re:Invent 2023で発表されたAWS re:Post Private を使ってみた

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はre:Inventで発表された「AWS re:Post Private」を早速利用してみたので、その感想を書きたいと思います。 AWS re:Post と AWS re:Post Private とは 1. AWS re:Post について…

Sustainability Pillar(持続可能性の柱)におけるベストプラクティス - Hardware and services-

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 Well-Architected Framework の Sustainability Pillar(持続可能性の柱)についてブログを執筆しましたが、これらはSustainability Pillar(持続可能性の柱)の概念や設計原則とい…

Well-Architected Framework の Sustainability Pillar(持続可能性の柱)について考えてみる -Part2-

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回は先日執筆した「Sustainability Pillar(持続可能性の柱)について考えてみる -Part1-」の第二弾ということで引き続き、Sustinabiliy Pillar について考察していきたいと思い…

Well-Architected Framework の Sustainability Pillar(持続可能性の柱)について考えてみる -Part1-

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Well-Architected Frameworks の1つである「Sustainability Pillar(持続可能性の柱)」について様々な観点から考察していきたいと思います 現在進行形で学習しているの…

EC2 Instance Connectのアップデートを受けて、EC2インスタンスへのログイン方法を整理してみる

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 6月13日のAWSアップデートでPublic IPを利用することなく、EC2 Instance Connect を用いてSSH/RDP接続ができるようになったというアップデートがありました。 そこで今回はEC2イン…

AWS Organizations におけるアクセス統制

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations における「アクセス統制」について整理してみます AWS Organizations におけるアクセス統制 AWS Organizations のおさらい アクセス統制について ①IAM方式…

マルチアカウント環境でAWS Service Catalogを利用する

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はマルチアカウント環境でAWS Service Catalog を利用する方法について整理していきます。 先に結論 おさらい AWS Service Catalog とは 想定しているマルチアカウント環境につ…

AWS Organizations における統合と委任について整理する

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations でよく利用される「統合」と「委任」について整理してみます AWS Organizations のおさらい AWS Organizations の統合と委任 概要 サポートしているAWSサ…

AWS Service Catalog を基礎から学ぶ

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はITガバナンスを強化するための1つの手段である、AWS Service Catalog について整理していきます。 AWS Service Catalog について AWS Service Catalog とは AWS Service Cata…

AWS Organizations におけるOU設計について考えてみる

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 最近は一気に気温が高くなり、我が家で生活しているフレンチブルドッグがバテ気味なのでそろそろクーラーを付けようか悩んでいます。 さて、昨今AWS Organizations を用いたマルチ…

AWS Organizations におけるSCP設計のポイントを整理してみる

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 サウナブームが到来しているせいか、毎週通っているサウナの人が徐々に増えてきて困っております さて、今回はAWS Organizations におけるSCP設計のポイントを整理してみようと思い…

AWSリソースのタグ設計について考えてみる - 命名規則編-

CI2部 技術2課の山﨑です。 先日書いた2つのブログではそれぞれタグ設計に関する基礎知識、アカウント設計パターン別のタグ設計について整理して考えてみましたが、今回は少し志向を変えてAWSリソースの命名規則について考えてみました。 blog.serverworks.c…

AWSリソースのタグ設計について考えてみる - アカウント設計パターン編-

CI2部 技術2課の山﨑です。 先日ブログを書いたAWSリソースのタグ設計 - 基礎編- ではタグ設計に関する基礎知識を整理して考えてみましたが、今回はもう一歩踏み込んでアカウント設計のパターンごとにタグ設計について考えてみました。 検討したアカウント設…

AWSリソースのタグ設計について考えてみる - 基礎編-

CI2部 技術2課の山﨑です。 AWSリソースを設計する際に一度は目にしたことがある「タグ」の設定ですが、多くのAWSリソースではオプションとしてタグが付与できるようになっています。 今回はAWSリソースのタグ設計について考えてみました。 AWSリソースにお…

AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる

CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い(拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い)ため、同じ…

CloudFormation StackSetsのOU単位のデプロイにおいてアカウント単位でデプロイ可能なオプションが追加されました

CI2部 技術2課の山﨑です。 複数のAWSアカウントならびに複数のリージョンにワンオペレーションでAWSリソースをデプロイすることができるCloudFormation StackSetsはとても便利で、マルチアカウント運用をしている場合は重宝されている方もいらっしゃるので…

RDS Performance Insights に関する3つのアップデートがありました

CI2部 技術2課の山﨑です。 5〜7月にかけてRDS Performance Insights のアップデートが3つありましたので、今回はそれぞれ簡単にご紹介したいと思います。 おさらい RDS Performance Insights とは? アップデート概要 ①確認したいメトリクスの正確な時間範…

