こんにちは!イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…
こんにちは!イーゴリです。 この記事は下記の記事の続きとなりますので、この記事を読む前に必ず下記の記事をご一読ください。 blog.serverworks.co.jp この記事では、AWSのセキュリティサービスを使うことで自分のAWS環境を守る方法を紹介したいと思います…
こんにちは!イーゴリです。 DNSの脆弱性 DNSの通信は非暗号である DNSSECが守ってくれる攻撃パターン (キャッシュポイズニング攻撃) DNSSECとは DNSSEC導入のメリット DNSSEC導入のデメリット Amazon Route 53でDNSSECの有効化 DNSSECの有効化前の状態の確…
こんにちは!イーゴリです。 以前、AWS Security Hubに「[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします」という項目がありましたが、AWS Security HubのAWS Foundational Security Best Practices 標準および NIST SP 800…
こんにちは!イーゴリです。 下記の記事にて EC2 Instance Connect Endpointの構築手順/条件/注意点などを紹介しましたが、今回はEC2 Instance Connect EndpointのAWS CloudFormationテンプレートを紹介したいと思います。緊急作業時に役立つかと思います。 …
こんにちは!イーゴリです。 会社のコンプライアンスの要件には、データを消す方法として磁気消去や物理破壊などの方法がありますが、クラウド業界では同じ物理ストレージの中に自分の会社だけではなくお客様のデータも存在している※1ので、磁気消去や物理破…
こんにちは!イーゴリです。 会社によっては、様々な理由から閉域網(DX)を使わずにインターネットを利用できるAWSソリューションをご検討されている方もいらっしゃいますので、下記の表を作成しました。どんな時にどのAWSサービスを使うかについて説明してい…
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Framew…
こんにちは!イーゴリです。 「そもそもクラウド上でデータの暗号化が必要か」と疑問に思っている方がいるかもしれませんので、これについて考えてみたいと思います。 結論 質問:AWSにあるデータを暗号化する必要がありますか。 回答:必要です! 終わりー …
こんにちは!イーゴリです。 私の業務で、AWS環境にある既存のEC2をすぐに再構築したい/クローンしたい/一部のパラメーターだけ変えたい、などのパターンがよく出たので、既存のEC2を元にEC2のCloudFormationテンプレートを自動生成するスクリプトを作ってみ…
こんにちは!イーゴリです。 既存の複数のセキュリティグループに複数のルールを追加/削除する場合、手作業で行うと時間がかかるのと、オペミスなどが発生する可能性があるため、CSVファイルに必要なルールを入れてスクリプトを実行すると便利だと思い、下記…
こんにちは!イーゴリです。 「どんな目的であってもあまり考えずにACM証明書を使えばよいのでは?」、「AWSで外部の証明書を使いたいが、3種類(DV/OV/EV)のどれを選べばいいか分からない」と思う方がいるかもれないので、AWSで使える証明書を紹介し、そ…
こんにちは!イーゴリです。 今日はTerraformで管理するAWSリソースを手動で作り直してしまった場合の対策方法を紹介したいと思います。 背景 .tfファイル terraform planの結果 大まかな作業の流れ 手順 手動で削除されたAWSリソースを.tfstateから削除する…
こんにちは!イーゴリです。 今日はEC2の暗号化されていない既存のEBSを暗号化する方法を紹介します。 結論 作業の流れ 手順書 (任意)CMKが必要な場合、AWS KMSでキーを作成する 対象EC2のEBS スナップショットを取得する 非暗号化のEBSスナップショットか…
こんにちは!イーゴリです。 今日はAmazon Inspector (もしくは Security Hub) の検出結果を Slack / E-mail に通知させる方法を紹介したいと思います。 構成図 Inspector Security Hub Inspectorの検出結果をSlack / E-mail に通知させる方法 Amazon Inspec…
こんにちは!イーゴリです。 今回の記事ではAWS環境で、DX/VPN経由でオンプレミス環境にあるDNSサーバーのDNSの名前解決をする方法をご紹介致します。 構成図 前提条件 アウトバウンドエンドポイント用のセキュリティグループの作成 Amazon Route 53 Resolve…
こんにちは!イーゴリです。 AWS Verified Access設計時の注意点を紹介したいと思います。 1つのエンドポイントに対して割り当て可能なポート番号が1つのみ 1つのアプリケーションドメインを複数のエンドポイントで共有することができない 正しい利用例 利用…
