以前にIAM Access Analyzerを紹介する記事を書きましたが、今回はその発展編です。 blog.serverworks.co.jp 複数リージョンでIAM Access Analyzerを有効化 CloudFormationで設定する 検出時の通知メール スイッチロールについて このテンプレートの既知の問…
「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF…
re:Inventでは、「新しいサービスが発表されました!」というセッション以外にも、手を動かして学べるJamというコンテンツがあります。 話聞いているだけじゃつまらないですよね? 今回、 Jamの一つである AWS Security Jam – Presented by Datadog, Splunk,…
CloudTrailのログをS3に保存することがあります。 その検索にはAthenaが便利で、導入もマネージメントコンソールから簡単にできます。 しかし、マネージメントコンソールの指示にしたがって導入すると、検索速度やコストの面で問題が発生します。 これを解決…
QuickSightに日付データを正しく認識させる方法について確認しました。 データソースによって日付フォーマットが様々 QuickSightでデータを可視化したい時に、参照するデータソースに日付が入っていることが多いと思います。 ただ、データソースによって、1…
「今使っているサーバのOSってそろそろサポートが切れる?」 「え、じゃあ次にどれに乗り換えたらいいの?」 システムを運用していると、そのような検討が必要になることがよくあります。 そこで比較的互換性の高いRHEL・CentOS・Amazon LinuxのOSサポート期…
メンテナンスのため、一時的にWebサーバへのアクセスを止める必要が発生しました。 その時間帯は、いわゆる「メンテナンスページ」「Sorryページ」を表示させる必要があります。 ふと、 HTMLとかCSSで多少はデザインされたページを返したい と思いました。 …
ALBへのアクセスを日本国内からに限定したいということがあります。 AWS WAFに以下のルールを設定すれば簡単です。 Web ACLにルールを追加 Web ACLの設定画面で Add my own rules and rule groups を選択します。 Rule builderで設定を入れる Rule builderの…
2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…
AWS Systems Manager ディストリビューターは、インスタンスへソフトウェアを自動インストールする機能があります。 2020年8月のアップデートで、Trend MicroのDeep Securityエージェントもディストリビューターの対象になったので、早速試してみました。 AW…
2020年7月28日にAmazon Fraud Detectorが一般公開されました。 機械学習の知識が無くても、簡単に不正検知をできるサービスです。 Detect fraud faster using machine learning with Amazon Fraud Detector – now generally available Amazon Fraud Detector…
出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正…
2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…
2020年6月25日のAWS CodeBuildのアップデートです。 AWS CodeBuildが追加のシェル環境をサポートするようになりました。 AWS CodeBuild Now Supports Additional Shell Environments AWS CodeBuildを利用すると、ビルド用コンテナが作成され、その中でShell…
2020年6月16日のアップデートです。 AWS AppConfig がホストされた構成のリリースを発表 なお、AWS AppConfigは2019年11月に発表されたサービスであり、AWS Systems Managersの一部でもあります。 AWS は、AWS AppConfig でホストされる構成の立ち上げを発表…
某クラウドで動いていたMySQLをAmazon RDSに移行する案件を担当しました。 その際にとった方法について紹介します。 データベース移行条件 案件開始時に以下の条件が与えられました。 移行元のMySQLのバージョンは5.1 移行対象データベースのストレージエン…
2020年6月9日にAWS Shield Advancedのアップデートがありました。 AWS Shield Advanced がイベントへのプロアクティブな対応のサポートを開始 といっても、ほとんどのAWSユーザーがAWS Shield Advancedを使ったことがないと思います。 本記事では、AWS Shiel…
AWSにはSecurity Hubというコンプライアンスチェックをしてくれるサービスがあります。 「AWS基礎セキュリティのベストプラクティス」のチェック項目の1つに 「CloudTrailでは、保管時の暗号化を有効にします」というのがあります。 しかし、私のAWSアカウン…
