Athenaのパーティションプロジェクションを利用してCloudTrailのログ検索をする

CloudTrailのログをS3に保存することがあります。 その検索にはAthenaが便利で、導入もマネージメントコンソールから簡単にできます。 しかし、マネージメントコンソールの指示にしたがって導入すると、検索速度やコストの面で問題が発生します。 これを解決…

QuickSightで日にちと時刻を1つのDateフィールドにまとめる

QuickSightに日付データを正しく認識させる方法について確認しました。 データソースによって日付フォーマットが様々 QuickSightでデータを可視化したい時に、参照するデータソースに日付が入っていることが多いと思います。 ただ、データソースによって、1…

RHEL・CentOS・Amazon Linux のサポート期間

「今使っているサーバのOSってそろそろサポートが切れる?」 「え、じゃあ次にどれに乗り換えたらいいの?」 システムを運用していると、そのような検討が必要になることがよくあります。 そこで比較的互換性の高いRHEL・CentOS・Amazon LinuxのOSサポート期…

ALBの固定レスポンスには最大1024文字のHTML・CSSを含められる

AWS

メンテナンスのため、一時的にWebサーバへのアクセスを止める必要が発生しました。 その時間帯は、いわゆる「メンテナンスページ」「Sorryページ」を表示させる必要があります。 ふと、 HTMLとかCSSで多少はデザインされたページを返したい と思いました。 …

AWS WAFで日本国外からのアクセスをブロックする

ALBへのアクセスを日本国内からに限定したいということがあります。 AWS WAFに以下のルールを設定すれば簡単です。 Web ACLにルールを追加 Web ACLの設定画面で Add my own rules and rule groups を選択します。 Rule builderで設定を入れる Rule builderの…

ALBとCLBに追加されたDesync Mitigation Mode の動作を確認

2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…

AWS Systems Manager ディストリビューターで、Deep Securityエージェントを自動セットアップ

AWS Systems Manager ディストリビューターは、インスタンスへソフトウェアを自動インストールする機能があります。 2020年8月のアップデートで、Trend MicroのDeep Securityエージェントもディストリビューターの対象になったので、早速試してみました。 AW…

Amazon Fraud Detectorが一般公開されました

2020年7月28日にAmazon Fraud Detectorが一般公開されました。 機械学習の知識が無くても、簡単に不正検知をできるサービスです。 Detect fraud faster using machine learning with Amazon Fraud Detector – now generally available Amazon Fraud Detector…

ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)に合格してきた

出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正…

AWS WAF セキュリティーオートメーションがWAFv2で利用できるようになりました

2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…

AWS CodeBuildでビルド実行時に使うShellの指定ができるようになりました

2020年6月25日のAWS CodeBuildのアップデートです。 AWS CodeBuildが追加のシェル環境をサポートするようになりました。 AWS CodeBuild Now Supports Additional Shell Environments AWS CodeBuildを利用すると、ビルド用コンテナが作成され、その中でShell…

AWS AppConfig でホストされた構成が利用可能になりました

2020年6月16日のアップデートです。 AWS AppConfig がホストされた構成のリリースを発表 なお、AWS AppConfigは2019年11月に発表されたサービスであり、AWS Systems Managersの一部でもあります。 AWS は、AWS AppConfig でホストされる構成の立ち上げを発表…

MySQL5.1のデータベースをRDS for MySQLへ移行

RDS

某クラウドで動いていたMySQLをAmazon RDSに移行する案件を担当しました。 その際にとった方法について紹介します。 データベース移行条件 案件開始時に以下の条件が与えられました。 移行元のMySQLのバージョンは5.1 移行対象データベースのストレージエン…

AWS Shield Advanced で攻撃検出時にDRTから連絡が来るようになりました

AWS

2020年6月9日にAWS Shield Advancedのアップデートがありました。 AWS Shield Advanced がイベントへのプロアクティブな対応のサポートを開始 といっても、ほとんどのAWSユーザーがAWS Shield Advancedを使ったことがないと思います。 本記事では、AWS Shiel…

