AssumeRole について DiveDeep する

コーヒーと DiveDeep が好きな木谷映見です。 皆さん、IAM を利用する際、「AssumeRole」というアクションを目にしたことはありますか?恐らく多くの方がかなりの回数目にしているのではないでしょうか。 私は特にこの「AssumeRole」というアクションが大好…

サーバーレスとは?

コーヒーが好きな木谷映見です。 「サーバーレス」「サーバレス」という言葉を聞いたことがありますか? 本記事を読まれている方であれば、きっと聞いたことがあると思います。最近よく聞く「サーバーレス」、なんだか良さそう、モダンでかっこいい気がする…

AWS Cloudformation Guardやってみた

こんにちは!SRE2課の篠﨑です。 Cloudformation Guardご存じですか?私は知らなかったです。。。 docs.aws.amazon.com 本日、Build AWS Config rules using AWS CloudFormation Guardというアップデートを見て、気になったので簡単にやってみました。 こん…

Amazon WorkSpaces のコスト最適化を実際に行って得た運用 Tips

カスタマーサクセス部 佐竹です。 本日は、Amazon WorkSpaces の運用、その中でも「コスト最適化」に特化した運用知見について記載します。本知見を活用して実際に削減された AWS の利用料は、年間1,000万円以上になります。Amazon WorkSpaces のコストを下…

Amazon MWAA (Amazon Managed Workflows for Apache Airflow) のネットワーク構成と通信料金の概算。

こんにちは。 長野県の燕岳に登ったところ、親子の雷鳥に出くわした山本です。とても可愛かったです。 Amazon MWAA (Amazon Managed Workflows for Apache Airflow) のネットワーク構成と通信料金の概算。 Amazon MWAA の検証をしています。 Amazon MWAA の…

【Amazon Connect Salesforce CTI Adapter】着信ポップアップの設定と動作

CTI Adapter for SalesforceによってAmazon Connect と セールスフォースを統合した場合の顧客情報表示機能動作を確認、設定を確認します。 概要 環境 設定手順 CTI Adapter for Salesforce をインストール 取引先責任者を登録 動作確認 設定内容を確認 CTI …

【Amazon FSx for Windows File Serverの構築】自己管理型 Microsoft Active Directoryの組織の構成やユーザーの適切な権限などの考慮事項についての解説

こんにちは!イーゴリです。 ファイルシステムを結合する組織単位 (OU) 対策方法:FSx用の組織単位(OU)の作成 既存Active Directoryで適切なアカウント及びグループの作成 Amazon FSx for Windows File Serverの構築時のパラメーター入力 おまけ(マルチAZに…

【解決方法】Amazon FSx for Windows File Server ライフサイクルの状態で設定ミスが発生した場合

こんにちは!イーゴリです。 背景 検証環境で自己管理型 Microsoft Active DirectoryのEC2を起動せずにAmazon FSx for Windows File ServerでDNS エイリアスを追加しようとしたら、下記のエラーが発生しました。 ライフサイクル:設定ミス エラー内容: Amaz…

【CI/CD for EC2(Auto Scaling)】Blue/Greenデプロイをやってみた

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 ポイント 作業の流れ ①IAMロールの作成 ①-① EC2のIAMロール ①-② CodeDeployのIAMロール ②起動テンプレートの作成 ②-①起動テンプレートの画面を開きます。 ②-②起動テンプレートを作成を押下します。 ②…

AWS Certified Solutions Architect - Associate の新バージョン (SAA-C03) の受験申込が可能になりました!

こんにちは、ラーニングエクスペリエンス課の小倉です。 AWS Certified Solutions Architect - Associate の新バージョン (SAA-C03) が 2022/8/30 から受験でき、2022/7/26 から受験申込ができるようになりました。旧バージョン (SAA-C02) は 2022/8/29 まで…

【試してみた】Stepfunctions workflow studio

こんにちは。2022年7月からサーバーワークスにジョインしましたIE課の小菅です。 IE課はInternal Education課の略称で2022年3月に新設され、中途採用で入社した方向けの養成所になっていて私がその課の第一号らしいです。 当社は全国どこに住んでいても仕事…

(小ネタ)AWS Secrets Managerの自動ローテーションのスケジュール設定

クラウドインテグレーション2部技術3課の山下です。 今回は、AWS Secrets Managerでシークレット情報の自動ローテーションを設定する際の、 ローテーションのスケジュール設定について書きたいと思います。 (背景)毎月1日のAM3時(日本時間)にローテーシ…

AWS 認定の無料の模擬試験の受けかたが変わりました!

