最近は1つの法人で複数AWSアカウント利用するケースが増えてきました。 AWS Configのようなサービスを有効化する場合、「リージョン数 × アカウント数」の設定が必要になります。 CloudFormationでコード化したとしても、「リージョン数 × アカウント数」を…

2020年4月16日、Security Hubにワークフローステータスという新しい機能が追加されました。 この機能により、Security Hubの検出結果に対し、NEW（新規）、NOTIFIED（通知済み）、 SUPPRESSED（抑制済み）、RESOLVED（解決済み）の4つのステータスのいずれか…

サーバーワークス社内でAWS Organizationsの勉強会をしましたので、資料を共有します。 まだまだ私も勉強中ですが、参考になれば幸いです。 AWS Organizations from Serverworks Co.,Ltd.

EC2インスタンスの監視について改めて考えてみました。 死活監視だけでも、「状態」 「ステータス」 「リタイア」 の3種類が必要な気がします。 「状態」と「ステータス」は同じような言葉なので紛らわしいのですが、この画像の通りのものです。 「リタイア…

EC2インスタンスのLoadAverageをCloudWatchでグラフ化しようとして諦めた方はいますか。 CloudWatch単体ではできませんが、collectdと連携すると可能になります。 1. 前提 CloudWatchはEC2インスタンスのメトリクスを、どこかから収集する必要があります。 1…

AWSの様々なサービスでは、ログをS3バケットに保管できる仕様になっています。 しかし、残念なことにAmazon InspectorにはS3バケットへの出力機能がありません。 今回は、マルチアカウント・マルチリージョン環境でのInspectorの検知結果を、どのように1つの…

AWSの数多くあるサービスの中の1つとして、AWS Service Catalogというものがあります。 これは何に使えるのでしょうか？ モデルケースを考え、設定・利用方法を確認しました。 AWS Service Catalogとは AWS Service Catalog では、AWS での使用が承認された …

AWS Single Sign-On（SSO）を使って、AWS Organizationsに含まれるAWSアカウントへのシングルサインオンをできるようにしてみました。 AWS Single Sign-On（SSO）とは AWS Single Sign-On (SSO) により複数の AWS アカウントとビジネスアプリケーションへの…

御社のAWSアカウントは何個ありますか。 サービス単位、部門単位などでアカウントを分けているのをよく見かけます。 IT管理者はそれらの複数アカウントに対し、ある程度の統制・監視をする必要があります。 マルチアカウントを一つの組織という単位にまとめ…

Transit GatewayとDirect Connectを組み合わせた構成の案件が増えてきました。 更にそのような場合はAWSアカウントが複数ある場合が多いということもわかってきました。 そこで2020年2月に作るならこんな感じになるよねっていう構成を書いてみました。 構成…

CloudWatchにはダッシュボード作成機能があります。 しかし、これを作り込むのはなかなか大変です。 「すぐに簡単に使いたい」という方のために、クロスサービスダッシュボードというものがあります。 クロスサービスダッシュボードとは 自動ダッシュボード…

Gremlinというカオスエンジニアリングサービスを使ってみました。 Gremlinの概要 公式ドキュメントの説明 Turn failure into resilience. Gremlin provides you with the framework to safely, securely, and simply simulate real outages with an ever-gro…

EC2インスタンスからメールを送信したいという要望は時々出てきます。 AWSのメール送信サービスには、SES(Simple Email Service)があります。 SESでメール送信するには、「AWSのAPIを利用する」 「SMTPインターフェースを利用する」の２通りがありますが、今…

CloudWatch Syntheticsは任意の監視スクリプトを実行できるマネージドサービスです。 「任意の」と言っても０からスクリプトを作成するのはハードルが高いので、テンプレートが4つ用意されています。 前回までの記事では、ハートビートのモニタリングを使っ…

前回の記事（CloudWatch SyntheticsでHTTP監視をする）でHTTPの外形監視ができました。 その続きとして、障害検知した時にメール通知するようにしたいと思います。 AWS歴の長い人なら、CloudWatch Alarmと連携させてSNS通知という方法を推測すると思います。…

気がついたらCloudWatchファミリーにSyntheticsという仲間が追加されていました。 そして日本リージョンでも使えるようになっていました。 Amazon CloudWatch Synthetics が新たに 13 のリージョンで利用可能に 1.CloudWatch Syntheticsって何ですか？ Synth…

