確認（SQL） コネクションプーリング利用時の注意点 Run-time parameter 設定漏れによるテナント間参照 ピン留め問題 解決法 SET LOCALコマンドを利用する。 明示的に Where 句を指定する まとめ はじめに アプリケーションサービス本部ディベロップメントサービス１課の森山です。 今回は、RDS における RLS (Row Level Security) について記事にしてみます。 前職からマルチテナント SaaS の開発に携わっており、リレーショナルデータベースにおけ…

こんにちは、久保（賢）です。 2025年10月、QuickSightがQuick Suiteに進化し、BI機能に加えて様々なAI機能が利用可能となりました。 aws.amazon.com 本記事では、Quick Suiteでインターネット情報を利用したいケースにおいて、Quick Suiteのインテグレーションから利用可能なWebクローラを使用した結果を共有いたします。 やってみたいこと Quick SuiteのWeb検索機能の現状（2025年11月時点) 代替手段: インテグレーション機能の利用 インテグレーション Web情報活用の選択肢 Webクローラの利用 対象サイト Webクローラの設…

はじめに こんにちは、久保です。 AWSで生成AIの基盤モデルを利用するためのサービスAmazon Bedrockについて、Bedrock APIを実行するリージョン（ソースリージョン）によってリージョン内で利用可能なモデル（オンデマンド）と、複数リージョンを跨ぐ利用が必要なモデル（クロスリージョン推論）が分かれています。 サポートされているモデルについては以下の公式ドキュメントや、マネジメントコンソールのBedrockのモデルカタログを参照いただくことで確認は可能です。 公式ドキュメント: Supported foundation models in Amazon Bedrock - Ama…

AI駆動開発ライフサイクル（AI-DLC）についての社内勉強会の内容を公開します

現地時間 2025年11月10日のアップデートで AWS Control Tower の自動登録ができるようになりました。 前提として必要な作業や挙動の確認をし、弊社提供の AWS 請求代行サービスで Control Tower をご利用中のお客様向けの留意事項も合わせて記載しました。

AWS Backup の復旧ポイントを異なるリージョン・AWSアカウントにコピーするアクション「Backup: ボールトの復旧ポイントをコピー」が Cloud Automator に新しく加わりました。 概要 本アクションを利用すると、AWS Backup Vault の復旧ポイントを異なるリージョンや異なるAWSアカウントにコピーができます。 コピー先のAWS Backup Valutにおいてボールトロックを設定することで、ランサムウェア対策となるイミュータブルバックアップも実現可能です。また、AWS Organizationsで複数のAWSアカウントを運用されているお客様は、バックアップ保…

コーポレートエンジニアリング部の宮澤です。 セキュリティ運用において、脅威を「見つける」こと（Detection）は重要ですが、それと同じか、それ以上に重要なのが「見つけた後にどう動くか」（Response）です。CrowdStrike Falconプラットフォームには、この「対応」を強力にサポートする機能が備わっていますが、その動きを細かく制御しているのが「レスポンスポリシー（Response Policy）」です。 この記事では、CrowdStrikeの運用担当者が必ず理解しておくべき「レスポンスポリシー」について、その主な機能と重要性を解説します。 CrowdStrike関連の記事一覧は…

こんにちは！ エンタープライズクラウド部ソリューションアーキテクト課の足達です。 本ブログでは、RDS for PostgreSQLの拡張機能であるpg_trgmおよびpg_bigmの設定方法についてご共有したいと思います。 はじめに メリット 検索速度の向上 導入の容易さ pg_trgmとpg_bigmの違い pg_trgm：3-gram（トリグラム） pg_bigm：2-gram（バイグラム） 設定方法 pg_trgm 1. データベースへの接続 2. 拡張機能の有効化 pg_bigm 1. パラメータグループの設定 (Amazon RDS コンソール) 2. データベースへの接続 3. …

セキュリティサービス部 佐竹です。本日のブログは、ランサムウェア対策 on AWS をまとめることを目標としています。と言いましても、全てを詳細に記述すると膨大な量になるため、「ある程度 AWS のセキュリティに詳しい中級・上級エンジニア」が、これを読むことで「ランサムウェア対策のスタート地点での、議論の抜け漏れを無くす」ということを目指します。いわゆる、"チートシート"のようなものを目指します。

概要 前提条件 想定ユースケース ログを出力するPythonアプリケーションの作成と実行 コンテナをバックグラウンドで実行する ログの出力方法（標準機能） CloudWatch エージェントを使用したログの送信・監視 CloudWatch エージェントとは CloudWatch エージェントの前提条件 CloudWatch エージェントのインストール CloudWatch エージェントの設定ファイルを作成する CloudWatch エージェントの起動と確認 CloudWatch Logsでの確認 アプリケーションのエラーを確認する CloudWatchで監視設定を行う メトリクスフィルターの作…