こんにちは、ラーニングエクスペリエンス課の小倉です。 以前、AWS 認定の無料の模擬試験の受けかたをブログで紹介しましたが、こちらの受けかたが少し変わりましたので、受けるまでの手順を紹介します。 2022/7/27 現在、以下の模擬試験(各 20 問) を日本語…

ALBでの負荷分散・冗長化をマルチリージョンで行う

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。 AWS の Application Load Balancer (以下ALB) では、ALBの配置先とルーティング先のEC2インスタンスは単一VPCとする構成が一般的ですが、実はALBとEC2インスタンスが異なるリージョン・異な…

オンプレミスネットワークでAmazon Route 53を使える方法 (Route 53 Resolver インバウンドエンドポイントの構築手順)

こんにちは!イーゴリです。 本日の記事ではオンプレミス環境にあるサーバー/端末からDX/VPNなどを経由してAWS環境にあるRoute 53でDNS名前解決をする方法をご紹介致します。 下記の図の通り、プライベートホストゾーンのRoute 53の作成とResolver インバウ…

AWS Systems Manager Fleet ManagerのRDP接続に関する小ネタ:コピペ許可とかIAM権限とか

技術2課の松田です。こんにちは。 Fleet Managerのリモートデスクトップ(RDP)接続に関する小ネタをいくつかまとめましたのでご紹介します。 Fleet Manager is 何 RDP接続してみる 前提条件 接続してみる コピペができない問題の対処方法 リモートデスクト…

【ECS】タスクロールとタスク実行ロールの違いをサンプルアプリで検証してみた

クラウドインテグレーション2部技術3課の山下です。 今回は、Amazon Elastic Container Service(以下、ECS)の タスクロールとタスク実行ロールの違いについて、 簡単なサンプルアプリを用意して検証してみたいと思います。 (背景) タスクロールとタスク実…

【AWS SSO】AWSへのアクセス方法(GUI/CLI)について

こんにちは。AWS CLIが好きな福島です。 はじめに GUIによるアクセス方法 ①ユーザーポータルURLへのアクセス ②ユーザー名の入力 ③パスワードの入力 ④MFAの入力 ⑤AWSアカウントへのアクセス ⑥ログイン確認 CLIによるアクセス方法 ①AWS CLIの導入 ②SSOの設定 ③…

【AWS CloudFormation/AWS CLI】複数のテンプレートで定義したParametersの値を1つのファイルで管理する方法

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 Before After 結論 使い方 実行例 VPC Subnet 詳細 ファイル構成 ①prd-fk-param.json ②serverworks-vpc.yml ③serverworks-subnet.yml ④create-stack.sh 終わりに はじめに 今回は、AWS CLIを使い、Cl…

【試してみた】Amazon S3のバージョニング

Amazon S3のバージョニングについて試してみた結果や、使用する上での注意点をまとめてみました。

AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる

CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い(拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い)ため、同じ…

CloudFormation StackSetsのOU単位のデプロイにおいてアカウント単位でデプロイ可能なオプションが追加されました

CI2部 技術2課の山﨑です。 複数のAWSアカウントならびに複数のリージョンにワンオペレーションでAWSリソースをデプロイすることができるCloudFormation StackSetsはとても便利で、マルチアカウント運用をしている場合は重宝されている方もいらっしゃるので…

RDS Performance Insights に関する3つのアップデートがありました

CI2部 技術2課の山﨑です。 5〜7月にかけてRDS Performance Insights のアップデートが3つありましたので、今回はそれぞれ簡単にご紹介したいと思います。 おさらい RDS Performance Insights とは? アップデート概要 ①確認したいメトリクスの正確な時間範…

Amazon Athena がパラメータクエリをサポートしました

CI2部 技術2課の山﨑です。 7月にAmazon Athena がパラメータクエリをサポートしましたので簡単にご紹介したいと思います。 おさらい Amazon Athena とは? アップデート概要 パラメータクエリを実行できるようになりました これまでのクエリとの比較 パラメ…

Transit Gateway が VPC Flow Logs をサポートしました

CI2部 技術2課の山﨑です。 7月にTransit Gateway が VPC Flow Logs をサポートしましたので簡単にご紹介したいと思います。 おさらい VPC Flow Logs とは? アップデート概要 Transit Gateway が VPC Flow Logs をサポートしました Transit Gateway が取得…

【AWS Chatbot】SlackからSSM経由でEC2上のコマンドを実行する方法について

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 前提 流れ ①IAMポリシーの作成 ①-①ChatbotがSSMのドキュメントを実行できるようIAMポリシーを作成します。 ②IAMロールの作成 ②-① IAMロールを作成し、①で作成したIAMポリシーをアタッチし、信頼関係…

