AWS環境でオンプレミスDNSを使える方法 (Route 53 Resolver アウトバウンドエンドポイント)

こんにちは!イーゴリです。 今回の記事ではAWS環境で、DX/VPN経由でオンプレミス環境にあるDNSサーバーのDNSの名前解決をする方法をご紹介致します。 構成図 前提条件 アウトバウンドエンドポイント用のセキュリティグループの作成 Amazon Route 53 Resolve…

AWS Verified Access設計時の注意点

こんにちは!イーゴリです。 AWS Verified Access設計時の注意点を紹介したいと思います。 1つのエンドポイントに対して割り当て可能なポート番号が1つのみ 1つのアプリケーションドメインを複数のエンドポイントで共有することができない 正しい利用例 利用…

S3 Express One ZoneをS3 Standardと比較してみた

こんにちは!イーゴリです。 S3 Express One ZoneをS3 Standardと比較し、簡単な表にまとめましたので、参考にして頂ければと思います。 下記の表では、S3 Standardクラスが「中」(=◯まる)としたら、S3 Express One ZoneがS3 Standardクラスに対してどの…

EC2がどのElastic Load Balancerに関連付けられているか確認する方法(AWS CLI)

こんにちは!イーゴリです。 EC2がどのElastic Load Balancerに関連付けられているか確認する方法を紹介したいと思います。 ロードバランサータイプによって確認方法が異なりますので、下記のコマンドをご参考ください。 Application Load Balancer / Classi…

【AWS Verified Access】接続できない場合 (トラブルシューティング)

こんにちは!イーゴリです。 前回の記事では、AWS Verified Accessを紹介しましたが、AWS Verified Accessで接続できない場合この記事が役に立つかもしれないので、今まで見たエラー内容について説明します。 blog.serverworks.co.jp 403 Unauthorized エラ…

相互 TLS 認証でサーバーレス API にアクセスする方法 (AWS Private CA)

こんにちは!イーゴリです。 今日はAWS Private CAを使って、相互 TLS 認証 で サーバーレス API にアクセスする方法を紹介します。 構成図 ユースケース 前提条件 相互 TLS 認証なしの構成 Lambda の作成(すでにある場合はスキップ) API Gateway の構築 A…

AWS Systems Manager Fleet Manager で Windows の EBS ボリューム管理が容易になりました

こんにちは!イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった? 新規EBSボリュームをアタッチした後で、AWSから(=Windowsサーバーへログインせずに)ドライブレターの指定やボリュームのフォ…

Amazon CloudWatch Logs内の機密データをマスキングする方法 (CloudWatch Logs の機密データ保護機能)

こんにちは!イーゴリです。 環境によってAmazon CloudWatchLogs内に機密データが表示されることがありますので、Amazon CloudWatchLogs内で機密データをマスキングする機能を紹介します。 データ保護機能の設定前の動作確認 CloudWatch Logs の機密データ保…

【Amazon Route53】外部ドメインサービスで取得したドメインをRoute53に設定する方法

こんにちは!イーゴリです。 Route53を使う時はRoute53でドメインを購入したほうが便利ですが、場合によっては外部ドメインサービスで取得したドメインをRoute53に設定しないといけないパターンもありますので、今日は外部ドメインサービスで取得したドメイ…

【AWS Verified Access】VPN なしでAWS環境のアプリケーションに安全にアクセスできる方法 (Okta認証)

こんにちは!イーゴリです。 外部からAWSアカウントにあるプライベートなリソースにアクセスしたい場合、今まではAWS Client VPN/AWS Site-to-Site VPNを使うかDirect Connectを使う必要がありましたが、 AWS Verified Access (新サービス) を使うことでAWS…

AWS Managed Microsoft ADの管理用EC2インスタンスの簡単な設定方法

こんにちは!イーゴリです。 下記のアップデートによって、専用のEC2を作成しなくてもよくなったが、相乗りのEC2の場合はどうすればよいかについて紹介したいと思います。 下記のGUI版がありますが、一気に終わりたい場合、この記事をご参考頂ければと思いま…

デフォルトでAWS SSMを有効にする方法(Default Host Management Configuration)

こんにちは!イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…

EBS スナップショットのパブリック共有機能をブロックする方法

こんにちは!イーゴリです。 下記の記事でAMIのパブリック共有機能をブロックする方法を紹介した時に、注意点としてEBS スナップショットのパブリック共有機能のブロックは対象外と記載しました。 blog.serverworks.co.jp 下記のアップデートによりEBSスナッ…

