AWS Systems Manager

AWS環境へのサイバー攻撃とその対策について

こんにちは!イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

【macOSで動作確認済み】開発環境用にEC2インスタンス(Amazon Linux 2023)を作成し、SSM Session ManagerとVS Codeを使ってSSH接続する

はじめに 環境情報 EC2インスタンスの作成 セキュリティーグループについて IAMインスタンスプロファイルについて キーペアについて EC2インスタンスの起動 Session ManagerとVS Codeを使ったSSH接続の設定 必要なツールのインストール 設定ファイルに接続情…

OpenSSH(CVE2024-6387)のパッチ当て対応の反省メモ

Security Hubになりたい山本拓海です。 CVE2024-6387にはregreSSHion という通称があります 先日公表されたOpenSSHの脆弱性(CVE2024-6387)のパッチ当て対応をしました。対応した環境ではセキュリティ緊急対応のマニュアルがなかったので、手順から検討し実…

AWS SSM デフォルトホスト管理設定を組織で有効化し Session Manager を利用する場合の注意点

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定(Default Host Management Configuration setting)を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

Incident Manager を活用してSecurity Hubで検出したインシデントを管理する

カスタマーサクセス部の山﨑です。 今回はIncident Manager を活用してSecurity Hubで検出したインシデントを管理する方法を検証してみました。 Systems Manager Incident Managerについて 概要 守備範囲 全体像 今回想定した利用シーン 今回の構成 いざ実装…

AWS Config Rulesを使用し、組織全体で一定期間利用の無いIAMユーザーにDenyポリシーをアタッチしてみた

エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules(以下、Configルール)で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ&管理者へのメール通知を行ってみたいと思います。 また、CloudForma…

EC2 インスタンスがマネージドノードとして利用不可になった時の検知方法

はじめに こんにちは。エンタープライズクラウド部の脇江です。 突然ですが、皆さん EC2 インスタンスの運用管理に Systems Manager(以下、SSM)を使ってますでしょうか? SSM には EC2 インスタンスの運用管理に役立つ多数の機能が備わっています。 例えば…

SSM パッチマネージャーは Quick Setup 推奨で、以前の手順が使えなくなったものもある

本記事の概要 前置きなど どう進めないか 多少の変化は許容 アクションボタンが無い Quick Setup 作成 スキャンとインストール パッチベースライン ターゲット 概要 確認 日々の運用を想像する 最後に 本記事の概要 こんにちは、矢野(喬)です。 AWS Systems …

AWS Systems Manager Fleet Manager で Windows の EBS ボリューム管理が容易になりました

こんにちは!イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった? 新規EBSボリュームをアタッチした後で、AWSから(=Windowsサーバーへログインせずに)ドライブレターの指定やボリュームのフォ…

セッションマネージャーの操作ログを取得する方法について整理してみる

IE課で研修中の河本と申します。 弊社では中途入社でも4カ月の研修期間が設けられておりますが、早いもので残り1カ月となりました。 研修の中で、AWS Systems Manager Session Manager(以下セッションマネージャー)の操作ログについて考える機会があったた…

デフォルトでAWS SSMを有効にする方法(Default Host Management Configuration)

こんにちは!イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…

パラメータストア経由でキーペアを連携された時の取得方法

IE課で研修中の河本と申します。 EC2にログインする際は、パスワードの代わりにキーペアという鍵を使用してログインします。 当社ではお客様にキーペアを連携する手段として、パラメータストアをご案内することがあります。 今回はパラメータストアの概要と…

【SSM】WSLからAWS Systems Managerを利用してEC2にSSH接続しよう

こんにちは。CS2課でOJTをしている上山と申します。 AWS Systems Manager(以下、SSM)を使えば踏み台サーバーなしでプライベートな環境にあるEC2に接続できると聞いたので、やってみました。 設定条件 対象のEC2インスタンスがSSMを使用できる状態とします…

Aurora Serverless v2に負荷をかけてスケーリング時の挙動を確認する

こんにちは。 ブッシュクラフトにハマりかけている島村です。 最近は、ロープワークを練習しようと考えています。 さて、今回はAurora Serverless v2(PostgreSQL互換)を使用して、負荷をかけてみます。 負荷をかけた際にAurora Serverlessv2がどの程度の時間…

