背景となったお客様からの問い合わせ 考察 仮説・検証 EC2 のインスタンスプロファイル S3 側のバケットポリシー 結果：無事、S3 バケットにログを配置することができました。 例外 おまけ：PutObjectACL を試す。 おまけ２：同一の AWS アカウント（１つの…

こんにちは、やまぐちです。 概要 構成のちょっとした説明 早速やってみる レプリケーションテンプレートの設定 起動設定 起動後設定 CloudWatch Agent のインストール設定 MGN Agent のインストールと実行 テストインスタンスの起動 CloudWatch Agent がイ…

こんにちは！イーゴリです。下記の記事の続きになるので、最初に必ず下記の記事をご覧ください。 パート1: セキュアなAWS環境の設計についての解説 blog.serverworks.co.jp パート2: AWS環境のセキュリティ対策についての解説 blog.serverworks.co.jp インタ…

はじめに 環境情報 EC2インスタンスの作成 セキュリティーグループについて IAMインスタンスプロファイルについて キーペアについて EC2インスタンスの起動 Session ManagerとVS Codeを使ったSSH接続の設定 必要なツールのインストール 設定ファイルに接続情…

Security Hubになりたい山本拓海です。 CVE2024-6387にはregreSSHion という通称があります 先日公表されたOpenSSHの脆弱性（CVE2024-6387）のパッチ当て対応をしました。対応した環境ではセキュリティ緊急対応のマニュアルがなかったので、手順から検討し実…

マネージドサービス部 佐竹です。本ブログでは AWS Systems Manager クイックセットアップを利用してデフォルトホスト管理設定（Default Host Management Configuration setting）を AWS Organizations 全体で利用する際の具体的なセットアップ方法をステッ…

カスタマーサクセス部の山﨑です。 今回はIncident Manager を活用してSecurity Hubで検出したインシデントを管理する方法を検証してみました。 Systems Manager Incident Managerについて 概要 守備範囲 全体像 今回想定した利用シーン 今回の構成 いざ実装…

エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules（以下、Configルール）で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ＆管理者へのメール通知を行ってみたいと思います。 また、CloudForma…

はじめに こんにちは。エンタープライズクラウド部の脇江です。 突然ですが、皆さん EC2 インスタンスの運用管理に Systems Manager（以下、SSM）を使ってますでしょうか？ SSM には EC2 インスタンスの運用管理に役立つ多数の機能が備わっています。 例えば…

本記事の概要 前置きなど どう進めないか 多少の変化は許容 アクションボタンが無い Quick Setup 作成 スキャンとインストール パッチベースライン ターゲット 概要 確認 日々の運用を想像する 最後に 本記事の概要 こんにちは、矢野(喬)です。 AWS Systems …

こんにちは！イーゴリです。 下記のアップデートが便利だと思ったので、紹介します。 aws.amazon.com 何ができるようになった？ 新規EBSボリュームをアタッチした後で、AWSから（＝Windowsサーバーへログインせずに）ドライブレターの指定やボリュームのフォ…

IE課で研修中の河本と申します。 弊社では中途入社でも4カ月の研修期間が設けられておりますが、早いもので残り1カ月となりました。 研修の中で、AWS Systems Manager Session Manager（以下セッションマネージャー）の操作ログについて考える機会があったた…

こんにちは！イーゴリです。 今日はとても便利な機能をご紹介したいと思います。 背景 イメージ図 EC2前提条件 有効にする方法 背景 以前の記事では、プライベートな環境でSSMを使える方法を紹介しました。 しかし、上記の方法だと、下記のデメリットがあり…

IE課で研修中の河本と申します。 EC2にログインする際は、パスワードの代わりにキーペアという鍵を使用してログインします。 当社ではお客様にキーペアを連携する手段として、パラメータストアをご案内することがあります。 今回はパラメータストアの概要と…

こんにちは。CS2課でOJTをしている上山と申します。 AWS Systems Manager（以下、SSM）を使えば踏み台サーバーなしでプライベートな環境にあるEC2に接続できると聞いたので、やってみました。 設定条件 対象のEC2インスタンスがSSMを使用できる状態とします…