CloudTrailの証跡ログをSSE-KMS暗号化に変更する

AWS

AWSにはSecurity Hubというコンプライアンスチェックをしてくれるサービスがあります。 「AWS基礎セキュリティのベストプラクティス」のチェック項目の1つに 「CloudTrailでは、保管時の暗号化を有効にします」というのがあります。 しかし、私のAWSアカウン…

日中回線でお悩みの方へ 〜 チャイナ・モバイル・インターナショナルのCloud Connectを紹介

日本国内の通信と異なり、日中間の通信は不安定です。 中国関連の業務をされている方の多くは、この回線問題に悩まされていると思います。 インターネットを利用している限りは、これらの根本的な解決はできないと言えるでしょう。 さて、インターネットがダ…

AWS Direct Connectでフェイルオーバーテストできるようになりました

2020年6月3日のアップデートでDirect Connectのフェイルオーバーテストが可能になりました。 AWSとオンプレミスの接続をする時にはDirect Connectが用いられますが、障害対策として、2本の接続を利用することもよくあります。 1本で障害が起きても、もう1本…

Network Load BalancerがTLS ALPNに対応しました

AWS

2020年に5月27日のアップデートでNetwork Load Balancer(以下、NLB)でTLS ALPNが利用できるようになりました。 Network Load Balancer が TLS ALPN ポリシーのサポートを開始 TLS ALPN についての説明は後述しますが、要するにNLBがHTTP/2に対応したというこ…

Security HubのイベントをAWS ChatbotでSlackへ通知

表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました!の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…

Route 53がAWS中国(寧夏)リージョンで利用可能になりました

AWS

2020年5月13日のアップデート AWS中国(寧夏)リージョンで利用可能になりました。 Amazon Route 53 is now available in AWS China (Ningxia) Region, Operated by NWCD Route 53は基本的なサービスであり、中国に今までなかったのかと驚くかもしれませんが…

Service Catalogにアクションを追加する

AWS

2020年5月8日のアップデートで、AWS Service Catalogのサービスアクションでパラメーターサポートが利用可能になりました。 Parameter support is now available with service actions in AWS Service Catalog しかし、Service Catalogのサービスアクション…

Systems Manager インベントリをCloudFormationでセットアップする

1.AWS Systems Managerインベントリ とは AWS Systems Managerには多くの機能がありますが、その中の一つにインベントリがあります。 これはEC2インスタンス、またはオンプレミスのコンピュータの中にどのようなソフトウェアがインストールされているか、何…

IAM Access Analyzerで外部アクセスポリシーを検出しよう

AWS

AWSのセキュリティ機能の一つであるIAM Access Analyzerを使ってみました。 1.IAM Access Analyzer とは AWSアカウント内のリソースにアタッチされているポリシーをチェックし、信頼ゾーンの外部からアクセスされる可能性の有無を教えてくれるサービスです。…

GuardDutyのマルチアカウント設定がAWS Organizationsで少し簡単になりました

2020年4月21日のアップデートです。 Amazon GuardDuty simplifies multi-account threat detection with support for AWS Organizations Amazon GuardDutyはAWS組織のサポートを追加して、組織内のすべての既存および将来のアカウントにわたる脅威の検出を簡…

Organization内のAWS ConfigをCloudFormation StackSetsで一気に設定する

最近は1つの法人で複数AWSアカウント利用するケースが増えてきました。 AWS Configのようなサービスを有効化する場合、「リージョン数 × アカウント数」の設定が必要になります。 CloudFormationでコード化したとしても、「リージョン数 × アカウント数」を…

Security Hubのワークフローステータスで検出結果を運用しよう

2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW(新規)、NOTIFIED(通知済み)、 SUPPRESSED(抑制済み)、RESOLVED(解決済み)の4つのステータスのいずれか…

AWS Organizationsの社内勉強会をしました

サーバーワークス社内でAWS Organizationsの勉強会をしましたので、資料を共有します。 まだまだ私も勉強中ですが、参考になれば幸いです。 AWS Organizations from Serverworks Co.,Ltd.