プロキシ環境における SSM を使った Windows への RDP 接続

こんにちは。エンタープライズクラウド部技術3課の脇江です。 EC2 の Windows Server インスタンスで SSM Agent を使用するときのプロキシ設定について調べる機会がありましたので、備忘のために記しておきます。 今回は以下を前提条件として動作の確認を実…

Systems Manager のセッションマネージャー機能における ResumeSession 権限

こんにちは 技術課の山本です。 Systems Manager のセッションマネージャー機能における ResumeSession 権限について、お問合せいただいたので、調べました。 ResumeSession は IAM ユーザーにセッションマネージャーへのアクセスを許可する際に付与する権限…

【AWS Systems Manager】アップデート検証のために古いバージョンのSystems Managerエージェントをインストールしてみた

Systems Managerエージェントのバージョンアップ検証のために、現在インストールされているSystems Managerエージェントのバージョンダウンをどのようにおこない、アップデート検証をおこなったかについてまとめました。

セッションマネージャーのアイドルタイムアウト設定を理解する。

注釈:文章にわかりにくい部分があったため、記載を全体的に少し修正しました。(2023/5/11 AM) こんにちは。 技術課の山本です。 PC端末やサーバーにスクリーンセーバー設定を入れておくと、画面ロックをし忘れた時にも、少し経てば自動でロックが掛かるため…

AWS Systems Manager Fleet Managerで接続した際にどんなログが残るか調べてみた

AWS Systems Manager Fleet Managerで接続した際にAWS CloudTrailにどんなログが残るか調べてみた

SSM Automation で ECS タスク(RunTask) を実行してみる。

こんにちは。 技術課の山本です。 以下の記事で、SSM Automation の独自ランブックを作成し、任意の Lambda 関数を実行してみました。 blog.serverworks.co.jp 本記事では、 ECS タスク(RunTask) を実行してみます。 Lambda の実行時と同様に、独自ランブ…

【セッションレポート】CON307 Protecting production with Amazon ECS security features

こんにちは。CI部の島村です。 現地でProtecting production with Amazon ECS security featuresを試聴してきました! 訳:Amazon ECS セキュリティ機能による本番環境の保護 英語力はないものの、ないなりに備忘のため記録に残したいと思います。 サマリー …

【Windowsで動作確認済み】開発環境用にEC2インスタンスを作成し、SSM Session ManagerとVS Codeを使ってSSH接続する

開発環境用にAmazon EC2インスタンス(Amazon Linux2)を作成し、ローカルのWindows PCでSSH接続の設定をして、VS CodeからSSH接続するまでの手順を備忘録としてまとめました。

【macOSで動作確認済み】開発環境用にEC2インスタンスを作成し、SSM Session ManagerとVS Codeを使ってSSH接続する

開発環境用にAmazon EC2インスタンス(Amazon Linux2)を作成し、ローカルのMacBookでSSH接続の設定をして、VS CodeからSSH接続するまでの手順を備忘録としてまとめました。

【AWS Chatbot】SlackからSSM経由でEC2上のコマンドを実行する方法について

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 前提 流れ ①IAMポリシーの作成 ①-①ChatbotがSSMのドキュメントを実行できるようIAMポリシーを作成します。 ②IAMロールの作成 ②-① IAMロールを作成し、①で作成したIAMポリシーをアタッチし、信頼関係…

AWS Systems Manager Parameter StoreをAWS Lambdaで更新しようと思ったら権限が足りてなかった話

こんにちは!技術1課、濱岡です。 みなさんは、目玉焼きには塩派?醤油派?ソース派?のどれですか? 私は基本何もつけずに食パンに乗っけて食べていたのでそんな派閥があるんだなと思いました。 さて、今回はAWS Systems Managerのパラメータストアのお話で…

【AWS Systems Manager エンドポイント】プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインする方法

こんにちは、イーゴリです! 「プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインするにはどうすれば良いの?」と疑問に思う方へ、本日の記事でVPC エンドポイントをご紹介したいと思います。 記事の目標 解決方法 VPC エンドポ…

