(小ネタ)スクリプトを使い、複数アカウントをAWS Organizationsの特定OUに移動させてみた

エンタープライズクラウド部の山下(祐)です。 AWS Organizations環境下で、複数のアカウントを特定のOUに一括で移動させたかったので、簡単なスクリプトを組んで移動させてみました。 今回の環境 今回は、以下のような条件下で移動を行います。 Organization…

(小ネタ)スクリプトを使い、複数アカウントでAWS Configの有効/無効をチェックしてみた

エンタープライズクラウド部の山下(祐)です。 最近、200個くらいのアカウントでAWS Configが有効化されているか確認する必要があったため、 簡単なスクリプトを作って確認してみました。 本ブログでは、その内容についてご紹介します。 今回の環境 事前準備 …

(小ネタ)IAM Access Analyzer の検出結果を、AWS CLI でCSV出力してみた

エンタープライズクラウド部の山下(祐)です。今回は、IAM Access Analyzer の分析結果を、AWS CLI でCSV出力してみたいと思います。 IAM Access Analyzer とは マネジメントコンソールのエクスポートでは、JSONしかエクスポートできない 実行コマンド コマン…

AWS BuilderCardsをプレイして、AWSアーキテクチャに思いを馳せてみた

エンタープライズクラウド部の山下(祐)です。 先日、社内のメンバーとAWS BuilderCards をプレイしました。 私は、各プレイヤーが作成したアーキテクチャが有効かをジャッジする、レフェリーを仰せつかりました。 その時の様子は、近日中に弊社YouTubeチャン…

Route 53 Resolver DNS Firewall で疑似的にSMTP通信を制御してみた

エンタープライズクラウド部の山下(祐)です。 私事で大変恐縮ですが、本日5月12日は私の誕生日です。皆様、誕生日はどのように過ごされますでしょうか。 家族や恋人・友人と一緒にお祝いしたり、プレゼントを買いに行ったり…。色々な過ごし方があるとは思い…

AWS Config Rulesを使用し、組織全体で一定期間利用の無いIAMユーザーにDenyポリシーをアタッチしてみた

エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules(以下、Configルール)で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ&管理者へのメール通知を行ってみたいと思います。 また、CloudForma…

AWS Network FirewallでSMTP通信を制御しようとして上手くいかなかった話

エンタープライズクラウド部の山下(祐)です。 AWS Network Firewall(以下、NFW)で、特定メールアドレス宛てのSMTP通信のみ許可するような制御が可能か、調査を行いました。 色々試行錯誤しましたが上手くいかないためAWSサポートへの問い合わせも行ったと…

IAMユーザーの認証情報が漏洩した際の対処を、シンプルに出来るか考える

エンタープライズクラウド部の山下(祐)です。 本ブログでは、IAMユーザーの認証情報が漏洩した際の対処を、シンプルに出来るか考えてみたいと思います。 背景 留意事項 前提条件 対象とする認証情報 対象リソース 対象フェーズ 考察 No.1について No.2につい…

特定タグのみ編集・削除を出来ないようにするIAMポリシーの解説

エンタープライズクラウド部の山下(祐)です。 本ブログでは、特定タグのみ編集・削除を出来ないようにするIAMポリシーについて説明します。 ユースケースの例 サンプルポリシー 動作検証 Environmentタグの編集・削除 その他のタグの作成・編集・削除 Enviro…

AWS Network Firewall のドロップアクションの挙動を確認する

エンタープライズクラウド部の山下(祐)です。 本ブログでは、AWS Network Firewall(以下、NFW)のステートフルルールのドロップアクションで選択可能な、「確立された接続のパケットをドロップ」と「すべてをドロップ」の挙動の違いを確認します。 「標準ス…

Amazon VPC Lattice解説②(通信ログ編)

エンタープライズクラウド部の山下(祐)です。 本ブログは、Amazon VPC Lattice(以下、Lattice)の解説シリーズ第2回となります。 (前回から大幅に時間が経過してしまいました。。申し訳ありません。) 第1回では、Latticeの概要、および構成要素について解…

AWS Cost Explorerで「EC2 その他」と表示される部分の内訳を確認する方法(2023年版)

エンタープライズクラウド部の山下(祐)です。 以前、下記のブログで、AWS Cost Explorer(以下、Cost Explorer) でサービス名が「EC2 - Other」と表示される部分の内訳を確認する方法をご紹介しましたが、Cost ExplorerのUIが変更されたため、改めて新UIで…

