AWSでアプリケーションを構築・運用する際、データベースの接続情報、APIキー、各種設定値などをどこで管理するかは、非常に重要な課題です。これらの情報をソースコードに直接書き込むこと（ハードコーディング）は、セキュリティやメンテナンス性の観点か…

こんにちは！イーゴリです。 AWS環境のセキュリティについて、4回に分けて解説しています。ぜひ、前回までの記事もご覧ください。 ①セキュアなAWS環境の設計 blog.serverworks.co.jp ②AWS環境のセキュリティ対策 blog.serverworks.co.jp ③AWS環境へのサイバ…

こんにちは。AWS CLIが好きな福島です。 はじめに 今回は、SSMを利用したOSアクセスの統制について検討する機会があったため、ブログにまとめたいと思います。 はじめに 構成 初期セットアップ 運用イメージ 補足 試してみる ①SCPの設定 ②SCPの動作確認 ター…

AWS Systems Managerの新機能により、ジャストインタイムでノードへのアクセスを実現。許可セット作成や承認ポリシーの設定方法を解説。

こんにちは、AWS サポート課（旧テクニカルサポート課）の坂本（@t_sakam）です。今回も、前回に続いて AWS Systems Manager (SSM) の新しいエクスペリエンス（= 統合コンソール）についてのブログです。 はじめに 前回のブログのあと、2025/4/29 に新しいエ…

カスタマーサクセス部の北中です。 CodeDeployエージェントが使用するメモリ量が肥大化し、EC2インスタンスのメモリを圧迫してしまう事象に出会いました。 EventBridgeとRunCommandを利用し、CodeDeployエージェントを自動的に再起動する仕組みを実装したの…

さとうです。 プライベートなEC2（外部からのインバウンド通信の接続を許可しない構成）へ外部から接続したい場合にはSSM Session ManagerやEC2 Instance Connectを利用することが多いと思います。 blog.serverworks.co.jp シェルに接続するだけならこれらの…

こんにちは、AWS サポート課（旧テクニカルサポート課）の坂本（@t_sakam）です。今回も、前回に続いて AWS Systems Manager (SSM) の新しいエクスペリエンスについてのブログです。 はじめに 今回、前回は未確認であった Systems Manager の新しいエクスペ…

マネージドサービス部 佐竹です。本ブログでは、AWS Systems Manager Agent の自動更新が推奨される理由として「セキュリティ」と「機能追加」があることを説明し、続けて、AWS SSM Agent の自動更新設定はマネジメントコンソールから簡単に設定できるため、…

垣見です。 AWS Systems Manager のOrganizations環境での統合コンソール機能を有効化する方法のご紹介です。 環境の既存設定のせいでいくつか躓いた点もあったので、エラー文を見ながら有効化時の仕様も確認しつつ解説します。 はじめに 当ブログの対象読者…

はじめに 大前提 プライベート環境下のEC2(windows)へRDP接続するための主な方法 【やってみた】EC2 Instance Connect Endpointを使ったRDP接続方法 構成図 手順 Instance Connect Endpoint用セキュリティグループ設定 接続先EC2のセキュリティグループ設定 …

こんにちは、テクニカルサポート課の坂本（@t_sakam）です。今回は、AWS Systems Manager の新しいエクスペリエンスについてのブログです。 発表の日付の確認をすると、11 月 21 日で re:Invent の少し前の発表となっていましたが、re:Invent の Innovations…

背景となったお客様からの問い合わせ 考察 仮説・検証 EC2 のインスタンスプロファイル S3 側のバケットポリシー 結果：無事、S3 バケットにログを配置することができました。 例外 おまけ：PutObjectACL を試す。 おまけ２：同一の AWS アカウント（１つの…

こんにちは、やまぐちです。 概要 構成のちょっとした説明 早速やってみる レプリケーションテンプレートの設定 起動設定 起動後設定 CloudWatch Agent のインストール設定 MGN Agent のインストールと実行 テストインスタンスの起動 CloudWatch Agent がイ…