AWS Systems Manager のセッションマネージャーを使用したリモートホストへのポートフォワードを制限する

コーヒーが好きな木谷映見です。 本日は、AWS Systems Manager のセッションマネージャーを使用したリモートホストへのポートフォワードを制限してみます。 セッションマネージャーでリモートホストへのポートフォワードを制限する経緯 準備:リモートホスト…

AWS Systems Manager のセッションマネージャーを使用したリモートホストへのポートフォワード

コーヒーが好きな木谷映見です。 2022年5月27日、AWS Systems Manager(以降、SSM と表記)のセッションマネージャーでリモートホストへのポートフォワード機能をサポートしたアップデートがありました。試してみましょう!! aws.amazon.com ポートフォワー…

【AWS CloudFormation】スタック作成時はパラメータストアから最新AMI取得し、スタック更新時はAMI更新させない方法 〜ネストされたスタック利用〜

こんにちは、屋根裏エンジニアの折戸です。 タイトル長いですが、あしからず。 経緯 元のテンプレート 対策 テンプレート分割 親スタック用テンプレート 役割 nest-stack-parent.yml 子スタック用テンプレート 役割 nest-stack-child.yml 子スタック用テンプ…

AWS Systems Manager Patch Managerで自動的にWindows Updateを実行する方法

こんにちは!技術4課のイーゴリです。 オンプレミス環境を担当した時にWindows UpdateのためにWSUS(Windows Server Update Services)を使いましたが、AWSで自動的にWindows Updateを適用させるとても楽な方法があります! 本件の記事では、AWS Systems Man…

Incident ManagerとAutomationを使って運用自動化を試してみた -その2

こんにちは!SRE2課 入倉です。 前回のブログではIncident ManagerとAutomationを使って、自動で電話通知、httpdプロセスの自動復旧を試みました。 しかし、前回の実装方法だとhttpdプロセスが無事に自動復旧した場合も電話通知がくることになります。 その…

Incident ManagerとAutomationを使って運用自動化を試してみた -その1

こんにちは!SRE2課 入倉です。 みなさん、運用の自動化してますか? 初投稿である今回はSystems Managerの機能であるIncident ManagerとAutomationを使って運用自動化を色々と試してみました! はじめに Incident Managerとは Automationとは 前提 Automati…

AWS Systems Manager Run CommandでWindowsOSにユーザーを作成しよう

こんにちは、SRE2課の松井(紀)です。 最近オライリー・ジャパンのSREを読んでいまして、重要なタスクに注力するためにトイルを撲滅せよ、という記述を読みました。 「トイルとは、手作業、繰り返される、自動化が可能、戦術的、長期的な価値がない、サービス…

閉域VPCにあるEC2インスタンスがSSMハイブリッドアクティベーションしパッチマネージャーを使えるようにする

ハイブリッドアクティベーションはオンプレサーバを AWS Systems Manager (以下、SSM)で管理しちゃおうという機能です。ハイブリッドアクティベーションというカッコいい名前は、クラウドとオンプレの両方を登録できるところから来ているのだと思います。 ま…

AWS Systems Manager Fleet Manager からのRDP接続を試してみる

AWS Systems Manager Fleet ManagerからのRDP接続機能を紹介

AWS 環境における暗号通貨採掘悪用に備える

営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency (仮想通貨/暗号通貨)の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。

AWS Systems Manager マネージドインスタンスにタグ設定する

AWS Systems Manager ハイブリッドアクティベーションで登録した外部サーバについてもタグ設定をしたいと思いました。 しかし、自アカウントのEC2インスタンスではないので、ECのコンソール画面やAPIでは表示されませんでした。 マネージメントコンソールで…

【AWS CLI】SSM関連の情報取得編

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド <command> <subcommand> describe-instance-information ①ResourceType,InstanceId ②①+PingStatus ③①+AgentVersion,IsLatestVersion ④①+PlatformType,PlatformName,PlatformVersion ⑤①+IPAddress,C</subcommand></command>…

【AWS CLI】【SSM】全マネージドインスタンスのアプリケーション一覧が欲しい!

こんにちは。AWS CLIが好きな福島です。 結論 終わりに 今回はタイトル通り、SSMで管理しているマネージドインスタンスのアプリケーション一覧を抽出するコマンドをご紹介いたします。 結論 aws ssm describe-instance-information --query "InstanceInforma…

【AWS CLI】【SSM】全マネージドインスタンス(Windows)のサービス一覧が欲しい!