Amazon Athena がパラメータクエリをサポートしました

CI2部 技術2課の山﨑です。 7月にAmazon Athena がパラメータクエリをサポートしましたので簡単にご紹介したいと思います。 おさらい Amazon Athena とは? アップデート概要 パラメータクエリを実行できるようになりました これまでのクエリとの比較 パラメ…

Transit Gateway が VPC Flow Logs をサポートしました

CI2部 技術2課の山﨑です。 7月にTransit Gateway が VPC Flow Logs をサポートしましたので簡単にご紹介したいと思います。 おさらい VPC Flow Logs とは? アップデート概要 Transit Gateway が VPC Flow Logs をサポートしました Transit Gateway が取得…

AWSのアップデートをキャッチアップするために実践している5つのこと

はじめに インプット ①「AWSの最新情報」を英語で確認する 日本語ではなく、英語でチェックする 30分以上は時間をかけない ②「ドキュメント履歴」を確認する ③「AWS ニュースブログ」を確認する アウトプット ④社内のSlackチャンネルでキャッチアップしたア…

【更新】AWSにおけるアクセスポリシーの評価ロジック

CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…

S3のバケットポリシーでPutBucketPolicyを制御する際はポリシーの記述ミスに要注意

CI2部 技術2課の山﨑です。 今回の記事で伝えたいことは以下の通りです! S3バケットポリシーでPutBucketPolicyを制御する際はポリシーの記述ミスに注意しましょう! S3バケットポリシーについておさらい バケットポリシーにおけるPutBucketPolicyの制御につ…

IAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されました

CI2部 技術2課の山﨑です。 4月27日にIAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されるというアップデートがありました。 aws.amazon.com 今回はこのアップデートで一体何が便利になったのかを一部ご紹介します。 Global Condi…

Lambda Layers を使って再利用可能な共通コンポーネントを切り出す

CI2部 技術2課の山﨑です。 前回のブログでは AWS Lambdaを使ってAWS Config Rules のカスタムルールを作成しました。 blog.serverworks.co.jp 今回のブログでは AWS Lambdaの機能の1つであるLambda Layersを使ってカスタムルールとして定義したLambdaファン…

AWS Config Rules のカスタムルールを作成してみる

2022年に入ってからPythonの勉強を少しずつ始めました。CI2部 技術2課の山﨑です。 今回のブログでは AWS Config Rules のカスタムルールを作成してみようと思います。 AWS Config Rulesとは(おさらい) 機能 構成チェック 修復アクション(Remediation) 料…

Lambda + SNS でSecurity Hubの検出結果をメール通知する

CI2部 技術2課の山﨑です。 EventBridgeを利用してメール通知設定を行うには大きく以下の2つの方法があります。 EventBridgeの入力トランスフォーマー + SNSで実装する Lambda + SNSで実装する 1つ目の方法については過去にブログを執筆しましたので、今回は…

Amazon Athenaを利用してS3に保管されているログを調査する - VPC Flow Logs編 -

CI部1課の山﨑です。 これまでAmazon Athenaを利用してS3に保管されているAWS Config/AWS CloudTrail のログを調査する方法を調べましたが、今回はVPC Flow Logs のログを調査する方法を調べてみました。 blog.serverworks.co.jp blog.serverworks.co.jp お…

Amazon Athenaを利用してS3に保管されているログを調査する - AWS CloudTrail編 -

CI部1課の山﨑です。 前回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べましたが、今回はAWS CloudTrail のログを調査する方法を調べてみました。 blog.serverworks.co.jp おさらい AWS CloudTrail AWS CloudTrail と…

Amazon Athenaを利用してS3に保管されているログを調査する - AWS Config編 -

CI部1課の山﨑です。 今回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べてみたので整理します。 おさらい AWS Config AWS Config とは AWS Config のログの種類 Amazon Athena Amazon Athena とは S3のログを調査して…

CloudWatch LogsのログをKinesis Data Firehose経由でS3バケットに転送する

最近ランニングを始めたCI部1課の山﨑です。 今回はCloudWatch LogsのログをKinesis Data Firehose経由でS3バケットに転送してみました。 はじめに ポリシー設計について 5Wで要件を整理する ポリシー要件の早見表 アカウントB の実装 Step1. S3バケットの作…

【入門編】IAMポリシー設計のポイントを整理してみる

週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベース…

DX障害を受けてオンプレミスと AWS 間の接続の冗長構成について再考してみる

CI部1課の山﨑です。 今回はオンプレミスと AWS 間の接続の冗長構成について再考してみました はじめに オンプレミスと AWS 間の接続において障害が発生する可能性がある場所 冗長化できるコンポーネントについて 通信キャリアの冗長化 Direct Connect ロケ…