【IAM ポリシー】 AWS Certificate Manager の条件キーで、証明書を制限出来るようになりました

こんにちは!イーゴリです。 今日は下記のAWSアップデートを紹介したいと思います。 aws.amazon.com 新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード…

すべてのリージョンでAMIのパブリック共有機能を一括ブロックする方法【AWS CLI】

こんにちは!イーゴリです。 前回の記事では、AWSマネジメントコンソールでAMIのパブリック共有機能をブロックする方法をご紹介しましたが、AWSマネジメントコンソールでの設定方法だと、リージョンごとにAMIのパブリック共有機能をブロックする必要があるた…

AMIのパブリック共有機能をブロックする方法

こんにちは!イーゴリです。 下記のAWSアップデートが発表されたため、この記事では、AWSアカウントでAMIのパブリック共有機能をブロックする方法を試してみたいと思います。 aws.amazon.com UPD: AMI ブロックパブリックアクセスが2023年10月16日から全リー…

【AWS公式S3マウントする方法】Amazon S3をEC2インスタンスにマウントする(Mountpoint for Amazon S3)

こんにちは!イーゴリです。 前回の記事では、s3fsをご紹介しましたが、s3fsの使用はAWS非推奨ですので、今までEC2にS3マウントするAWS公式方法はありませんでした。 blog.serverworks.co.jp 質問. S3をEC2にマウントした時よりは、EFSの方が早いですか? 回…

【踏み台が不要!】 EC2 Instance Connect Endpointを使ってみた

こんにちは!イーゴリです。 踏み台サーバーなしでプライベートサブネットにあるEC2に接続できる方法をご紹介します。 なお、2024 年 2 月 1 日からAWSすべてのパブリック IPv4 アドレスの利用に対して 1 IP アドレスあたり 0.005 USD/時間 が課金されること…

ClientVPN経由でS3の静的Webサイトにアクセス設定方法

こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 前回の記事では、S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたが、この記…

S3 の静的Webサイトに特定の VPC からしかアクセスできなくする方法

こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたので、 共有致します。 今回…

[Amazon RDS] スナップショットから復元する時に元のエンドポイント名を設定する方法

こんにちは!イーゴリです。 問題点 理由 対策方法 作業流れ 手順 RDSをアップグレードする場合、この方法もご検討ください! 問題点 RDSを復元したい時に同じエンドポイント名に設定したい場合、スナップショットから復元し、[DB 識別子]を既存RDSと同じ名…

【Amazon FSx for Windows File Server】注意!オンプレミスからデータ移行する時の考慮事項

こんにちは!イーゴリです。オンプレミスファイルサーバーからデータをAmazon FSx for Windows File Serverへ移行する考慮事項について記載したいと思います。 ストレージタイプ:SSD or HDD 移行期間中のストレージタイプ 運用中のストレージタイプ FSxのス…

【Robocopyでのデータ移行】Robocopyの速度が遅い場合、これを見るべき!

こんにちは!イーゴリです。Robocopyの速度が遅い場合、下記の設定を見るとRobocopyの速度の問題が改善されると思います。 タスクスケジューラのタスクの優先度を確認 リアルタイムスキャンで移行先を監視しているAntivirusがあるかを確認 移行元・移行先の…

Robocopyでコピー先のフォルダが非表示になる状態 (解決方法)

こんにちは!イーゴリです。 Robocopyでドライブごとにデータ移行を行う時に、フォルダのコピー処理は完了しましたが、コピー先のフォルダが見えない状態となっている場合、どうすればよいかと疑問に思う方は是非最後まで読んでください。 イメージ図 理由 …

Windowsでネットワーク帯域幅(SMBトラフィックなど)を制限する方法

こんにちは!イーゴリです。 例えば、Robocopyでオンプレミス環境からAWSや他の環境へデーターを移行する場合、帯域幅を制限しないとネットワークアダプターが一気にすべての帯域幅を利用してしまい、業務に影響が発生する可能性が高いので、Windowsでいくつ…

Amazon FSx for Windows File ServerのDNS エイリアスの設定についての注意点

こんにちは!イーゴリです。 Amazon FSx for Windows File Serverの構築後、対象サーバーにアタッチする時にamznfsxxfbiwerw.<ドメイン名>のようなファイルサーバーの名前になってしまいます。本日の記事では、DNS エイリアスを設定することで任意のサーバー…

【Windows Server EC2】インスタンス起動時にWindows Updateやファイアウォールなどを無効にする方法

こんにちは!イーゴリです。 私はいつも作業用のEC2を作成している時にWindows Updateやファイアウォールなどを無効にしたいので、手作業が増えないように下記のテンプレートを使っていますので、この記事で共有させていただきます。 要件: 日本時間(JST)…