こんにちは。AWS CLIが好きな福島です。 結論 備考 終わりに 今回はタイトル通り、SSMで管理している全マネージドインスタンス(Windows)のサービス一覧を抽出するコマンドをご紹介いたします。 結論 実行コマンド aws ssm describe-instance-information --q…

【AWS CLI】【SSM】全マネージドインスタンス(Windows)の役割と機能一覧が欲しい!

こんにちは。AWS CLIが好きな福島です。 結論 備考 終わりに 今回はタイトル通り、SSMで管理している全マネージドインスタンス(Windows)の役割と機能一覧を抽出するコマンドをご紹介いたします。 結論 実行コマンド aws ssm describe-instance-information -…

AWS Systems Manager ハイブリッドアクティベーション で外部アカウントに管理されていたEC2インスタンスの管理を、自アカウントの管理に戻す

AWS Systems Manager は、ハイブリッドアクティベーションという方法で、他のAWSアカウントのEC2インスタンスも管理対象にできます。 blog.serverworks.co.jp しかし、なんらかの理由で「やっぱり元のアカウントに管理を戻したい」となることもあります。 以…

AWS Systems Manager Session Manager を使ってSSHポートを開けずにVSCode のRemote - SSHで開発する

本ブログは動画でも解説を行っています。 www.youtube.com こんにちは、サービス開発の丸山です。 今回は(も?)小ネタの紹介です。 私は VSCode の Remote - SSH という機能を使ってAWSのEC2にSSHして開発を行うことがたまにあります。 Remote - SSH とはその…

SSMエージェントの自動アップデート設定

EC2インスタンスの運用には、AWS Systems Manager(以下、SSM)の活用が重要です。 SSMの動作には、EC2インスタンスのOS上で amazon-ssm-agent が起動している必要があります。 amazon-ssm-agentは頻繁にアップデートされているので、各インスタンスに手動で…

SSM を活用し m5 から m6i へ Windows Server 2019 のインスタンスタイプを変更する

CI部佐竹です。 本日は東京リージョンで利用可能となった m6i インスタンスへとインスタンスタイプを変更する作業を実際に検証してみました。第6世代の利用には ENA のドライバーバージョンが v3 以上の必要があるという制限から、SSM Automation ドキュメン…

ECS タスク起動と SSM 登録を自動連携してみる

雨の日が気持ち良い季節ですね。 プロセスエンジニアリング課の礒です。こんにちは。 今回は ECS Fargateタスクに SSM からログインしたい方向けのTipsをご紹介します。 概要 まず、Amazon EC2 (以下 "EC2" )インスタンスや Fargate コンテナに AWS Systems …

Systems Manager でマネージドインスタンスが Connection Lost になる場合の対応

CI部 佐竹です。 本日は、ちょっとした運用知見の共有です。 はじめに 結論 何が起きたのか AWSSupport-TroubleshootManagedInstance を実行してみる SSM Agent のログを確認してみる OS の時刻がズレていることに気付く まとめ はじめに 今回のブログは、以…

Systems Managerで他アカウントのEC2インスタンスを管理する

「そのAWSアカウントの管理は私の担当では無いんですけど、そこにあるEC2インスタンス1台だけは運用保守しなくちゃいけないんです。」 AWS Systems Managerなら可能です! ハイブリッドアクティベーションを利用しましょう。 Systems Manager は、通常はAWS…

【AWS Systems Manager】WorkSpacesをマネージドインスタンスとして登録してみる

こんにちは。SRE3課の島村です。 今回はWorkSpacesをSystems Managerのマネージドインスタンスとして登録する手順をご紹介します。 ご存知の通り、Systems Managerは運用管理として非常に強力なサービスです。 Systems Managerの機能を利用するには、SSM Age…

AWS CLIでAssumeRoleしてSession Managerを利用する

こんにちは、技術1課 長崎です。 表題の通り、やり方のまとめを記載します。 Session Managerは、Systems Manager(以下SSM)の機能の一つです。 前提 全体の流れ 手順 Account B(EC2インスタンスがいるAWSアカウント)の準備 IAMロールの作成 EC2のポリシー設…