EC2インスタンスの3つの死活監視

EC2

EC2インスタンスの監視について改めて考えてみました。 死活監視だけでも、「状態」 「ステータス」 「リタイア」 の3種類が必要な気がします。 「状態」と「ステータス」は同じような言葉なので紛らわしいのですが、この画像の通りのものです。 「リタイア…

CloudWatchとcollectdでLoadAverageのグラフを作成する

AWS

EC2インスタンスのLoadAverageをCloudWatchでグラフ化しようとして諦めた方はいますか。 CloudWatch単体ではできませんが、collectdと連携すると可能になります。 1. 前提 CloudWatchはEC2インスタンスのメトリクスを、どこかから収集する必要があります。 1…

Amazon Inspectorの評価結果をS3に集約する

AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…

AWS Service Catalogで制御された自由を

AWS

AWSの数多くあるサービスの中の1つとして、AWS Service Catalogというものがあります。 これは何に使えるのでしょうか? モデルケースを考え、設定・利用方法を確認しました。 AWS Service Catalogとは AWS Service Catalog では、AWS での使用が承認された …

AWS Single Sign-On(SSO)でAWSアカウントへシングルサインオン

AWS

AWS Single Sign-On(SSO)を使って、AWS Organizationsに含まれるAWSアカウントへのシングルサインオンをできるようにしてみました。 AWS Single Sign-On(SSO)とは AWS Single Sign-On (SSO) により複数の AWS アカウントとビジネスアプリケーションへの…

OrganizationsでCloudTrailの証跡を一元管理

御社のAWSアカウントは何個ありますか。 サービス単位、部門単位などでアカウントを分けているのをよく見かけます。 IT管理者はそれらの複数アカウントに対し、ある程度の統制・監視をする必要があります。 マルチアカウントを一つの組織という単位にまとめ…

Transit GatewayとDirect Connectの併用構成

Transit GatewayとDirect Connectを組み合わせた構成の案件が増えてきました。 更にそのような場合はAWSアカウントが複数ある場合が多いということもわかってきました。 そこで2020年2月に作るならこんな感じになるよねっていう構成を書いてみました。 構成…

CloudWatchのクロスサービスダッシュボードをリソースグループで見やすくする

AWS

CloudWatchにはダッシュボード作成機能があります。 しかし、これを作り込むのはなかなか大変です。 「すぐに簡単に使いたい」という方のために、クロスサービスダッシュボードというものがあります。 クロスサービスダッシュボードとは 自動ダッシュボード…

Gremlinを使ってCPU負荷を注入する

Gremlinというカオスエンジニアリングサービスを使ってみました。 Gremlinの概要 公式ドキュメントの説明 Turn failure into resilience. Gremlin provides you with the framework to safely, securely, and simply simulate real outages with an ever-gro…

SESのSMTPインターフェースでメール送信

AWS

EC2インスタンスからメールを送信したいという要望は時々出てきます。 AWSのメール送信サービスには、SES(Simple Email Service)があります。 SESでメール送信するには、「1.AWSのAPIを利用する」「2.SMTPインターフェースを利用する」の2通りがあります。 …

CloudWatch Syntheticsのリンク切れチェッカーを使ってみた

AWS

CloudWatch Syntheticsは任意の監視スクリプトを実行できるマネージドサービスです。 「任意の」と言っても0からスクリプトを作成するのはハードルが高いので、テンプレートが4つ用意されています。 前回までの記事では、ハートビートのモニタリングを使っ…

CloudWatch Syntheticsのアラートをメール通知する

AWS

前回の記事(CloudWatch SyntheticsでHTTP監視をする)でHTTPの外形監視ができました。 その続きとして、障害検知した時にメール通知するようにしたいと思います。 AWS歴の長い人なら、CloudWatch Alarmと連携させてSNS通知という方法を推測すると思います。…

