こんにちは!イーゴリです。 今日はTerraformで管理するAWSリソースを手動で作り直してしまった場合の対策方法を紹介したいと思います。 背景 .tfファイル terraform planの結果 大まかな作業の流れ 手順 手動で削除されたAWSリソースを.tfstateから削除する…
こんにちは!イーゴリです。 今日はEC2の暗号化されていない既存のEBSを暗号化する方法を紹介します。 結論 作業の流れ 手順書 (任意)AWS KMSでキーを作成する 対象EC2のEBS スナップショットを取得する 非暗号化のEBSスナップショットから暗号化のEBSスナ…
こんにちは!イーゴリです。 今日はAmazon Inspector (もしくは Security Hub) の検出結果を Slack / E-mail に通知させる方法を紹介したいと思います。 構成図 Inspector Security Hub Inspectorの検出結果をSlack / E-mail に通知させる方法 Amazon Inspec…
こんにちは!イーゴリです。 今回の記事ではAWS環境で、DX/VPN経由でオンプレミス環境にあるDNSサーバーのDNSの名前解決をする方法をご紹介致します。 構成図 前提条件 アウトバウンドエンドポイント用のセキュリティグループの作成 Amazon Route 53 Resolve…
こんにちは!イーゴリです。 AWS Verified Access設計時の注意点を紹介したいと思います。 1つのエンドポイントに対して割り当て可能なポート番号が1つのみ 1つのアプリケーションドメインを複数のエンドポイントで共有することができない 正しい利用例 利用…
こんにちは!イーゴリです。 S3 Express One ZoneをS3 Standardと比較し、簡単な表にまとめましたので、参考にして頂ければと思います。 下記の表では、S3 Standardクラスが「中」(=◯まる)としたら、S3 Express One ZoneがS3 Standardクラスに対してどの…
こんにちは!イーゴリです。 EC2がどのElastic Load Balancerに関連付けられているか確認する方法を紹介したいと思います。 ロードバランサータイプによって確認方法が異なりますので、下記のコマンドをご参考ください。 Application Load Balancer / Classi…
こんにちは!イーゴリです。 前回の記事では、AWS Verified Accessを紹介しましたが、AWS Verified Accessで接続できない場合この記事が役に立つかもしれないので、今まで見たエラー内容について説明します。 blog.serverworks.co.jp 403 Unauthorized エラ…
こんにちは!イーゴリです。 今日はAWS Private CAを使って、相互 TLS 認証 で サーバーレス API にアクセスする方法を紹介します。 構成図 ユースケース 前提条件 相互 TLS 認証なしの構成 Lambda の作成(すでにある場合はスキップ) API Gateway の構築 A…
こんにちは!イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった? 新規EBSボリュームをアタッチした後で、AWSから(=Windowsサーバーへログインせずに)ドライブレターの指定やボリュームのフォ…
こんにちは!イーゴリです。 環境によってAmazon CloudWatchLogs内に機密データが表示されることがありますので、Amazon CloudWatchLogs内で機密データをマスキングする機能を紹介します。 データ保護機能の設定前の動作確認 CloudWatch Logs の機密データ保…
こんにちは!イーゴリです。 Route53を使う時はRoute53でドメインを購入したほうが便利ですが、場合によっては外部ドメインサービスで取得したドメインをRoute53に設定しないといけないパターンもありますので、今日は外部ドメインサービスで取得したドメイ…
こんにちは!イーゴリです。 外部からAWSアカウントにあるプライベートなリソースにアクセスしたい場合、今まではAWS Client VPN/AWS Site-to-Site VPNを使うかDirect Connectを使う必要がありましたが、 AWS Verified Access (新サービス) を使うことでAWS…
こんにちは!イーゴリです。 下記のアップデートによって、専用のEC2を作成しなくてもよくなったが、相乗りのEC2の場合はどうすればよいかについて紹介したいと思います。 下記のGUI版がありますが、一気に終わりたい場合、この記事をご参考頂ければと思いま…
こんにちは!イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…
こんにちは!イーゴリです。 下記の記事でAMIのパブリック共有機能をブロックする方法を紹介した時に、注意点としてEBS スナップショットのパブリック共有機能のブロックは対象外と記載しました。 blog.serverworks.co.jp 下記のアップデートによりEBSスナッ…
こんにちは!イーゴリです。 今日は下記のAWSアップデートを紹介したいと思います。 aws.amazon.com 新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード…