こんにちは！イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

はじめに 環境情報 EC2インスタンスの作成 セキュリティーグループについて IAMインスタンスプロファイルについて キーペアについて EC2インスタンスの起動 Session ManagerとVS Codeを使ったSSH接続の設定 必要なツールのインストール 設定ファイルに接続情…

Security Hubになりたい山本拓海です。 CVE2024-6387にはregreSSHion という通称があります 先日公表されたOpenSSHの脆弱性（CVE2024-6387）のパッチ当て対応をしました。対応した環境ではセキュリティ緊急対応のマニュアルがなかったので、手順から検討し実…

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定（Default Host Management Configuration setting）を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

カスタマーサクセス部の山﨑です。 今回はIncident Manager を活用してSecurity Hubで検出したインシデントを管理する方法を検証してみました。 Systems Manager Incident Managerについて 概要 守備範囲 全体像 今回想定した利用シーン 今回の構成 いざ実装…

エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules（以下、Configルール）で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ＆管理者へのメール通知を行ってみたいと思います。 また、CloudForma…

はじめに こんにちは。エンタープライズクラウド部の脇江です。 突然ですが、皆さん EC2 インスタンスの運用管理に Systems Manager（以下、SSM）を使ってますでしょうか？ SSM には EC2 インスタンスの運用管理に役立つ多数の機能が備わっています。 例えば…

本記事の概要 前置きなど どう進めないか 多少の変化は許容 アクションボタンが無い Quick Setup 作成 スキャンとインストール パッチベースライン ターゲット 概要 確認 日々の運用を想像する 最後に 本記事の概要 こんにちは、矢野(喬)です。 AWS Systems …

こんにちは！イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった？ 新規EBSボリュームをアタッチした後で、AWSから（＝Windowsサーバーへログインせずに）ドライブレターの指定やボリュームのフォ…

IE課で研修中の河本と申します。 弊社では中途入社でも4カ月の研修期間が設けられておりますが、早いもので残り1カ月となりました。 研修の中で、AWS Systems Manager Session Manager（以下セッションマネージャー）の操作ログについて考える機会があったた…

こんにちは！イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…

IE課で研修中の河本と申します。 EC2にログインする際は、パスワードの代わりにキーペアという鍵を使用してログインします。 当社ではお客様にキーペアを連携する手段として、パラメータストアをご案内することがあります。 今回はパラメータストアの概要と…

こんにちは。CS2課でOJTをしている上山と申します。 AWS Systems Manager（以下、SSM）を使えば踏み台サーバーなしでプライベートな環境にあるEC2に接続できると聞いたので、やってみました。 設定条件 対象のEC2インスタンスがSSMを使用できる状態とします…

こんにちは。 ブッシュクラフトにハマりかけている島村です。 最近は、ロープワークを練習しようと考えています。 さて、今回はAurora Serverless v2(PostgreSQL互換)を使用して、負荷をかけてみます。 負荷をかけた際にAurora Serverlessv2がどの程度の時間…

こんにちは。エンタープライズクラウド部技術3課の脇江です。 EC2 の Windows Server インスタンスで SSM Agent を使用するときのプロキシ設定について調べる機会がありましたので、備忘のために記しておきます。 今回は以下を前提条件として動作の確認を実…

こんにちは 技術課の山本です。 Systems Manager のセッションマネージャー機能における ResumeSession 権限について、お問合せいただいたので、調べました。 ResumeSession は IAM ユーザーにセッションマネージャーへのアクセスを許可する際に付与する権限…

Systems Managerエージェントのバージョンアップ検証のために、現在インストールされているSystems Managerエージェントのバージョンダウンをどのようにおこない、アップデート検証をおこなったかについてまとめました。

注釈：文章にわかりにくい部分があったため、記載を全体的に少し修正しました。(2023/5/11 AM) こんにちは。 技術課の山本です。 PC端末やサーバーにスクリーンセーバー設定を入れておくと、画面ロックをし忘れた時にも、少し経てば自動でロックが掛かるため…

AWS Systems Manager Fleet Managerで接続した際にAWS CloudTrailにどんなログが残るか調べてみた

こんにちは。 技術課の山本です。 以下の記事で、SSM Automation の独自ランブックを作成し、任意の Lambda 関数を実行してみました。 blog.serverworks.co.jp 本記事では、 ECS タスク（RunTask） を実行してみます。 Lambda の実行時と同様に、独自ランブ…

