【AWS re:Invent 2024】最小特権でアウトバウンドトラフィックを制限し、リスクを削減する方法

おばんです!イーゴリです。以下のセッションはご覧になりましたか。この記事では、下記の動画の説明をしますが、私の説明やコメントも交えつつ進めさせていただきますので、正確な内容を確認したい方は以下の動画をご覧ください。 www.youtube.com ネットワ…

【AWS re:Invent 2024】ポスト量子暗号時代への備え!AWSの取り組みと顧客の一歩。

おばんです!イーゴリです。 以下のセッションはご覧になりましたか。このセッションの1つは「ポスト量子暗号」についてのものでしたので、これについて少し解説させていただきます。急にこのテーマに入るのは難しいかもしれませんので、私の説明やコメント…

【AWSにおけるSPLA利用制限への対応策】AWS License ManagerでMicrosoft Remote Desktop Services (RDS)をユーザーベースのサブスクリプション形式で購入できるようになった

こんにちは!イーゴリです。 これまでの背景 未解決SPLA RDS SALの問題 RDS SALを単体でサブスクリプション形式での購入が可能になった (2024年11月14日から) イメージ図 構築対象図 前提条件 QA 環境構築 VPCのDNS設定の有効化 MS AD 構築 AWS Secrets Mana…

【AWSインシデント対応】Amazon EC2インスタンスの封じ込め方法

こんにちは!イーゴリです。 シナリオ 対策方法 Amazon EC2 インスタンスの隔離方法 ネットワークACLでのトラフックブロック セキュリティグループでのトラフィックブロック 自動化(スクリプト編) Amazon EC2インスタンスの分離の自動化 Amazon EC2 インス…

AWS環境へのサイバー攻撃とその対策について

こんにちは!イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

AWS環境のセキュリティ対策についての解説

こんにちは!イーゴリです。 この記事は下記の記事の続きとなりますので、この記事を読む前に必ず下記の記事をご一読ください。 blog.serverworks.co.jp この記事では、AWSのセキュリティサービスを使うことで自分のAWS環境を守る方法を紹介したいと思います…

【Amazon Route 53】DNSSECの有効化手順、DNSSECのメリット・デメリットについての解説

こんにちは!イーゴリです。 DNSの脆弱性 DNSの通信は非暗号である DNSSECが守ってくれる攻撃パターン (キャッシュポイズニング攻撃) DNSSECとは DNSSEC導入のメリット DNSSEC導入のデメリット Amazon Route 53でDNSSECの有効化 DNSSECの有効化前の状態の確…

AWS Configルールで使用されていない/アタッチされていないセキュリティグループが自動的に削除される方法

こんにちは!イーゴリです。 以前、AWS Security Hubに「[EC2.22] 未使用の Amazon EC2 セキュリティグループを削除することをお勧めします」という項目がありましたが、AWS Security HubのAWS Foundational Security Best Practices 標準および NIST SP 800…

【AWS CloudFormation】EC2 Instance Connect Endpointの構築テンプレート

こんにちは!イーゴリです。 下記の記事にて EC2 Instance Connect Endpointの構築手順/条件/注意点などを紹介しましたが、今回はEC2 Instance Connect EndpointのAWS CloudFormationテンプレートを紹介したいと思います。緊急作業時に役立つかと思います。 …

AWSクラウドでもっともセキュアなデータ消去方法 (暗号化消去)

こんにちは!イーゴリです。 会社のコンプライアンスの要件には、データを消す方法として磁気消去や物理破壊などの方法がありますが、クラウド業界では同じ物理ストレージの中に自分の会社だけではなくお客様のデータも存在している※1ので、磁気消去や物理破…

AWS Client VPN, AWS Verified Access, AWS Site-to-Site VPN(サイト間VPN) の違いについて

こんにちは!イーゴリです。 会社によっては、様々な理由から閉域網(DX)を使わずにインターネットを利用できるAWSソリューションをご検討されている方もいらっしゃいますので、下記の表を作成しました。どんな時にどのAWSサービスを使うかについて説明してい…

セキュアなAWS環境の設計についての解説【2024年版】

こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Framew…

AWSにあるデータを暗号化する必要があるか?