Amazon VPC Lattice解説(概要および構成要素編)

エンタープライズクラウド部の山下(祐)です。 Amazon VPC Lattice(以下、Lattice)がGAしましたので、調査・検証してみました。その内容について、何回かに分けてご紹介したいと思います。 今回は、Latticeの概要、および構成要素について説明します。 留意…

Amazon Kinesis Data FirehoseからHTTPエンドポイントに配信したAWS WAFのログをAWS Lambdaで取り出してみた

クラウドインテグレーション2部の山下です。 AWS WAFのログは、2022年10月現在、以下のいずれかに送ることができます。 Amazon CloudWatch Logs(以下、CloudWatch Logs) Amazon Kinesis Data Firehose(以下、Kinesis Firehose) Amazon S3(以下、S3) 上…

(小ネタ)AWS Secrets Managerの自動ローテーションのスケジュール設定

クラウドインテグレーション2部技術3課の山下です。 今回は、AWS Secrets Managerでシークレット情報の自動ローテーションを設定する際の、 ローテーションのスケジュール設定について書きたいと思います。 (背景)毎月1日のAM3時(日本時間)にローテーシ…

【ECS】タスクロールとタスク実行ロールの違いをサンプルアプリで検証してみた

クラウドインテグレーション2部技術3課の山下です。 今回は、Amazon Elastic Container Service(以下、ECS)の タスクロールとタスク実行ロールの違いについて、 簡単なサンプルアプリを用意して検証してみたいと思います。 (背景) タスクロールとタスク実…

【初心者向け】Network Load Balancer(NLB)の設定・動作を改めて確認してみた

クラウドインテグレーション2部技術3課の山下です。 Network Load Balancer(以下、NLB)をあまり使ったことがなかったので、 今回、改めて、必要な設定や動作について確認してみました。 (前提)今回の構成と設定 はじめに結論 EC2からクライアントPCへ通…

Amazon FSx File Gatewayのキャッシュアクセス速度を検証してみた

クラウドインテグレーション2部技術3課の山下です。 今回は、Amazon FSx for Windows File Server(以下、FSx for Windows)およびAmazon FSx File Gateway(以下、File Gateway)を構築し、クライアント端末からのアクセス速度の差異を確認してみます。 FSx…

インターネット向け通信をAWS Network Firewallで検査する際のルーティング設定(単一VPC版)

クラウドインテグレーション部技術2課の山下です。 今回は、単一VPC構成で、インターネット向け通信をAWS Network Firewall(以下、FW)で検査する際のルーティング設定を解説します。 はじめに結論 以下構成図のようなルーティング設定、リソース配置となり…

AWS Network FirewallのRule Group Capacityの計算方法まとめ

クラウドインテグレーション部 技術2課の山下です。 今回は、AWS Network Firewall の Rule Group Capacity(以下、キャパシティ)の計算方法を解説します。 なお、AWS Network Firewall の各ルールグループの概要については、以下ブログをご参照ください。 …

AWS Cost Explorerで「EC2 その他」と表示される部分の内訳を確認する方法

クラウドインテグレーション部 技術2課の山下です。 今回は、AWS Cost Explorer でサービス名が「EC2 その他」と表示される部分の内訳を確認する方法をご紹介します。 ※2023/4/14追記 AWS Cost Explorer のUIが変更されましたので、新UIでの確認方法を別途ブ…

AWS Resource Access Managerを使用して、複数アカウントでAWS Transit Gatewayを共有して通信する方法

クラウドインテグレーション部 技術2課の山下です。 今回は、AWS Resource Access Manager(以下AWS RAM)を使用して、 複数アカウントでAWS Transit Gateway(以下TGW)を共有して通信する方法をご紹介します。 複数のアカウントで作業が必要になり少々ややこし…

AWS Client VPN Endpointがアタッチ済みのVPCからInternet Gatewayをデタッチする際に苦労した話

こんにちは。クラウドインテグレーション部(CI部)技術2課の山下です。 今回は、AWS Client VPN Endpoint(以下、VPNエンドポイント)がアタッチされているVPCから Internet Gateway(以下、IGW)をデタッチする際に少々苦労したため、 備忘のために記事に…