Linuxサーバーに2段階認証(複数認証)でログインする方法(秘密鍵+パスワード)

こんにちは、イーゴリです! RHEL 7 (Red Hat Enterprise Linux 7)で2段階認証設定(秘密鍵+パスワード)をすると、WindowsのSSHソフト(TeraTermなど)でうまくログインできない事象が発生しています。ちなみに、LinuxやMacOSの場合、コマンドラインから普…

【Amazon Route 53】注意点:既存のDNSサブドメインを委任する

こんにちは!イーゴリです。 下記の記事では、DNSのサブドメインの委任する方法をご紹介しましたが、今回の記事では、既存サブドメインを別のAWSアカウントに移行されたい場合、注意点をご紹介したいと思います。 ※今回の例としてはAmazon Route 53となりま…

Amazon Route 53のレコードをバックアップする方法

こんにちは!イーゴリです。 本番環境のAmazon Route 53で大きな変更作業を行う時にバックアップを取得していますでしょうか。 もし作業がうまく行かなかった場合、切り戻し手順はありますでしょうか。 そういう時にAmazon Route 53のバックアップを取得して…

【Amazon Route 53】CLIで複数レコードを追加する方法

こんにちは!イーゴリです。 DNSに大量のレコードを追加したい時にスクリプト化したり、コマンドで複数のレコードを追加したりしたいですよね。 もちろん、AWSのCLIを使えば、Amazon Route 53 にリソースレコードセットを作成することができますが、大量DNS…

Amazon Route 53でCNAMEレコードの登録時に、エラーが発生する場合

こんにちは!イーゴリです。 「Amazon Route 53でCNAMEレコードを登録する時、エラーが発生する場合、どうすれば良いか」という記事をご紹介致します。 エラー内容 パターン 1 パターン 2 CNAMEの理解 エラーが発生する理由(CNAMEの制約) CNAMEレコードは…

【Amazon FSx for Windows File Serverの構築】自己管理型 Microsoft Active Directoryの組織の構成やユーザーの適切な権限などの考慮事項についての解説

こんにちは!イーゴリです。 ファイルシステムを結合する組織単位 (OU) 対策方法:FSx用の組織単位(OU)の作成 既存Active Directoryで適切なアカウント及びグループの作成 Amazon FSx for Windows File Serverの構築時のパラメーター入力 おまけ(マルチAZに…

【解決方法】Amazon FSx for Windows File Server ライフサイクルの状態で設定ミスが発生した場合

こんにちは!イーゴリです。 背景 検証環境で自己管理型 Microsoft Active DirectoryのEC2を起動せずにAmazon FSx for Windows File ServerでDNS エイリアスを追加しようとしたら、下記のエラーが発生しました。 ライフサイクル:設定ミス エラー内容: Amaz…

オンプレミスネットワークでAmazon Route 53を使える方法 (Route 53 Resolver インバウンドエンドポイントの構築手順)

こんにちは!イーゴリです。 本日の記事ではオンプレミス環境にあるサーバー/端末からDX/VPNなどを経由してAWS環境にあるRoute 53でDNS名前解決をする方法をご紹介致します。 下記の図の通り、プライベートホストゾーンのRoute 53の作成とResolver インバウ…

AWSの特定サブネットでプライベートIPアドレスの使用状況の確認方法

こんにちは!イーゴリです。 既存サブネットにあるリソースのプライベートIPアドレスの状況が分からない状態で、今回構築するAWSリソースのIPアドレスを指定したい場合、「どのプライベートIPアドレスを使えば良いか」の方法をこの記事ではご紹介したいと思…

【ゲートウェイ VPC エンドポイント】EC2からプライベート経路でS3などのAWSサービスへアクセスする

こんにちは!イーゴリです。 EC2がパブリックサブネットにある場合、問題なくインターネットゲートウェイ経由でS3へアクセスができます。 なお、プライベートサブネットにあるEC2からS3にアクセスしたい場合、NATゲートウェイ経由でもS3にアクセスができます…

【AWS CloudFormation】Amazon S3のブロックパブリックアクセスをブロックする

こんにちは!イーゴリです。 本日の記事では、AWS CloudFormationでAmazon S3のブロックパブリックアクセスの方法をご紹介致します。 AWSTemplateFormatVersion: "2010-09-09" Description: "Blocking public access to your S3 Bucket" Resources: S3Bucket…

【AWS Systems Manager エンドポイント】プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインする方法