こんにちは!イーゴリです。 「そもそもクラウド上でデータの暗号化が必要か」と疑問に思っている方がいるかもしれませんので、これについて考えてみたいと思います。 結論 質問:AWSにあるデータを暗号化する必要がありますか。 回答:必要です! 終わりー …

Amazon EC2のCloudFormationテンプレートを自動生成するスクリプトを作ってみた

こんにちは!イーゴリです。 私の業務で、AWS環境にある既存のEC2をすぐに再構築したい/クローンしたい/一部のパラメーターだけ変えたい、などのパターンがよく出たので、既存のEC2を元にEC2のCloudFormationテンプレートを自動生成するスクリプトを作ってみ…

【AWS DevSecOps】既存の複数のセキュリティグループに一括で複数のルールを追加/削除できる方法

こんにちは!イーゴリです。 既存の複数のセキュリティグループに複数のルールを追加/削除する場合、手作業で行うと時間がかかるのと、オペミスなどが発生する可能性があるため、CSVファイルに必要なルールを入れてスクリプトを実行すると便利だと思い、下記…

AWSでどのSSL/TLS 証明書を選べばよい?ACM 証明書 / 外部証明書 (DV/OV/EV認証) / Let's Encrypt 証明書の違いについて

こんにちは!イーゴリです。 「どんな目的であってもあまり考えずにACM証明書を使えばよいのでは?」、「AWSで外部の証明書を使いたいが、3種類(DV/OV/EV)のどれを選べばいいか分からない」と思う方がいるかもれないので、AWSで使える証明書を紹介し、そ…

Terraformで管理するAWSリソースを手動で作り直してしまった場合 (terraform import)

こんにちは!イーゴリです。 今日はTerraformで管理するAWSリソースを手動で作り直してしまった場合の対策方法を紹介したいと思います。 背景 .tfファイル terraform planの結果 大まかな作業の流れ 手順 手動で削除されたAWSリソースを.tfstateから削除する…

【Amazon EBS】暗号化されていない既存EBSを暗号化する方法

こんにちは!イーゴリです。 今日はEC2の暗号化されていない既存のEBSを暗号化する方法を紹介します。 結論 作業の流れ 手順書 (任意)CMKが必要な場合、AWS KMSでキーを作成する 対象EC2のEBS スナップショットを取得する 非暗号化のEBSスナップショットか…

Amazon Inspector (もしくは Security Hub) 検出結果を Slack / E-mail に通知させる方法

こんにちは!イーゴリです。 今日はAmazon Inspector (もしくは Security Hub) の検出結果を Slack / E-mail に通知させる方法を紹介したいと思います。 構成図 Inspector Security Hub Inspectorの検出結果をSlack / E-mail に通知させる方法 Amazon Inspec…

AWS環境でオンプレミスDNSを使える方法 (Route 53 Resolver アウトバウンドエンドポイント)

こんにちは!イーゴリです。 今回の記事ではAWS環境で、DX/VPN経由でオンプレミス環境にあるDNSサーバーのDNSの名前解決をする方法をご紹介致します。 構成図 前提条件 アウトバウンドエンドポイント用のセキュリティグループの作成 Amazon Route 53 Resolve…

AWS Verified Access設計時の注意点

こんにちは!イーゴリです。 AWS Verified Access設計時の注意点を紹介したいと思います。 1つのエンドポイントに対して割り当て可能なポート番号が1つのみ 1つのアプリケーションドメインを複数のエンドポイントで共有することができない 正しい利用例 利用…

S3 Express One ZoneをS3 Standardと比較してみた

こんにちは!イーゴリです。 S3 Express One ZoneをS3 Standardと比較し、簡単な表にまとめましたので、参考にして頂ければと思います。 下記の表では、S3 Standardクラスが「中」(=◯まる)としたら、S3 Express One ZoneがS3 Standardクラスに対してどの…

EC2がどのElastic Load Balancerに関連付けられているか確認する方法(AWS CLI)

こんにちは!イーゴリです。 EC2がどのElastic Load Balancerに関連付けられているか確認する方法を紹介したいと思います。 ロードバランサータイプによって確認方法が異なりますので、下記のコマンドをご参考ください。 Application Load Balancer / Classi…

【AWS Verified Access】接続できない場合 (トラブルシューティング)

こんにちは!イーゴリです。 前回の記事では、AWS Verified Accessを紹介しましたが、AWS Verified Accessで接続できない場合この記事が役に立つかもしれないので、今まで見たエラー内容について説明します。 blog.serverworks.co.jp 403 Unauthorized エラ…

相互 TLS 認証でサーバーレス API にアクセスする方法 (AWS Private CA)

こんにちは!イーゴリです。 今日はAWS Private CAを使って、相互 TLS 認証 で サーバーレス API にアクセスする方法を紹介します。 構成図 ユースケース 前提条件 相互 TLS 認証なしの構成 Lambda の作成(すでにある場合はスキップ) API Gateway の構築 A…

