Amazon Athenaを利用してS3に保管されているログを調査する - VPC Flow Logs編 -

CI部1課の山﨑です。 これまでAmazon Athenaを利用してS3に保管されているAWS Config/AWS CloudTrail のログを調査する方法を調べましたが、今回はVPC Flow Logs のログを調査する方法を調べてみました。 blog.serverworks.co.jp blog.serverworks.co.jp お…

Amazon Athenaを利用してS3に保管されているログを調査する - AWS CloudTrail編 -

CI部1課の山﨑です。 前回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べましたが、今回はAWS CloudTrail のログを調査する方法を調べてみました。 blog.serverworks.co.jp おさらい AWS CloudTrail AWS CloudTrail と…

Amazon Athenaを利用してS3に保管されているログを調査する - AWS Config編 -

CI部1課の山﨑です。 今回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べてみたので整理します。 おさらい AWS Config AWS Config とは AWS Config のログの種類 Amazon Athena Amazon Athena とは S3のログを調査して…

CloudWatch LogsのログをKinesis Data Firehose経由でS3バケットに転送する

最近ランニングを始めたCI部1課の山﨑です。 今回はCloudWatch LogsのログをKinesis Data Firehose経由でS3バケットに転送してみました。 はじめに ポリシー設計について 5Wで要件を整理する ポリシー要件の早見表 アカウントB の実装 Step1. S3バケットの作…

【入門編】IAMポリシー設計のポイントを整理してみる

週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベース…

DX障害を受けてオンプレミスと AWS 間の接続の冗長構成について再考してみる

CI部1課の山﨑です。 今回はオンプレミスと AWS 間の接続の冗長構成について再考してみました はじめに オンプレミスと AWS 間の接続において障害が発生する可能性がある場所 冗長化できるコンポーネントについて 通信キャリアの冗長化 Direct Connect ロケ…

【入門編】AWSにおけるアクセスポリシーの評価ロジックを整理してみる

CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 評価ロジック 拒否の評価(明示的な拒否) Organizations SCP リソースベースのポリシー IAM Permissions Boundary セッションポ…

【Organizations】 主要なガバナンス・セキュリティサービスを組織で一括で有効化する

最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…

Config Rule のConformance Packs(適合パック)をOrganizationsでマルチアカウント/マルチリージョンに展開する

Amazon Primeにドはまり中のCI部2課の山﨑です。 前回はConfig Rule のConformance Packs(適合パック)を単一アカウント上でデプロイしましたが、今回Organizationsでマルチアカウント/マルチリージョンに展開してみます 事前準備 Organizations組織への展開…

Config Rule のConformance Packs(適合パック)を使ってパッケージ単位でConfig Ruleを管理する

自宅にサウナが欲しいCI部2課の山﨑です。 AWS Configの1つの機能であるConfig Rulesをパッケージ化したConformance Packs(適合パック)を使ってパッケージ単位でConfig Rulesを管理する方法を検証してみました AWS Configとは AWS Config Rulesとは 機能 構…

Security HubをOrganizationsでマルチアカウント/マルチリージョンで有効化する

朝散歩にハマっているCI部2課の山﨑です。 今回はSecurity HubをOrganizationsでマルチアカウント/マルチリージョンに展開してみました。 Organizations組織への展開イメージ 前提 検証 Management Account から委任先アカウントへSecurity Hubの管理権限を…

CloudFormation StackSetsを使ってマルチアカウント/マルチリージョンでAWS Configを有効化する

最近足つぼマットにハマっているCI部2課の山﨑です。 本日はCloudFormation StackSetsを使ってマルチアカウント/マルチリージョンでAWS Configを有効化してみましたので検証内容を記録していきます。 CloudFormation StackSetsとは 検証イメージ いざ検証 ロ…

IPsecの仕組みを整理しながらSite to Site VPN の理解を深める

CI部2課の山﨑です。 コロナウイルスの影響でテレワークが普及したことで「VPN」という言葉をよく耳にするようになりました。 AWSではClient VPNとSite to Site VPNという2つのVPNサービスがありますが今回はSite to Site VPNについてIPsecの仕組みを整理し…

Route Analyzer と VPC Reachability Analyzer を使ったネットワーク通信断の原因調査

CI部2課の山﨑です。 AWSを利用している方であればEC2等を構築後に「あれ?通信ができないぞ!?」となって焦った経験があるかと思います。そんな時にEC2にログインせずにAWSのマネージドサービスを使ってどのような調査が可能なのかを検証してみました 今回…

【入門編】AWS Backupを使ってEC2のAMIバックアップと復元を行う

CI部2課の山﨑です。 AWSではEC2のAMI、EBSのスナップショット、RDSのスナップショットなどAWSサービスごとに様々なバックアップ方法があります。本記事ではこれらを一元管理することが可能なAWS Backupというサービスについて、その仕組みや基本操作を整理…

EventBridgeの入力トランスフォーマーでSNSのメール通知内容を整形してみた

CI部2課の山﨑です。 SNSのメール通知内容を整形する方法としてLambdaを利用するという方法がありますが、今回はEventBridgeの入力トランスフォーマーを利用して、SNSのメール通知内容を整形してみました docs.aws.amazon.com 想定した利用シーン 今回はSecu…

Windowsのrobocopyコマンドを使ってデータ移行してみた

技術2課の山﨑です。今回はWindowsのrobocopyコマンドを使ってデータ移行してみました! robocopyコマンドについては私とは別の山﨑のブログを御覧ください blog.serverworks.co.jp 移行イメージ 今回はオンプレミス環境にあるファイルサーバーからAWS上にあ…

【re:Invent 2020レポート】AWS環境を保護するための効果的な10の方法

技術2課の山﨑です。 かなり出遅れましたが、現在開催中のre:Invent 2020のセッションレポートをお届けします。 はじめに 本記事はre:Invent 2020で行われた「Ten easy and effective ways to secure your AWS environment」 セッションのレポートです。 rei…

RDS for Oracleを11gから19cにメジャーアップグレードしてみた

アイマスクを付けて寝るようになってから睡眠の質が良くなった気がしている技術2課の山﨑です 本日は以下の記事の内容に関連した内容で実際にRDS for Oracleを11gから19cにメジャーアップグレードしてみたのでその手順等をご紹介したいと思います。 ※License…