こんにちは!イーゴリです。 前回の記事では、AWSマネジメントコンソールでAMIのパブリック共有機能をブロックする方法をご紹介しましたが、AWSマネジメントコンソールでの設定方法だと、リージョンごとにAMIのパブリック共有機能をブロックする必要があるた…
こんにちは!イーゴリです。 下記のAWSアップデートが発表されたため、この記事では、AWSアカウントでAMIのパブリック共有機能をブロックする方法を試してみたいと思います。 aws.amazon.com UPD: AMI ブロックパブリックアクセスが2023年10月16日から全リー…
こんにちは!イーゴリです。 前回の記事では、s3fsをご紹介しましたが、s3fsの使用はAWS非推奨ですので、今までEC2にS3マウントするAWS公式方法はありませんでした。 blog.serverworks.co.jp 質問. S3をEC2にマウントした時よりは、EFSの方が早いですか? 回…
こんにちは!イーゴリです。 踏み台サーバーなしでプライベートサブネットにあるEC2に接続できる方法をご紹介します。 なお、2024 年 2 月 1 日からAWSすべてのパブリック IPv4 アドレスの利用に対して 1 IP アドレスあたり 0.005 USD/時間 が課金されること…
こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 前回の記事では、S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたが、この記…
こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたので、 共有致します。 今回…
こんにちは!イーゴリです。 問題点 理由 対策方法 作業流れ 手順 RDSをアップグレードする場合、この方法もご検討ください! 問題点 RDSを復元したい時に同じエンドポイント名に設定したい場合、スナップショットから復元し、[DB 識別子]を既存RDSと同じ名…
こんにちは!イーゴリです。オンプレミスファイルサーバーからデータをAmazon FSx for Windows File Serverへ移行する考慮事項について記載したいと思います。 ストレージタイプ:SSD or HDD 移行期間中のストレージタイプ 運用中のストレージタイプ FSxのス…
こんにちは!イーゴリです。Robocopyの速度が遅い場合、下記の設定を見るとRobocopyの速度の問題が改善されると思います。 タスクスケジューラのタスクの優先度を確認 リアルタイムスキャンで移行先を監視しているAntivirusがあるかを確認 移行元・移行先の…
こんにちは!イーゴリです。 Robocopyでドライブごとにデータ移行を行う時に、フォルダのコピー処理は完了しましたが、コピー先のフォルダが見えない状態となっている場合、どうすればよいかと疑問に思う方は是非最後まで読んでください。 イメージ図 理由 …
こんにちは!イーゴリです。 例えば、Robocopyでオンプレミス環境からAWSや他の環境へデーターを移行する場合、帯域幅を制限しないとネットワークアダプターが一気にすべての帯域幅を利用してしまい、業務に影響が発生する可能性が高いので、Windowsでいくつ…
こんにちは!イーゴリです。 Amazon FSx for Windows File Serverの構築後、対象サーバーにアタッチする時にamznfsxxfbiwerw.<ドメイン名>のようなファイルサーバーの名前になってしまいます。本日の記事では、DNS エイリアスを設定することで任意のサーバー…
こんにちは!イーゴリです。 私はいつも作業用のEC2を作成している時にWindows Updateやファイアウォールなどを無効にしたいので、手作業が増えないように下記のテンプレートを使っていますので、この記事で共有させていただきます。 要件: 日本時間(JST)…
こんにちは、イーゴリです! RHEL 7 (Red Hat Enterprise Linux 7)で2段階認証設定(秘密鍵+パスワード)をすると、WindowsのSSHソフト(TeraTermなど)でうまくログインできない事象が発生しています。ちなみに、LinuxやMacOSの場合、コマンドラインから普…
こんにちは!イーゴリです。 下記の記事では、DNSのサブドメインの委任する方法をご紹介しましたが、今回の記事では、既存サブドメインを別のAWSアカウントに移行されたい場合、注意点をご紹介したいと思います。 ※今回の例としてはAmazon Route 53となりま…
こんにちは!イーゴリです。 本番環境のAmazon Route 53で大きな変更作業を行う時にバックアップを取得していますでしょうか。 もし作業がうまく行かなかった場合、切り戻し手順はありますでしょうか。 そういう時にAmazon Route 53のバックアップを取得して…
こんにちは!イーゴリです。 DNSに大量のレコードを追加したい時にスクリプト化したり、コマンドで複数のレコードを追加したりしたいですよね。 もちろん、AWSのCLIを使えば、Amazon Route 53 にリソースレコードセットを作成することができますが、大量DNS…