こんにちは!イーゴリです。 S3 Express One ZoneをS3 Standardと比較し、簡単な表にまとめましたので、参考にして頂ければと思います。 下記の表では、S3 Standardクラスが「中」(=◯まる)としたら、S3 Express One ZoneがS3 Standardクラスに対してどの…
こんにちは!イーゴリです。 EC2がどのElastic Load Balancerに関連付けられているか確認する方法を紹介したいと思います。 ロードバランサータイプによって確認方法が異なりますので、下記のコマンドをご参考ください。 Application Load Balancer / Classi…
こんにちは!イーゴリです。 前回の記事では、AWS Verified Accessを紹介しましたが、AWS Verified Accessで接続できない場合この記事が役に立つかもしれないので、今まで見たエラー内容について説明します。 blog.serverworks.co.jp 403 Unauthorized エラ…
こんにちは!イーゴリです。 今日はAWS Private CAを使って、相互 TLS 認証 で サーバーレス API にアクセスする方法を紹介します。 構成図 ユースケース 前提条件 相互 TLS 認証なしの構成 Lambda の作成(すでにある場合はスキップ) API Gateway の構築 A…
こんにちは!イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった? 新規EBSボリュームをアタッチした後で、AWSから(=Windowsサーバーへログインせずに)ドライブレターの指定やボリュームのフォ…
こんにちは!イーゴリです。 環境によってAmazon CloudWatchLogs内に機密データが表示されることがありますので、Amazon CloudWatchLogs内で機密データをマスキングする機能を紹介します。 データ保護機能の設定前の動作確認 CloudWatch Logs の機密データ保…
こんにちは!イーゴリです。 Route53を使う時はRoute53でドメインを購入したほうが便利ですが、場合によっては外部ドメインサービスで取得したドメインをRoute53に設定しないといけないパターンもありますので、今日は外部ドメインサービスで取得したドメイ…
こんにちは!イーゴリです。 外部からAWSアカウントにあるプライベートなリソースにアクセスしたい場合、今まではAWS Client VPN/AWS Site-to-Site VPNを使うかDirect Connectを使う必要がありましたが、 AWS Verified Access (新サービス) を使うことでAWS…
こんにちは!イーゴリです。 下記のアップデートによって、専用のEC2を作成しなくてもよくなったが、相乗りのEC2の場合はどうすればよいかについて紹介したいと思います。 下記のGUI版がありますが、一気に終わりたい場合、この記事をご参考頂ければと思いま…
こんにちは!イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…
こんにちは!イーゴリです。 下記の記事でAMIのパブリック共有機能をブロックする方法を紹介した時に、注意点としてEBS スナップショットのパブリック共有機能のブロックは対象外と記載しました。 blog.serverworks.co.jp 下記のアップデートによりEBSスナッ…
こんにちは!イーゴリです。 今日は下記のAWSアップデートを紹介したいと思います。 aws.amazon.com 新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード…
こんにちは!イーゴリです。 前回の記事では、AWSマネジメントコンソールでAMIのパブリック共有機能をブロックする方法をご紹介しましたが、AWSマネジメントコンソールでの設定方法だと、リージョンごとにAMIのパブリック共有機能をブロックする必要があるた…
こんにちは!イーゴリです。 下記のAWSアップデートが発表されたため、この記事では、AWSアカウントでAMIのパブリック共有機能をブロックする方法を試してみたいと思います。 aws.amazon.com UPD: AMI ブロックパブリックアクセスが2023年10月16日から全リー…
こんにちは!イーゴリです。 前回の記事では、s3fsをご紹介しましたが、s3fsの使用はAWS非推奨ですので、今までEC2にS3マウントするAWS公式方法はありませんでした。 blog.serverworks.co.jp 質問. S3をEC2にマウントした時よりは、EFSの方が早いですか? 回…
こんにちは!イーゴリです。 踏み台サーバーなしでプライベートサブネットにあるEC2に接続できる方法をご紹介します。 なお、2024 年 2 月 1 日からAWSすべてのパブリック IPv4 アドレスの利用に対して 1 IP アドレスあたり 0.005 USD/時間 が課金されること…
こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 前回の記事では、S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたが、この記…
こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたので、 共有致します。 今回…
こんにちは!イーゴリです。 問題点 理由 対策方法 作業流れ 手順 RDSをアップグレードする場合、この方法もご検討ください! 問題点 RDSを復元したい時に同じエンドポイント名に設定したい場合、スナップショットから復元し、[DB 識別子]を既存RDSと同じ名…
こんにちは!イーゴリです。オンプレミスファイルサーバーからデータをAmazon FSx for Windows File Serverへ移行する考慮事項について記載したいと思います。 ストレージタイプ:SSD or HDD 移行期間中のストレージタイプ 運用中のストレージタイプ FSxのス…
こんにちは!イーゴリです。Robocopyの速度が遅い場合、下記の設定を見るとRobocopyの速度の問題が改善されると思います。 タスクスケジューラのタスクの優先度を確認 リアルタイムスキャンで移行先を監視しているAntivirusがあるかを確認 移行元・移行先の…
こんにちは!イーゴリです。 Robocopyでドライブごとにデータ移行を行う時に、フォルダのコピー処理は完了しましたが、コピー先のフォルダが見えない状態となっている場合、どうすればよいかと疑問に思う方は是非最後まで読んでください。 イメージ図 理由 …
こんにちは!イーゴリです。 例えば、Robocopyでオンプレミス環境からAWSや他の環境へデーターを移行する場合、帯域幅を制限しないとネットワークアダプターが一気にすべての帯域幅を利用してしまい、業務に影響が発生する可能性が高いので、Windowsでいくつ…
こんにちは!イーゴリです。 Amazon FSx for Windows File Serverの構築後、対象サーバーにアタッチする時にamznfsxxfbiwerw.<ドメイン名>のようなファイルサーバーの名前になってしまいます。本日の記事では、DNS エイリアスを設定することで任意のサーバー…
こんにちは!イーゴリです。 私はいつも作業用のEC2を作成している時にWindows Updateやファイアウォールなどを無効にしたいので、手作業が増えないように下記のテンプレートを使っていますので、この記事で共有させていただきます。 要件: 日本時間(JST)…
こんにちは、イーゴリです! RHEL 7 (Red Hat Enterprise Linux 7)で2段階認証設定(秘密鍵+パスワード)をすると、WindowsのSSHソフト(TeraTermなど)でうまくログインできない事象が発生しています。ちなみに、LinuxやMacOSの場合、コマンドラインから普…
こんにちは!イーゴリです。 下記の記事では、DNSのサブドメインの委任する方法をご紹介しましたが、今回の記事では、既存サブドメインを別のAWSアカウントに移行されたい場合、注意点をご紹介したいと思います。 ※今回の例としてはAmazon Route 53となりま…
こんにちは!イーゴリです。 本番環境のAmazon Route 53で大きな変更作業を行う時にバックアップを取得していますでしょうか。 もし作業がうまく行かなかった場合、切り戻し手順はありますでしょうか。 そういう時にAmazon Route 53のバックアップを取得して…
こんにちは!イーゴリです。 DNSに大量のレコードを追加したい時にスクリプト化したり、コマンドで複数のレコードを追加したりしたいですよね。 もちろん、AWSのCLIを使えば、Amazon Route 53 にリソースレコードセットを作成することができますが、大量DNS…
こんにちは!イーゴリです。 「Amazon Route 53でCNAMEレコードを登録する時、エラーが発生する場合、どうすれば良いか」という記事をご紹介致します。 エラー内容 パターン 1 パターン 2 CNAMEの理解 エラーが発生する理由(CNAMEの制約) CNAMEレコードは…
こんにちは!イーゴリです。 ファイルシステムを結合する組織単位 (OU) 対策方法:FSx用の組織単位(OU)の作成 既存Active Directoryで適切なアカウント及びグループの作成 Amazon FSx for Windows File Serverの構築時のパラメーター入力 おまけ(マルチAZに…
こんにちは!イーゴリです。 背景 検証環境で自己管理型 Microsoft Active DirectoryのEC2を起動せずにAmazon FSx for Windows File ServerでDNS エイリアスを追加しようとしたら、下記のエラーが発生しました。 ライフサイクル:設定ミス エラー内容: Amaz…
こんにちは!イーゴリです。 本日の記事ではオンプレミス環境にあるサーバー/端末からDX/VPNなどを経由してAWS環境にあるRoute 53でDNS名前解決をする方法をご紹介致します。 下記の図の通り、プライベートホストゾーンのRoute 53の作成とResolver インバウ…