【入門編】AWSにおけるアクセスポリシーの評価ロジックを整理してみる

CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 2021年11月にアップデートがありました 評価ロジック 拒否の評価(明示的な拒否) Organizations SCP リソースベースのポリシー …

【Organizations】 主要なガバナンス・セキュリティサービスを組織で一括で有効化する

最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…

Config Rule のConformance Packs(適合パック)をOrganizationsでマルチアカウント/マルチリージョンに展開する

Amazon Primeにドはまり中のCI部2課の山﨑です。 前回はConfig Rule のConformance Packs(適合パック)を単一アカウント上でデプロイしましたが、今回Organizationsでマルチアカウント/マルチリージョンに展開してみます 事前準備 Organizations組織への展開…

Config Rule のConformance Packs(適合パック)を使ってパッケージ単位でConfig Ruleを管理する

自宅にサウナが欲しいCI部2課の山﨑です。 AWS Configの1つの機能であるConfig Rulesをパッケージ化したConformance Packs(適合パック)を使ってパッケージ単位でConfig Rulesを管理する方法を検証してみました AWS Configとは AWS Config Rulesとは 機能 構…

Security HubをOrganizationsでマルチアカウント/マルチリージョンで有効化する

朝散歩にハマっているCI部2課の山﨑です。 今回はSecurity HubをOrganizationsでマルチアカウント/マルチリージョンに展開してみました。 Organizations組織への展開イメージ 前提 検証 Management Account から委任先アカウントへSecurity Hubの管理権限を…

CloudFormation StackSetsを使ってマルチアカウント/マルチリージョンでAWS Configを有効化する

最近足つぼマットにハマっているCI部2課の山﨑です。 本日はCloudFormation StackSetsを使ってマルチアカウント/マルチリージョンでAWS Configを有効化してみましたので検証内容を記録していきます。 CloudFormation StackSetsとは 検証イメージ いざ検証 ロ…

IPsecの仕組みを整理しながらSite to Site VPN の理解を深める

CI部2課の山﨑です。 コロナウイルスの影響でテレワークが普及したことで「VPN」という言葉をよく耳にするようになりました。 AWSではClient VPNとSite to Site VPNという2つのVPNサービスがありますが今回はSite to Site VPNについてIPsecの仕組みを整理し…

Route Analyzer と VPC Reachability Analyzer を使ったネットワーク通信断の原因調査

CI部2課の山﨑です。 AWSを利用している方であればEC2等を構築後に「あれ?通信ができないぞ!?」となって焦った経験があるかと思います。そんな時にEC2にログインせずにAWSのマネージドサービスを使ってどのような調査が可能なのかを検証してみました 今回…

【入門編】AWS Backupを使ってEC2のAMIバックアップと復元を行う

CI部2課の山﨑です。 AWSではEC2のAMI、EBSのスナップショット、RDSのスナップショットなどAWSサービスごとに様々なバックアップ方法があります。本記事ではこれらを一元管理することが可能なAWS Backupというサービスについて、その仕組みや基本操作を整理…

EventBridgeの入力トランスフォーマーでSNSのメール通知内容を整形してみた

CI部2課の山﨑です。 SNSのメール通知内容を整形する方法としてLambdaを利用するという方法がありますが、今回はEventBridgeの入力トランスフォーマーを利用して、SNSのメール通知内容を整形してみました docs.aws.amazon.com 想定した利用シーン 今回はSecu…

Windowsのrobocopyコマンドを使ってデータ移行してみた

技術2課の山﨑です。今回はWindowsのrobocopyコマンドを使ってデータ移行してみました! robocopyコマンドについては私とは別の山﨑のブログを御覧ください blog.serverworks.co.jp 移行イメージ 今回はオンプレミス環境にあるファイルサーバーからAWS上にあ…

【re:Invent 2020レポート】AWS環境を保護するための効果的な10の方法

技術2課の山﨑です。 かなり出遅れましたが、現在開催中のre:Invent 2020のセッションレポートをお届けします。 はじめに 本記事はre:Invent 2020で行われた「Ten easy and effective ways to secure your AWS environment」 セッションのレポートです。 rei…

RDS for Oracleを11gから19cにメジャーアップグレードしてみた

アイマスクを付けて寝るようになってから睡眠の質が良くなった気がしている技術2課の山﨑です 本日は以下の記事の内容に関連した内容で実際にRDS for Oracleを11gから19cにメジャーアップグレードしてみたのでその手順等をご紹介したいと思います。 ※License…