こんにちは!イーゴリです。 「Amazon Route 53でCNAMEレコードを登録する時、エラーが発生する場合、どうすれば良いか」という記事をご紹介致します。 エラー内容 パターン 1 パターン 2 CNAMEの理解 エラーが発生する理由(CNAMEの制約) CNAMEレコードは…
こんにちは!イーゴリです。 ファイルシステムを結合する組織単位 (OU) 対策方法:FSx用の組織単位(OU)の作成 既存Active Directoryで適切なアカウント及びグループの作成 Amazon FSx for Windows File Serverの構築時のパラメーター入力 おまけ(マルチAZに…
こんにちは!イーゴリです。 背景 検証環境で自己管理型 Microsoft Active DirectoryのEC2を起動せずにAmazon FSx for Windows File ServerでDNS エイリアスを追加しようとしたら、下記のエラーが発生しました。 ライフサイクル:設定ミス エラー内容: Amaz…
こんにちは!イーゴリです。 本日の記事ではオンプレミス環境にあるサーバー/端末からDX/VPNなどを経由してAWS環境にあるRoute 53でDNS名前解決をする方法をご紹介致します。 下記の図の通り、プライベートホストゾーンのRoute 53の作成とResolver インバウ…
こんにちは!イーゴリです。 既存サブネットにあるリソースのプライベートIPアドレスの状況が分からない状態で、今回構築するAWSリソースのIPアドレスを指定したい場合、「どのプライベートIPアドレスを使えば良いか」の方法をこの記事ではご紹介したいと思…
こんにちは!イーゴリです。 EC2がパブリックサブネットにある場合、問題なくインターネットゲートウェイ経由でS3へアクセスができます。 なお、プライベートサブネットにあるEC2からS3にアクセスしたい場合、NATゲートウェイ経由でもS3にアクセスができます…
こんにちは!イーゴリです。 本日の記事では、AWS CloudFormationでAmazon S3のブロックパブリックアクセスの方法をご紹介致します。 AWSTemplateFormatVersion: "2010-09-09" Description: "Blocking public access to your S3 Bucket" Resources: S3Bucket…
こんにちは、イーゴリです! 「プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインするにはどうすれば良いの?」と疑問に思う方へ、本日の記事でVPC エンドポイントをご紹介したいと思います。 記事の目標 解決方法 VPC エンドポ…
こんにちは!イーゴリです。 下記の方法を使えば、Windowsで任意のサイズのファイルを作成することができますよ! fsutilコマンド(CMD / PowerShell) 例えば、何かしらのテストのために、ドライブCで約10MB(10MBは10485760となりますが、10000000を入力し…
こんにちは!イーゴリです。 Amazon ECS で Amazon ECR のイメージがあるタスク定義を指定したら、ステータスが「RUNNING」ではなく、「STOPPED」になった場合(何かしらのECSのエラーが発生した場合)、どうやって解決すればいいかをこの記事でご紹介させて…
こんにちは!イーゴリです。 前回のECS記事の続きとして、今回の記事では、Amazon Elastic Container Service (Fargate)をご紹介したいと思います。 Fargate と EC2 Linux + ネットワーキング の比較 ECSクラスターの作成 タスク定義の作成 タスク定義の起動…
こんにちは!イーゴリです。 前回の記事に続き、今回の記事では、Amazon Elastic Container Service (EC2 Linux + ネットワーキング)をご紹介したいと思います。(ちなみに、次の記事では、サーバーレース(Fargate)方法をご紹介します) ECSクラスターの作…
こんにちは!イーゴリです。 前回の記事では、AWS Client VPN の導入のためにサーバー自己証明書及びクライアント自己証明書を発行しましたが、ACM上のサーバー証明書かクライアント端末側のクライアント証明書のどちらかの期限が切れたらどうなるかというと…
こんにちは!イーゴリです。 前回の記事では、自己証明書を発行し、AWS Client VPNを構築しましたが、サーバーの証明書はデフォルトの期限が2年しかありませんので、この記事では、OpenVPN easy-rsaで証明書の有効期限を100年にする方法をご紹介致します。 b…
こんにちは!イーゴリです。 この記事では、AWS Client VPN の導入をご紹介したいと思います。今回の認証方法としては相互認証(自己証明書版)を選びます。 目標 構成図 前提条件 証明書の作成 自己証明証を作成する方法 自己証明証を作成する 証明書をAWS …
こんにちは!イーゴリです。 AWSでコンテナを動かすには、複数のサービスを使用する必要があります。 イメージレジストリ オーケストレーター 実行環境 Amazon Elastic Container Service とは Amazon Elastic Container Service のコンポーネント Amazon El…