こんにちは。 ブッシュクラフトにハマりかけている島村です。 最近は、ロープワークを練習しようと考えています。 さて、今回はAurora Serverless v2(PostgreSQL互換)を使用して、負荷をかけてみます。 負荷をかけた際にAurora Serverlessv2がどの程度の時間…

こんにちは。エンタープライズクラウド部技術3課の脇江です。 EC2 の Windows Server インスタンスで SSM Agent を使用するときのプロキシ設定について調べる機会がありましたので、備忘のために記しておきます。 今回は以下を前提条件として動作の確認を実…

こんにちは 技術課の山本です。 Systems Manager のセッションマネージャー機能における ResumeSession 権限について、お問合せいただいたので、調べました。 ResumeSession は IAM ユーザーにセッションマネージャーへのアクセスを許可する際に付与する権限…

Systems Managerエージェントのバージョンアップ検証のために、現在インストールされているSystems Managerエージェントのバージョンダウンをどのようにおこない、アップデート検証をおこなったかについてまとめました。

注釈：文章にわかりにくい部分があったため、記載を全体的に少し修正しました。(2023/5/11 AM) こんにちは。 技術課の山本です。 PC端末やサーバーにスクリーンセーバー設定を入れておくと、画面ロックをし忘れた時にも、少し経てば自動でロックが掛かるため…

AWS Systems Manager Fleet Managerで接続した際にAWS CloudTrailにどんなログが残るか調べてみた

こんにちは。 技術課の山本です。 以下の記事で、SSM Automation の独自ランブックを作成し、任意の Lambda 関数を実行してみました。 blog.serverworks.co.jp 本記事では、 ECS タスク（RunTask） を実行してみます。 Lambda の実行時と同様に、独自ランブ…

こんにちは。CI部の島村です。 現地でProtecting production with Amazon ECS security featuresを試聴してきました！ 訳:Amazon ECS セキュリティ機能による本番環境の保護 英語力はないものの、ないなりに備忘のため記録に残したいと思います。 サマリー …

開発環境用にAmazon EC2インスタンス（Amazon Linux2）を作成し、ローカルのWindows PCでSSH接続の設定をして、VS CodeからSSH接続するまでの手順を備忘録としてまとめました。

開発環境用にAmazon EC2インスタンス（Amazon Linux2）を作成し、ローカルのMacBookでSSH接続の設定をして、VS CodeからSSH接続するまでの手順を備忘録としてまとめました。

こんにちは。AWS CLIが好きな福島です。 はじめに 概要図 前提 流れ ①IAMポリシーの作成 ①-①ChatbotがSSMのドキュメントを実行できるようIAMポリシーを作成します。 ②IAMロールの作成 ②-① IAMロールを作成し、①で作成したIAMポリシーをアタッチし、信頼関係…

こんにちは！技術1課、濱岡です。 みなさんは、目玉焼きには塩派？醤油派？ソース派？のどれですか？ 私は基本何もつけずに食パンに乗っけて食べていたのでそんな派閥があるんだなと思いました。 さて、今回はAWS Systems Managerのパラメータストアのお話で…

こんにちは、イーゴリです！ 「プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインするにはどうすれば良いの？」と疑問に思う方へ、本日の記事でVPC エンドポイントをご紹介したいと思います。 記事の目標 解決方法 VPC エンドポ…

コーヒーが好きな木谷映見です。 本日は、AWS Systems Manager のセッションマネージャーを使用したリモートホストへのポートフォワードを制限してみます。 セッションマネージャーでリモートホストへのポートフォワードを制限する経緯 準備：リモートホスト…

コーヒーが好きな木谷映見です。 2022年5月27日、AWS Systems Manager（以降、SSM と表記）のセッションマネージャーでリモートホストへのポートフォワード機能をサポートしたアップデートがありました。試してみましょう！！ aws.amazon.com ポートフォワー…

こんにちは、屋根裏エンジニアの折戸です。 タイトル長いですが、あしからず。 経緯 元のテンプレート 対策 テンプレート分割 親スタック用テンプレート 役割 nest-stack-parent.yml 子スタック用テンプレート 役割 nest-stack-child.yml 子スタック用テンプ…

こんにちは！技術4課のイーゴリです。 オンプレミス環境を担当した時にWindows UpdateのためにWSUS（Windows Server Update Services）を使いましたが、AWSで自動的にWindows Updateを適用させるとても楽な方法があります！ 本件の記事では、AWS Systems Man…