AWS Systems Manager Fleet Manager で Windows の EBS ボリューム管理が容易になりました

こんにちは!イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった? 新規EBSボリュームをアタッチした後で、AWSから(=Windowsサーバーへログインせずに)ドライブレターの指定やボリュームのフォ…

Amazon CloudWatch Logs内の機密データをマスキングする方法 (CloudWatch Logs の機密データ保護機能)

こんにちは!イーゴリです。 環境によってAmazon CloudWatchLogs内に機密データが表示されることがありますので、Amazon CloudWatchLogs内で機密データをマスキングする機能を紹介します。 データ保護機能の設定前の動作確認 CloudWatch Logs の機密データ保…

【Amazon Route53】外部ドメインサービスで取得したドメインをRoute53に設定する方法

こんにちは!イーゴリです。 Route53を使う時はRoute53でドメインを購入したほうが便利ですが、場合によっては外部ドメインサービスで取得したドメインをRoute53に設定しないといけないパターンもありますので、今日は外部ドメインサービスで取得したドメイ…

【AWS Verified Access】VPN なしでAWS環境のアプリケーションに安全にアクセスできる方法 (Okta認証)

こんにちは!イーゴリです。 外部からAWSアカウントにあるプライベートなリソースにアクセスしたい場合、今まではAWS Client VPN/AWS Site-to-Site VPNを使うかDirect Connectを使う必要がありましたが、 AWS Verified Access (新サービス) を使うことでAWS…

AWS Managed Microsoft ADの管理用EC2インスタンスの簡単な設定方法

こんにちは!イーゴリです。 下記のアップデートによって、専用のEC2を作成しなくてもよくなったが、相乗りのEC2の場合はどうすればよいかについて紹介したいと思います。 下記のGUI版がありますが、一気に終わりたい場合、この記事をご参考頂ければと思いま…

デフォルトでAWS SSMを有効にする方法(Default Host Management Configuration)

こんにちは!イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…

EBS スナップショットのパブリック共有機能をブロックする方法

こんにちは!イーゴリです。 下記の記事でAMIのパブリック共有機能をブロックする方法を紹介した時に、注意点としてEBS スナップショットのパブリック共有機能のブロックは対象外と記載しました。 blog.serverworks.co.jp 下記のアップデートによりEBSスナッ…

【IAM ポリシー】 AWS Certificate Manager の条件キーで、証明書を制限出来るようになりました

こんにちは!イーゴリです。 今日は下記のAWSアップデートを紹介したいと思います。 aws.amazon.com 新しいコンテキストキーを使用して、ACM ユーザーが証明書発行パラメータをカスタマイズする方法を定義し、1) 特定の証明書の検証方法、2) ワイルドカード…

すべてのリージョンでAMIのパブリック共有機能を一括ブロックする方法【AWS CLI】

こんにちは!イーゴリです。 前回の記事では、AWSマネジメントコンソールでAMIのパブリック共有機能をブロックする方法をご紹介しましたが、AWSマネジメントコンソールでの設定方法だと、リージョンごとにAMIのパブリック共有機能をブロックする必要があるた…

AMIのパブリック共有機能をブロックする方法

こんにちは!イーゴリです。 下記のAWSアップデートが発表されたため、この記事では、AWSアカウントでAMIのパブリック共有機能をブロックする方法を試してみたいと思います。 aws.amazon.com UPD: AMI ブロックパブリックアクセスが2023年10月16日から全リー…

【AWS公式S3マウントする方法】Amazon S3をEC2インスタンスにマウントする(Mountpoint for Amazon S3)

こんにちは!イーゴリです。 前回の記事では、s3fsをご紹介しましたが、s3fsの使用はAWS非推奨ですので、今までEC2にS3マウントするAWS公式方法はありませんでした。 blog.serverworks.co.jp 質問. S3をEC2にマウントした時よりは、EFSの方が早いですか? 回…

【踏み台が不要!】 EC2 Instance Connect Endpointを使ってみた

こんにちは!イーゴリです。 踏み台サーバーなしでプライベートサブネットにあるEC2に接続できる方法をご紹介します。 なお、2024 年 2 月 1 日からAWSすべてのパブリック IPv4 アドレスの利用に対して 1 IP アドレスあたり 0.005 USD/時間 が課金されること…

ClientVPN経由でS3の静的Webサイトにアクセス設定方法

こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 前回の記事では、S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたが、この記…