こんにちは、イーゴリです! 「プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインするにはどうすれば良いの?」と疑問に思う方へ、本日の記事でVPC エンドポイントをご紹介したいと思います。 記事の目標 解決方法 VPC エンドポ…

【1秒でできる】Windowsで任意のサイズのファイルを作成する方法

こんにちは!イーゴリです。 下記の方法を使えば、Windowsで任意のサイズのファイルを作成することができますよ! fsutilコマンド(CMD / PowerShell) 例えば、何かしらのテストのために、ドライブCで約10MB(10MBは10485760となりますが、10000000を入力し…

【対策方法】Amazon ECS で Amazon ECR のイメージを使えない場合

こんにちは!イーゴリです。 Amazon ECS で Amazon ECR のイメージがあるタスク定義を指定したら、ステータスが「RUNNING」ではなく、「STOPPED」になった場合(何かしらのECSのエラーが発生した場合)、どうやって解決すればいいかをこの記事でご紹介させて…

【Amazon ECS】Amazon Elastic Container Service (Fargate)

こんにちは!イーゴリです。 前回のECS記事の続きとして、今回の記事では、Amazon Elastic Container Service (Fargate)をご紹介したいと思います。 Fargate と EC2 Linux + ネットワーキング の比較 ECSクラスターの作成 タスク定義の作成 タスク定義の起動…

【Amazon ECS】Amazon Elastic Container Service (EC2 Linux + ネットワーキング)を構築してみた

こんにちは!イーゴリです。 前回の記事に続き、今回の記事では、Amazon Elastic Container Service (EC2 Linux + ネットワーキング)をご紹介したいと思います。(ちなみに、次の記事では、サーバーレース(Fargate)方法をご紹介します) ECSクラスターの作…

【AWS Client VPN】OpenVPN easy-rsaの自己証明書の更新手順(相互認証)

こんにちは!イーゴリです。 前回の記事では、AWS Client VPN の導入のためにサーバー自己証明書及びクライアント自己証明書を発行しましたが、ACM上のサーバー証明書かクライアント端末側のクライアント証明書のどちらかの期限が切れたらどうなるかというと…

【AWS Client VPN】OpenVPN easy-rsaで証明書の有効期限を100年にする方法

こんにちは!イーゴリです。 前回の記事では、自己証明書を発行し、AWS Client VPNを構築しましたが、サーバーの証明書はデフォルトの期限が2年しかありませんので、この記事では、OpenVPN easy-rsaで証明書の有効期限を100年にする方法をご紹介致します。 b…

AWS Client VPN を構築してみた(相互認証)

こんにちは!イーゴリです。 この記事では、AWS Client VPN の導入をご紹介したいと思います。今回の認証方法としては相互認証(自己証明書版)を選びます。 目標 構成図 前提条件 証明書の作成 自己証明証を作成する方法 自己証明証を作成する 証明書をAWS …

【Amazon ECS】Amazon Elastic Container Serviceの基本(Amazon ECS のドッカーの基本)

こんにちは!イーゴリです。 AWSでコンテナを動かすには、複数のサービスを使用する必要があります。 イメージレジストリ オーケストレーター 実行環境 Amazon Elastic Container Service とは Amazon Elastic Container Service のコンポーネント Amazon El…

【Amazon ECR】Amazon Elastic Container Registryの基本(プッシュの処理、ライフサイクルポリシーなど)

こんにちは!技術4課のイーゴリです。 Amazon ECR(「Amazon Elastic Container Registry」の省略)とは、完全マネージド型のDockerコンテナレジストリです。簡単に説明しますと、Docker Hubにとても似ているサービスです。 例えば、Dockerfileを作成し、Bui…

新しい EC2 起動エクスペリエンスでルートボリュームが見えない【対策方法】

こんにちは!技術4課のイーゴリです。 ルートボリュームが見えない状況の説明 対策方法 新しい EC2 起動エクスペリエンスでAMIを選択(方法1) 古い EC2 起動エクスペリエンスへの切り替え(方法2) ルートボリュームが見えない状況の説明 Windows Server …

【CI/CDの導入】AWS CodePipeline(CodeCommit、CodeDeploy、Nginx、Auto Scaling、ALB の組み合わせ)を設定してみた

こんにちは!技術4課のイーゴリです。 この記事では、AWS CodePipelineを使って、CodeCommit → CodeDeploy → Auto ScalingのEC2へのデプロイのプロセスを作ってみましたので、ご紹介したいと思います。 前回の記事で作成したリソースを使用しますので、まず…