データベースの文脈でコネクションプールという用語は昔から聞くのですが、私はあまり理解できていませんでした。 アプリケーションサーバの代表的な実装の一つであるRuby on Railsで実験し、理解を深めてみました。 検証環境の構築 今回は１台のEC2インスタ…

Amazon Linux 2 に Ruby on Rails 6 の環境を構築してみました。 軽い気持ちでやったのですが、想像以上にハマりどころが多かったです。 今回の構築方針は以下の通りです。 rbenvなどのRuby環境の管理ツールは使わない 関連ツール類は、なるべくAWSのリポジ…

AWS Backupには、EC2インスタンスのバックアップを他のリージョンにとる機能があります。 他のリージョンにバックアップがあれば、普段利用しているリージョンの障害時に、他のリージョンでサービスを再開することができます。 いわゆるDR（Disaster Recover…

Zone Apexというのは、example.comのようなドメイン名です。 ドメイン名の先頭にwwwやblogなど何もつかず、裸のドメイン名なので、Naked Domainと呼ばれたりもします。 ALBでZone Apexのドメインを使う場合、一般的にDNSサーバはRoute 53を使う必要がありま…

AWSは世界各地にリージョンを持ち、その中にアベイラビリティゾーン(AZ)が複数あります。 AZはデータセンターに相当する概念です。 複数のAZを上手く利用すれば、データセンターの電源障害や大地震が起きた時にも別のAZが生き残っているから安心です。 各リ…

皆さんはap-northeast-1aを使っていらっしゃいますか。 使ってますよね。 私のap-northeast-1aとあなたのap-northeast-1aは本当は違うAZかもしれない。 そんなこと聞いたことありませんか。 自分のAZがなんであるのかはRAMで確認できます。 自分のアカウント…

EC2インスタンス作成時に状況に応じて、異なるUserDataを実行したいことがあります。 例えば、CloudFormationのパラメータでインストールするPHPのバージョンを切り替えたいとします。 # デフォルトバージョンをインストール yum install -y php yum install…

AWSのクラウドプラクティショナー認定試験は、日本語・英語・中国語・韓国語で受験可能です。 私は日本人なのですが、中国語を勉強中のため、中国語受験してみました。 受験申し込み Chinese Mandarin Simplifiedを選択しましょう！ 模擬試験 本番受験前に模…

Trend MicroのDSaaS(Deep Security as a Service)で消費ライセンスをカウント方法が気になったので検証してみました。 検証環境 5台分のライセンスがあり、コンピュータ5台を保護対象し、すでにライセンスを使い切っている状態です。 ちなみにトライアルライ…

AWS WAF セキュリティオートメーションソリューションという簡単にAWS WAFを導入できるCloudFormationテンプレートがありますが、気がついたらバージョンアップしてました。 調べてみると、確かに日本語でも情報でていますね。 AWS WAF セキュリティオートメ…

技術4課の渡辺です。 社内でWAF勉強会を行ったので、その時の資料を公開します。 私の最近の担当した案件を元にしていますので、AWS WAFとImperva Incapsulaを例にしています。 資料 20190124 waf from Serverworks Co.,Ltd.

渡辺です。 S3バケットにあるファイルをメールで毎月1回送信すべしというお仕事が発生しました。 パッと思いついた実装方法は以下となります。 CloudWatch Events ルールのスケジュール式 で毎月1回Lambda Function を動かす。 Lambda Functionの実装 S3バケ…

はじめに 2018年11月にAWS Transit Gatewayが登場しました。 これは複数のVPCを接続するHUBとなるサービスです。 一方、Alibaba CloudではCEN(Cloud Enterprise Network)という同様のサービスが既にあります。 まず、両サービスの構成図を比較してみましょう…

渡辺です。 CloudEndureは、ライセンス費用が移行1台単位でかかり、テストライセンスもありません。 ライセンス購入前にテストができないため、事前に挙動が理解しにくいところがあります。 本記事ではCloudEndure移行作業時のスクリーンショットを貼り付け…

渡辺です。 少し前になりますが、2018年8月末に一部WAF界隈で衝撃が走りました。 AWS WAFは全てのセッションのログが取得できなかったのですが、それが可能になったというニュースです。 AWS WAF の包括的なログ記録機能が新たに利用可能に ログの取得方法は…