AWSのアップデートをキャッチアップするために実践している5つのこと

はじめに インプット ①「AWSの最新情報」を英語で確認する 日本語ではなく、英語でチェックする 30分以上は時間をかけない ②「ドキュメント履歴」を確認する ③「AWS ニュースブログ」を確認する アウトプット ④社内のSlackチャンネルでキャッチアップしたア…

【AWS】ALBのリスナールールの優先度について【Sorryページ】

こんにちは、CI部 柿﨑です。 最近はバドミントンのスマッシュがキレイに打てるようになってきており、楽しくて仕方ありません。 今回はALBのリスナールールの優先度に焦点を当てていきたいと思います。 ※本ブログの執筆時点(2022年7月)での情報となりますの…

Advanced Networking - Specialty (ANS-C01) に合格したので必要な対策や経験について記載します

カスタマーサクセス部 佐竹です。 本日は、AWS Certified Advanced Networking – Specialty (ANS-C01) に合格しましたので、その対策や感想について思ったことを記載していきます。本ブログが何かの参考になれば幸いです。

【CI/CD for Amazon ECS】ECSへの自動デプロイの流れをまとめてみた

こんにちは。AWS CLIが好きな福島です。 はじめに 今回は、以下のハンズオンを実施したため、ハンズオンの内容を基にCI/CD for Amazon ECSの自動デプロイの流れをまとめてみます。 ◆AWS CI/CD for Amazon ECS ハンズオン https://pages.awscloud.com/rs/112-…

【CI/CD for Amazon ECS】ECSへの自動デプロイで利用するファイルをまとめてみた

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 ファイル一覧 フォルダ構成 各ファイルの詳細 CodeBuildで利用 1. buildspec.yml: ビルド処理の定義書 buildspec.ymlの例 version pre_build(ビルドの前処理) build(ビルド) post_build(ビルドの後処…

【Security Hub対応(S3.8)】S3ブロックパブリックアクセスを有効化しても問題ないか確認する方法

こんにちは。AWS CLIが好きな福島です。 はじめに 結論 ①Access Analyzer for S3にて検知されていないこと そもそも、IAM Access Analyzerとは Access Analyzer for S3の確認方法 IAM Access Analyzerへのアクセス リソースタイプの絞り込み 検出結果例1 Clo…

【CodeCommit】CLIを使ったクロスアカウント方法について

こんにちは。AWS CLIが好きな福島です。 はじめに CLIを使ったCodeCommitへのアクセス方法 概要図 前提 手順 ①git-remote-codecommitの導入(既に導入されている場合、対応不要です。) ②AWS CLIの導入(既に導入されている場合、対応不要です。) ③Gitの導入(既…

Amazon WorkSpaces デスクトップのカスタマイズに挑戦【カスタムバンドル利用】

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。今回はひさしぶりに Amazon WorkSpaces (以下 WorkSpaces と記) についてのBLOGになります。 WorkSpaces の展開作業を効率化したり、利用ユーザーの初期設定作業の負担を軽減させたいとき、検…

AWSの特定サブネットでプライベートIPアドレスの使用状況の確認方法

こんにちは!イーゴリです。 既存サブネットにあるリソースのプライベートIPアドレスの状況が分からない状態で、今回構築するAWSリソースのIPアドレスを指定したい場合、「どのプライベートIPアドレスを使えば良いか」の方法をこの記事ではご紹介したいと思…

【Cyberduck】 スイッチロール&MFA認証を行い、S3へ接続する方法

s3

こんにちは。AWS CLIが好きな福島です。 はじめに 背景 概要図 やり方 ⓪事前準備 ①クレデンシャルの設定を行います。 ①Cyberduckを開き、「新規接続」を押下します。 ②プルダウンを押下し、「詳細設定」を押下します。 ③「Profiles」を選択し、検索バーに「S…

指定のファイル数がS3バケットに到達したらGlueジョブを実行させる方法

こんにちは!SRE2課 入倉です。 今回はEventBridgeを使ってS3バケットに指定した数のファイルがアップロードされたら、 Glueワークフローを起動させて、その中で指定したGlueジョブを実行する設定を試してみました。 構成 前提 設定 Glueワークフローの作成 …

【ゲートウェイ VPC エンドポイント】EC2からプライベート経路でS3などのAWSサービスへアクセスする

こんにちは!イーゴリです。 EC2がパブリックサブネットにある場合、問題なくインターネットゲートウェイ経由でS3へアクセスができます。 なお、プライベートサブネットにあるEC2からS3にアクセスしたい場合、NATゲートウェイ経由でもS3にアクセスができます…