こんにちは。CI部の島村です。 現地でProtecting production with Amazon ECS security featuresを試聴してきました！ 訳:Amazon ECS セキュリティ機能による本番環境の保護 英語力はないものの、ないなりに備忘のため記録に残したいと思います。 サマリー …

開発環境用にAmazon EC2インスタンス（Amazon Linux2）を作成し、ローカルのWindows PCでSSH接続の設定をして、VS CodeからSSH接続するまでの手順を備忘録としてまとめました。

開発環境用にAmazon EC2インスタンス（Amazon Linux2）を作成し、ローカルのMacBookでSSH接続の設定をして、VS CodeからSSH接続するまでの手順を備忘録としてまとめました。

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 前提 流れ ①IAMポリシーの作成 ①-①ChatbotがSSMのドキュメントを実行できるようIAMポリシーを作成します。 ②IAMロールの作成 ②-① IAMロールを作成し、①で作成したIAMポリシーをアタッチし、信頼関係…

こんにちは！技術1課、濱岡です。 みなさんは、目玉焼きには塩派？醤油派？ソース派？のどれですか？ 私は基本何もつけずに食パンに乗っけて食べていたのでそんな派閥があるんだなと思いました。 さて、今回はAWS Systems Managerのパラメータストアのお話で…

こんにちは、イーゴリです！ 「プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインするにはどうすれば良いの？」と疑問に思う方へ、本日の記事でVPC エンドポイントをご紹介したいと思います。 記事の目標 解決方法 VPC エンドポ…

コーヒーが好きな木谷映見です。 本日は、AWS Systems Manager のセッションマネージャーを使用したリモートホストへのポートフォワードを制限してみます。 セッションマネージャーでリモートホストへのポートフォワードを制限する経緯 準備：リモートホスト…

コーヒーが好きな木谷映見です。 2022年5月27日、AWS Systems Manager（以降、SSM と表記）のセッションマネージャーでリモートホストへのポートフォワード機能をサポートしたアップデートがありました。試してみましょう！！ aws.amazon.com ポートフォワー…

こんにちは、屋根裏エンジニアの折戸です。 タイトル長いですが、あしからず。 経緯 元のテンプレート 対策 テンプレート分割 親スタック用テンプレート 役割 nest-stack-parent.yml 子スタック用テンプレート 役割 nest-stack-child.yml 子スタック用テンプ…

こんにちは！技術4課のイーゴリです。 オンプレミス環境を担当した時にWindows UpdateのためにWSUS（Windows Server Update Services）を使いましたが、AWSで自動的にWindows Updateを適用させるとても楽な方法があります！ 本件の記事では、AWS Systems Man…

こんにちは！SRE2課 入倉です。 前回のブログではIncident ManagerとAutomationを使って、自動で電話通知、httpdプロセスの自動復旧を試みました。 しかし、前回の実装方法だとhttpdプロセスが無事に自動復旧した場合も電話通知がくることになります。 その…

こんにちは！SRE2課 入倉です。 みなさん、運用の自動化してますか？ 初投稿である今回はSystems Managerの機能であるIncident ManagerとAutomationを使って運用自動化を色々と試してみました！ はじめに Incident Managerとは Automationとは 前提 Automati…

こんにちは、SRE2課の松井(紀)です。 最近オライリー・ジャパンのSREを読んでいまして、重要なタスクに注力するためにトイルを撲滅せよ、という記述を読みました。 「トイルとは、手作業、繰り返される、自動化が可能、戦術的、長期的な価値がない、サービス…

ハイブリッドアクティベーションはオンプレサーバを AWS Systems Manager (以下、SSM)で管理しちゃおうという機能です。ハイブリッドアクティベーションというカッコいい名前は、クラウドとオンプレの両方を登録できるところから来ているのだと思います。 ま…

AWS Systems Manager Fleet ManagerからのRDP接続機能を紹介

営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency （仮想通貨/暗号通貨）の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。