渡辺です。 EBSボリュームにタグをつけるスクリプトを作成しました。 仕様 コマンドライン引数にEC2のインスタンスIDを取る(複数可) EC2インスタンスのタグをそのままアタッチされているEBSボリュームにつける EBSボリュームが複数ある時は全てのEBSボリュー…

技術4課の渡辺です。 最近、OracleデータベースをRDS for Oracleへ移行する案件を担当することが増えてきました。 そこで「パラメータ何にしましょう？」という話になり、「RDSのデフォルト値ってどうなってるの？」となることが多くあります。 調査対象 DB…

福岡オフィスの渡辺です。 データベースソフトは数多くありますが、私は今までOracle Databaseを使う経験はありませんでした。 そんな新米Oraclerの私がAmazon RDS for Oracle Database にEC2から接続してみます。 各データベースソフトは、データベースに接…

福岡オフィスの渡辺です。 今回はDSaaSを使ったファイルの改ざん検知方法を紹介します。 これを行うと、「不正侵入やミスオペレーションで、大事なファイルが改ざんされてしまった〜（涙）」と言った場合に検知できるようになります。 1.はじめに DSaaS(Deep…

はじめに Windowsログオン時の多要素認証を可能にするシステムの一つにPassLogicという製品があります。PassLogicを使うためには、PassLogicサーバが必要なのですが、このサーバは他のマシンと連携する必要があります。本記事では、PassLogicサーバを構築す…

はじめに ゴールデンウィークに中国の青島に旅行に行って来ました。 青島ビールで有名な青島です。 いくらかIT的な観点で紹介してみたいと思います。 青島の街。少し霧がある。 青島の海。美しい。 青島の山。市の中心から地下鉄で1時間くらいのところです。…

今回はWindowsのフォルダにあるファイルを定期的にs3バケットに同期させる方法について書きます。 ベタな内容とは思いますが、日頃はMacやLinuxな方には新鮮な内容かもしれません。 前提とする環境 s3バケットは作成済み Windows Server 2012以降 Windows上…

福岡オフィス勤務の渡辺です。 今回はAWSの監査サービスであるCloudTrailの基本的な見方を説明していきます。 CloudTrailはデフォルト有効なため、すぐに使えます。 とはいえ、実は見たことなかったという方も多いのでは無いでしょうか。 CloudTrailとは AWS…

この記事はCloud Automator Advent Calendar 2017の24日目です。 技術４課の渡辺です。VMware へ入社して3ヶ月ほど経ちました。入社してから、Cloud Automatorをブラウザで使うようになりましたが、まだCLI操作はしたことがありません。 そんな私がCloud Aut…

AWS Certificate Manager (ACM) で証明書を発行するには、今まではメールを使ったドメイン認証をする必要がありました。2017年11月にアップデートがあり、DNSを使ったドメイン認証が可能になりました。 サイトの証明書を発行する前に、お客様がドメイン名の…

今回の検証内容 前回の静的ルーティング編では、AWSのVGW(仮想プライベートゲートウェイ)とCradlepoint社のルータIBR900を静的ルーティングでVPN接続を検証しました。 今回は動的ルーティング（BGP）でVPNする方法を検証します。前回と同じく、下記の構成で…

今回はNetCloud使用時のネットワークパフォーマンスを調査しました。 AWSのEC2 Instance(m4.xlarge)2台にNetCloudのソフトウェアをインストールし、iperfでTCP通信とUDP通信と測定しました。 TCP通信の測定 下記のように２通りのネットワークで測定しました…

今回の検証内容 AWSのVGW(仮想プライベートゲートウェイ)とCradlepoint社のルータIBR900をVPN接続します。 NetCloudを使う場合、基本的には172.86.160.0/20のオーバレイネットワークで通信するのでVPNは不要と考えています。 ただし、「NetCloudを使いたい環…

サーバーワークスはAWSのプレミアコンサルティングパートナーですが、Cradlepoint社のエリートパートナーでもあります。 http://cradlepoint.co.jp/serverworks-co.,-ltd 今回、Cradlepoint社から、「IBR900」という新しい機器をお借りできたので、そちらの…