CloudWatch SyntheticsでHTTP監視をする

AWS

気がついたらCloudWatchファミリーにSyntheticsという仲間が追加されていました。 そして日本リージョンでも使えるようになっていました。 Amazon CloudWatch Synthetics が新たに 13 のリージョンで利用可能に 1.CloudWatch Syntheticsって何ですか? Synth…

Railsを動かして理解するDBコネクションプール

データベースの文脈でコネクションプールという用語は昔から聞くのですが、私はあまり理解できていませんでした。 アプリケーションサーバの代表的な実装の一つであるRuby on Railsで実験し、理解を深めてみました。 検証環境の構築 今回は1台のEC2インスタ…

Ruby on Rails 6をAmazon Linux 2で動かす

Amazon Linux 2 に Ruby on Rails 6 の環境を構築してみました。 軽い気持ちでやったのですが、想像以上にハマりどころが多かったです。 今回の構築方針は以下の通りです。 rbenvなどのRuby環境の管理ツールは使わない 関連ツール類は、なるべくAWSのリポジ…

AWS BackupでEC2のバックアップを別リージョンにとる

AWS

AWS Backupには、EC2インスタンスのバックアップを他のリージョンにとる機能があります。 他のリージョンにバックアップがあれば、普段利用しているリージョンの障害時に、他のリージョンでサービスを再開することができます。 いわゆるDR(Disaster Recover…

Global AcceleratorでZone Apexを乗り越える

Zone Apexというのは、example.comのようなドメイン名です。 ドメイン名の先頭にwwwやblogなど何もつかず、裸のドメイン名なので、Naked Domainと呼ばれたりもします。 ALBでZone Apexのドメインを使う場合、一般的にDNSサーバはRoute 53を使う必要がありま…

AZが1つ、または2つのリージョン達

AWS

AWSは世界各地にリージョンを持ち、その中にアベイラビリティゾーン(AZ)が複数あります。 AZはデータセンターに相当する概念です。 複数のAZを上手く利用すれば、データセンターの電源障害や大地震が起きた時にも別のAZが生き残っているから安心です。 各リ…

旧AZ(apne1-az3)でできないこと

AWS

皆さんはap-northeast-1aを使っていらっしゃいますか。 使ってますよね。 私のap-northeast-1aとあなたのap-northeast-1aは本当は違うAZかもしれない。 そんなこと聞いたことありませんか。 自分のAZがなんであるのかはRAMで確認できます。 自分のアカウント…

CloudFormationでパラメータごとにEC2インスタンスのUserDataを切り替える

AWS

EC2インスタンス作成時に状況に応じて、異なるUserDataを実行したいことがあります。 例えば、CloudFormationのパラメータでインストールするPHPのバージョンを切り替えたいとします。 # デフォルトバージョンをインストール yum install -y php yum install…

AWS認定を中国語で受験してきた

AWSのクラウドプラクティショナー認定試験は、日本語・英語・中国語・韓国語で受験可能です。 私は日本人なのですが、中国語を勉強中のため、中国語受験してみました。 受験申し込み Chinese Mandarin Simplifiedを選択しましょう! 模擬試験 本番受験前に模…

DSaaSのライセンス超過時の動作を確認した

Trend MicroのDSaaS(Deep Security as a Service)で消費ライセンスをカウント方法が気になったので検証してみました。 検証環境 5台分のライセンスがあり、コンピュータ5台を保護対象し、すでにライセンスを使い切っている状態です。 ちなみにトライアルライ…

AWS WAF セキュリティオートメーションソリューション2.2.0

AWS WAF セキュリティオートメーションソリューションという簡単にAWS WAFを導入できるCloudFormationテンプレートがありますが、気がついたらバージョンアップしてました。 調べてみると、確かに日本語でも情報でていますね。 AWS WAF セキュリティオートメ…