S3 の静的Webサイトに特定の VPC からしかアクセスできなくする方法

こんにちは!イーゴリです。 Amazon S3 を使用して静的ウェブサイトをホスティングする(HTTPアクセス)機能はとても便利ですね。 S3のStatic Website Hostingに特定の VPC からしかアクセスできなくする方法について検証しましたので、 共有致します。 今回…

[Amazon RDS] スナップショットから復元する時に元のエンドポイント名を設定する方法

こんにちは!イーゴリです。 問題点 理由 対策方法 作業流れ 手順 RDSをアップグレードする場合、この方法もご検討ください! 問題点 RDSを復元したい時に同じエンドポイント名に設定したい場合、スナップショットから復元し、[DB 識別子]を既存RDSと同じ名…

【Amazon FSx for Windows File Server】注意!オンプレミスからデータ移行する時の考慮事項

こんにちは!イーゴリです。オンプレミスファイルサーバーからデータをAmazon FSx for Windows File Serverへ移行する考慮事項について記載したいと思います。 ストレージタイプ:SSD or HDD 移行期間中のストレージタイプ 運用中のストレージタイプ FSxのス…

【Robocopyでのデータ移行】Robocopyの速度が遅い場合、これを見るべき!

こんにちは!イーゴリです。Robocopyの速度が遅い場合、下記の設定を見るとRobocopyの速度の問題が改善されると思います。 タスクスケジューラのタスクの優先度を確認 リアルタイムスキャンで移行先を監視しているAntivirusがあるかを確認 移行元・移行先の…

Robocopyでコピー先のフォルダが非表示になる状態 (解決方法)

こんにちは!イーゴリです。 Robocopyでドライブごとにデータ移行を行う時に、フォルダのコピー処理は完了しましたが、コピー先のフォルダが見えない状態となっている場合、どうすればよいかと疑問に思う方は是非最後まで読んでください。 イメージ図 理由 …

Windowsでネットワーク帯域幅(SMBトラフィックなど)を制限する方法

こんにちは!イーゴリです。 例えば、Robocopyでオンプレミス環境からAWSや他の環境へデーターを移行する場合、帯域幅を制限しないとネットワークアダプターが一気にすべての帯域幅を利用してしまい、業務に影響が発生する可能性が高いので、Windowsでいくつ…

Amazon FSx for Windows File ServerのDNS エイリアスの設定についての注意点

こんにちは!イーゴリです。 Amazon FSx for Windows File Serverの構築後、対象サーバーにアタッチする時にamznfsxxfbiwerw.<ドメイン名>のようなファイルサーバーの名前になってしまいます。本日の記事では、DNS エイリアスを設定することで任意のサーバー…

【Windows Server EC2】インスタンス起動時にWindows Updateやファイアウォールなどを無効にする方法

こんにちは!イーゴリです。 私はいつも作業用のEC2を作成している時にWindows Updateやファイアウォールなどを無効にしたいので、手作業が増えないように下記のテンプレートを使っていますので、この記事で共有させていただきます。 要件: 日本時間(JST)…

Linuxサーバーに2段階認証(複数認証)でログインする方法(秘密鍵+パスワード)

こんにちは、イーゴリです! RHEL 7 (Red Hat Enterprise Linux 7)で2段階認証設定(秘密鍵+パスワード)をすると、WindowsのSSHソフト(TeraTermなど)でうまくログインできない事象が発生しています。ちなみに、LinuxやMacOSの場合、コマンドラインから普…

【Amazon Route 53】注意点:既存のDNSサブドメインを委任する

こんにちは!イーゴリです。 下記の記事では、DNSのサブドメインの委任する方法をご紹介しましたが、今回の記事では、既存サブドメインを別のAWSアカウントに移行されたい場合、注意点をご紹介したいと思います。 ※今回の例としてはAmazon Route 53となりま…

Amazon Route 53のレコードをバックアップする方法

こんにちは!イーゴリです。 本番環境のAmazon Route 53で大きな変更作業を行う時にバックアップを取得していますでしょうか。 もし作業がうまく行かなかった場合、切り戻し手順はありますでしょうか。 そういう時にAmazon Route 53のバックアップを取得して…

【Amazon Route 53】CLIで複数レコードを追加する方法

こんにちは!イーゴリです。 DNSに大量のレコードを追加したい時にスクリプト化したり、コマンドで複数のレコードを追加したりしたいですよね。 もちろん、AWSのCLIを使えば、Amazon Route 53 にリソースレコードセットを作成することができますが、大量DNS…