日本国内の通信と異なり、日中間の通信は不安定です。 中国関連の業務をされている方の多くは、この回線問題に悩まされていると思います。 インターネットを利用している限りは、これらの根本的な解決はできないと言えるでしょう。 さて、インターネットがダ…
2020年6月3日のアップデートでDirect Connectのフェイルオーバーテストが可能になりました。 AWSとオンプレミスの接続をする時にはDirect Connectが用いられますが、障害対策として、2本の接続を利用することもよくあります。 1本で障害が起きても、もう1本…
2020年に5月27日のアップデートでNetwork Load Balancer(以下、NLB)でTLS ALPNが利用できるようになりました。 Network Load Balancer が TLS ALPN ポリシーのサポートを開始 TLS ALPN についての説明は後述しますが、要するにNLBがHTTP/2に対応したというこ…
表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました!の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…
2020年5月13日のアップデート AWS中国(寧夏)リージョンで利用可能になりました。 Amazon Route 53 is now available in AWS China (Ningxia) Region, Operated by NWCD Route 53は基本的なサービスであり、中国に今までなかったのかと驚くかもしれませんが…
2020年5月8日のアップデートで、AWS Service Catalogのサービスアクションでパラメーターサポートが利用可能になりました。 Parameter support is now available with service actions in AWS Service Catalog しかし、Service Catalogのサービスアクション…
1.AWS Systems Managerインベントリ とは AWS Systems Managerには多くの機能がありますが、その中の一つにインベントリがあります。 これはEC2インスタンス、またはオンプレミスのコンピュータの中にどのようなソフトウェアがインストールされているか、何…
AWSのセキュリティ機能の一つであるIAM Access Analyzerを使ってみました。 1.IAM Access Analyzer とは AWSアカウント内のリソースにアタッチされているポリシーをチェックし、信頼ゾーンの外部からアクセスされる可能性の有無を教えてくれるサービスです。…
2020年4月21日のアップデートです。 Amazon GuardDuty simplifies multi-account threat detection with support for AWS Organizations Amazon GuardDutyはAWS組織のサポートを追加して、組織内のすべての既存および将来のアカウントにわたる脅威の検出を簡…
最近は1つの法人で複数AWSアカウント利用するケースが増えてきました。 AWS Configのようなサービスを有効化する場合、「リージョン数 × アカウント数」の設定が必要になります。 CloudFormationでコード化したとしても、「リージョン数 × アカウント数」を…
2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW(新規)、NOTIFIED(通知済み)、 SUPPRESSED(抑制済み)、RESOLVED(解決済み)の4つのステータスのいずれか…
サーバーワークス社内でAWS Organizationsの勉強会をしましたので、資料を共有します。 まだまだ私も勉強中ですが、参考になれば幸いです。 AWS Organizations from Serverworks Co.,Ltd.
EC2インスタンスの監視について改めて考えてみました。 死活監視だけでも、「状態」 「ステータス」 「リタイア」 の3種類が必要な気がします。 「状態」と「ステータス」は同じような言葉なので紛らわしいのですが、この画像の通りのものです。 「リタイア…
EC2インスタンスのLoadAverageをCloudWatchでグラフ化しようとして諦めた方はいますか。 CloudWatch単体ではできませんが、collectdと連携すると可能になります。 1. 前提 CloudWatchはEC2インスタンスのメトリクスを、どこかから収集する必要があります。 1…
AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…
AWSの数多くあるサービスの中の1つとして、AWS Service Catalogというものがあります。 これは何に使えるのでしょうか? モデルケースを考え、設定・利用方法を確認しました。 AWS Service Catalogとは AWS Service Catalog では、AWS での使用が承認された …