【Windows】Active Directory ドメイン参加したままオンライン取得した EC2 AMI

こんにちは、クラウドインテグレーション2部 技術1課 宮形 です。 Windows Server 限定のテーマになりますが、Actice Directory ドメイン参加したメンバーサーバー(以下 "AD参加した” と略) の EC2 を、AMI としてオンラインバックアップする運用において、…

SecurityGroupsの受信許可IPをboto3で調査してみた

はじめに 対象者 前提 使い方 config.ymlの編集の仕方 ファイル名:SG_Check.py ファイル名:config.yml 出力結果サンプル はじめに SRE1課の石井です。 現在プロジェクトで稼働しているCLBを全てALBに置き換える作業を行っています。 現環境ではインターネ…

Tailscale SSHでSSHのキー管理から解放された世界線

面白そうなサービスを見つけたので紹介します。タイトル通り、Tailscaleというサービスを利用し、SSHのキー管理無しでSSH環境を構成・運用できます*1。 tailscale.com Tailscaleについて まず、Tailscaleについて簡単に紹介します。 Tailscaleはマネージドの…

【Security Hub】 リソースの削除保護を有効化しよう(ELB.6,RDS.7,RDS.8)

こんにちは。AWS CLIが好きな福島です。 はじめに 削除保護について 各サービスごとの削除保護について EC2の削除保護について GUI CLI RDSの削除保護について GUI CLI Auroraの削除保護について GUI CLI ALBの削除保護について GUI CLI 終わりに はじめに …

【AWS CloudFormation】Amazon S3のブロックパブリックアクセスをブロックする

こんにちは!イーゴリです。 本日の記事では、AWS CloudFormationでAmazon S3のブロックパブリックアクセスの方法をご紹介致します。 AWSTemplateFormatVersion: "2010-09-09" Description: "Blocking public access to your S3 Bucket" Resources: S3Bucket…

CloudFrontとALBの通信をカスタムドメインの証明書で暗号化する

技術2課の松田です。こんにちは。 ALBをオリジンとして指定したAmazon CloudFrontで、クライアント~CloudFront間とCloudFront~ALB間の両方でカスタムドメインの証明書を用いて暗号化する方法をまとめました。 今回の構成 構築手順 1.ホストゾーンの作成 …

Cloud9とSAMでStep Functionsを試す(part1_環境準備)

はじめに 対象者 前提と環境準備の内容 Cloud9について Cloud9概要: メリット: Cloud9の環境準備 SAMについて AWS SAM テンプレート SAM要約: メリット: プロジェクト開始 sam init sam build sam deploy StateMachineの実行 参考文献 はじめに SRE1課の…

【AWS認定試験合格体験記】AWS Certified Solutions Architect - Professional(SAP)試験に1発合格。AWS歴2年の営業が取得。

こんにちは! 営業部の池永です。 この度AWS Certified Solutions Architect - Professionalの認定を取得しました。 スコア:798 今回の記事では、AWS歴2年、営業職の私でも1回の受験で合格できた勉強方法をお伝えできればと思います。 私の経歴 文系4年大…

AWS Certified: SAP on AWS - Specialty 試験に合格しました!

こんにちは、ラーニングエクスペリエンス課の小倉です。先日、2022年4月にリリースされた新しいAWS認定、AWS Certified: SAP on AWS - Specialty 試験に合格しました。今のところ、廃止になった2つの認定もまだ有効期限内なので、AWS認定は14冠です。 ベータ…

LinuxサーバーでCloudWatch エージェント設定ファイルの名前を特定する方法

手動でCloudWatch エージェント設定ファイルを作成したはいいものの「あれ、、、設定ファイルどれ(どこ)だっけ、、、。」となった時に見つけ出すヒントを紹介

【GuardDuty】S3の検出タイプの詳細と対応方法をまとめてみた

こんにちは。AWS CLIが好きな福島です。 はじめに 参考 GuardDutyとは S3の検出タイプについて 概要 全体 1. Discovery 2. Exfiltration 3. Impact 4. PenTest 5. Policy 5. Stealth 6. UnauthorizedAccess アラートの対応方法 終わりに はじめに 今回は、以…

AWS Systems Manager Parameter StoreをAWS Lambdaで更新しようと思ったら権限が足りてなかった話

こんにちは!技術1課、濱岡です。 みなさんは、目玉焼きには塩派?醤油派?ソース派?のどれですか? 私は基本何もつけずに食パンに乗っけて食べていたのでそんな派閥があるんだなと思いました。 さて、今回はAWS Systems Managerのパラメータストアのお話で…