はじめに 新機能で何ができるようになったか 1. Regex Matching（正規表現マッチング） 2. Transforms（リクエスト変換） 試してみた Step 1: 環境構築 Step 2: URL リライトルールを追加する（マネジメントコンソール） 条件 URLリライト hostヘッダーリライト Step 3: 動作確認 /api/usersパターン /api/transactions/1234567パターン CDKを使った設定方法 まとめ はじめに アプリケーションサービス本部ディベロップメントサービス１課の森山です。 普段からAWSのアップデートのうち、気になるものを動作検証し…

セキュリティサービス部 佐竹です。本ブログは、IAM の最小権限を実現するためのセキュリティサービスである IAM Access Analyzer について、その中でも特に有用である「Unused Access (未使用アクセス)」機能の利用料に関するブログです。AWS Organizations 環境で有効化すると高額になりそうで怖い…という場合に、事前に組織全体の利用料を見積もる方法について解説します。

Cloud Automatorでは、企業におけるガバナンスとセキュリティを強化するための機能を継続的に追加しています。 これまでにご紹介した「サインイン履歴管理」や「アクション制限機能」に続き、今回は「IAMユーザー方式からIAMロール方式への変換機能」をリリースしました。 これまでの課題 AWSのセキュリティベストプラクティスでは、長期的な認証情報であるIAMユーザーのアクセスキーよりも、一時的な認証情報を使用するIAMロールの利用が推奨されています。 Cloud Automator でも IAM ロールで認証する AWS アカウントを登録できますが、従来から IAM ユーザーのアクセスキー…

はじめに 背景 目標 構成 作成手順 Dify導入手順 ナレッジベースの作成 データソース用バケットの作成 マルチモーダルストレージの作成 Bedrock ナレッジベースの作成 AWSリソースの作成 IAMユーザーの作成 Dify側の設定 チャットフローの作成開始 チャットフローの作成 おわりに はじめに こんにちは、アプリケーションサービス本部 ディベロップメントサービス3課の北出です。 今回は、DifyとAWSを利用して、PDF内のテキストだけでなく、画像の情報も含めたマルチモーダルなRAGを作成してみましたのでざっくりと方法を紹介させていただきます。 DifyとAWSの統合 ではこちらの…

セキュリティサービス部 佐竹です。本ブログでは GuardDuty Extended Threat Detection で検出されたインシデントを元に `sts:GetCallerIdentity` についてセキュリティの観点から解説を行いました。この API Call 自体は無害ですが、それによって返却される値は攻撃者にとって非常に重要な意味を持ちます。

New RelicのMCP（Public Preview版）をAmazon Q Developerで試した内容を紹介。AIアシスタントと連携し、統一的なデータアクセスが可能に。

CrowdStrike Falconの核となる機能の一つ、"Prevention ポリシー (防止ポリシー)"をご存知ですか？これは、従来型のアンチウイルス製品では対応が難しかった、マルウェア以外の攻撃やファイルレス攻撃などの高度な脅威から、エンドポイントを強力に保護するための設定を定義するものです。このポリシーを適切に設定・運用することで、組織のセキュリティレベルを飛躍的に向上させることができます。 CrowdStrike関連の記事一覧はこちら Preventionポリシーとは？ Preventionポリシーは、CrowdStrike Falconの次世代アンチウイルス(NGAV)機能である…

はじめに 1. AWS StackSetsとは 1.1 基本概念 1.2 なぜStackSetsが必要か 2. 権限モデル（Permission Model） 2.1 セルフマネージド（Self-Managed） 特徴 必要なロール 使用場面 2.2 サービスマネージド（Service-Managed） 特徴 前提条件 使用場面 3. 主要パラメータ詳細 3.1 基本設定パラメータ StackSet名とメタデータ 権限設定 3.2 自動展開設定（AutoDeployment） 基本設定 動作説明 3.3 展開制御パラメータ 同時実行制御 パラメータ説明 3.4 対象設定パラメータ 組織単位（O…

セキュリティサービス部 佐竹です。本ブログでは、AWS Cost Anomaly Detection の変遷と、2025年のアップデートで対応した Amazon EventBridge および AWS User Notifications を含めた現在の通知方法を整理します。今からマルチアカウント管理を行われる場合は、「AWS User Notifications」へと通知を集約されるとお手軽に設定ができて良いでしょう。

はじめに こんにちは、山本です。 私が前職でオンプレミスでシステム運用をしていた頃、DNSサーバーは必ず プライマリ／セカンダリ構成 にしていました。 しかし AWS を勉強&業務活用し始めてから「Amazon Route 53はリージョンを選ばなくても冗長化されている」、「 SLA が100％」と聞き、「いったいどうやって可用性を担保しているのか？」と疑問に思いました。 今回は、オンプレのDNS構成とAmazon Route 53の内部冗長設計を比較しながら、Amazon Route 53の DNS 可用性の考え方を整理していきます。 オンプレミス時代のDNS可用性： Primary / S…