AWS Single Sign-On(SSO)を使って、AWS Organizationsに含まれるAWSアカウントへのシングルサインオンをできるようにしてみました。 AWS Single Sign-On(SSO)とは AWS Single Sign-On (SSO) により複数の AWS アカウントとビジネスアプリケーションへの…
御社のAWSアカウントは何個ありますか。 サービス単位、部門単位などでアカウントを分けているのをよく見かけます。 IT管理者はそれらの複数アカウントに対し、ある程度の統制・監視をする必要があります。 マルチアカウントを一つの組織という単位にまとめ…
Transit GatewayとDirect Connectを組み合わせた構成の案件が増えてきました。 更にそのような場合はAWSアカウントが複数ある場合が多いということもわかってきました。 そこで2020年2月に作るならこんな感じになるよねっていう構成を書いてみました。 構成…
CloudWatchにはダッシュボード作成機能があります。 しかし、これを作り込むのはなかなか大変です。 「すぐに簡単に使いたい」という方のために、クロスサービスダッシュボードというものがあります。 クロスサービスダッシュボードとは 自動ダッシュボード…
Gremlinというカオスエンジニアリングサービスを使ってみました。 Gremlinの概要 公式ドキュメントの説明 Turn failure into resilience. Gremlin provides you with the framework to safely, securely, and simply simulate real outages with an ever-gro…
EC2インスタンスからメールを送信したいという要望は時々出てきます。 AWSのメール送信サービスには、SES(Simple Email Service)があります。 SESでメール送信するには、「1.AWSのAPIを利用する」「2.SMTPインターフェースを利用する」の2通りがあります。 …
CloudWatch Syntheticsは任意の監視スクリプトを実行できるマネージドサービスです。 「任意の」と言っても0からスクリプトを作成するのはハードルが高いので、テンプレートが4つ用意されています。 前回までの記事では、ハートビートのモニタリングを使っ…
前回の記事(CloudWatch SyntheticsでHTTP監視をする)でHTTPの外形監視ができました。 その続きとして、障害検知した時にメール通知するようにしたいと思います。 AWS歴の長い人なら、CloudWatch Alarmと連携させてSNS通知という方法を推測すると思います。…
気がついたらCloudWatchファミリーにSyntheticsという仲間が追加されていました。 そして日本リージョンでも使えるようになっていました。 Amazon CloudWatch Synthetics が新たに 13 のリージョンで利用可能に 1.CloudWatch Syntheticsって何ですか? Synth…
データベースの文脈でコネクションプールという用語は昔から聞くのですが、私はあまり理解できていませんでした。 アプリケーションサーバの代表的な実装の一つであるRuby on Railsで実験し、理解を深めてみました。 検証環境の構築 今回は1台のEC2インスタ…
Amazon Linux 2 に Ruby on Rails 6 の環境を構築してみました。 軽い気持ちでやったのですが、想像以上にハマりどころが多かったです。 今回の構築方針は以下の通りです。 rbenvなどのRuby環境の管理ツールは使わない 関連ツール類は、なるべくAWSのリポジ…
AWS Backupには、EC2インスタンスのバックアップを他のリージョンにとる機能があります。 他のリージョンにバックアップがあれば、普段利用しているリージョンの障害時に、他のリージョンでサービスを再開することができます。 いわゆるDR(Disaster Recover…
Zone Apexというのは、example.comのようなドメイン名です。 ドメイン名の先頭にwwwやblogなど何もつかず、裸のドメイン名なので、Naked Domainと呼ばれたりもします。 ALBでZone Apexのドメインを使う場合、一般的にDNSサーバはRoute 53を使う必要がありま…
AWSは世界各地にリージョンを持ち、その中にアベイラビリティゾーン(AZ)が複数あります。 AZはデータセンターに相当する概念です。 複数のAZを上手く利用すれば、データセンターの電源障害や大地震が起きた時にも別のAZが生き残っているから安心です。 各リ…
皆さんはap-northeast-1aを使っていらっしゃいますか。 使ってますよね。 私のap-northeast-1aとあなたのap-northeast-1aは本当は違うAZかもしれない。 そんなこと聞いたことありませんか。 自分のAZがなんであるのかはRAMで確認できます。 自分のアカウント…
EC2インスタンス作成時に状況に応じて、異なるUserDataを実行したいことがあります。 例えば、CloudFormationのパラメータでインストールするPHPのバージョンを切り替えたいとします。 # デフォルトバージョンをインストール yum install -y php yum install…