こんにちは！SRE2課 入倉です。 前回のブログではIncident ManagerとAutomationを使って、自動で電話通知、httpdプロセスの自動復旧を試みました。 しかし、前回の実装方法だとhttpdプロセスが無事に自動復旧した場合も電話通知がくることになります。 その…

こんにちは！SRE2課 入倉です。 みなさん、運用の自動化してますか？ 初投稿である今回はSystems Managerの機能であるIncident ManagerとAutomationを使って運用自動化を色々と試してみました！ はじめに Incident Managerとは Automationとは 前提 Automati…

こんにちは、SRE2課の松井(紀)です。 最近オライリー・ジャパンのSREを読んでいまして、重要なタスクに注力するためにトイルを撲滅せよ、という記述を読みました。 「トイルとは、手作業、繰り返される、自動化が可能、戦術的、長期的な価値がない、サービス…

ハイブリッドアクティベーションはオンプレサーバを AWS Systems Manager (以下、SSM)で管理しちゃおうという機能です。ハイブリッドアクティベーションというカッコいい名前は、クラウドとオンプレの両方を登録できるところから来ているのだと思います。 ま…

AWS Systems Manager Fleet ManagerからのRDP接続機能を紹介

営業部 佐竹です。本日は、AWS 上のリソースを悪用され Crypto Currency （仮想通貨/暗号通貨）の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。

AWS Systems Manager ハイブリッドアクティベーションで登録した外部サーバについてもタグ設定をしたいと思いました。 しかし、自アカウントのEC2インスタンスではないので、ECのコンソール画面やAPIでは表示されませんでした。 マネージメントコンソールで…

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド <command> <subcommand> describe-instance-information ①ResourceType,InstanceId ②①+PingStatus ③①+AgentVersion,IsLatestVersion ④①+PlatformType,PlatformName,PlatformVersion ⑤①+IPAddress,C</subcommand></command>…

こんにちは。AWS CLIが好きな福島です。 結論 終わりに 今回はタイトル通り、SSMで管理しているマネージドインスタンスのアプリケーション一覧を抽出するコマンドをご紹介いたします。 結論 aws ssm describe-instance-information --query "InstanceInforma…

こんにちは。AWS CLIが好きな福島です。 結論 備考 終わりに 今回はタイトル通り、SSMで管理している全マネージドインスタンス(Windows)のサービス一覧を抽出するコマンドをご紹介いたします。 結論 実行コマンド aws ssm describe-instance-information --q…

こんにちは。AWS CLIが好きな福島です。 結論 備考 終わりに 今回はタイトル通り、SSMで管理している全マネージドインスタンス(Windows)の役割と機能一覧を抽出するコマンドをご紹介いたします。 結論 実行コマンド aws ssm describe-instance-information -…

AWS Systems Manager は、ハイブリッドアクティベーションという方法で、他のAWSアカウントのEC2インスタンスも管理対象にできます。 blog.serverworks.co.jp しかし、なんらかの理由で「やっぱり元のアカウントに管理を戻したい」となることもあります。 以…

本ブログは動画でも解説を行っています。 www.youtube.com こんにちは、サービス開発の丸山です。 今回は(も?)小ネタの紹介です。 私は VSCode の Remote - SSH という機能を使ってAWSのEC2にSSHして開発を行うことがたまにあります。 Remote - SSH とはその…

EC2インスタンスの運用には、AWS Systems Manager（以下、SSM）の活用が重要です。 SSMの動作には、EC2インスタンスのOS上で amazon-ssm-agent が起動している必要があります。 amazon-ssm-agentは頻繁にアップデートされているので、各インスタンスに手動で…

CI部佐竹です。 本日は東京リージョンで利用可能となった m6i インスタンスへとインスタンスタイプを変更する作業を実際に検証してみました。第6世代の利用には ENA のドライバーバージョンが v3 以上の必要があるという制限から、SSM Automation ドキュメン…

雨の日が気持ち良い季節ですね。 プロセスエンジニアリング課の礒です。こんにちは。 今回は ECS Fargateタスクに SSM からログインしたい方向けのTipsをご紹介します。 概要 まず、Amazon EC2 (以下 "EC2" )インスタンスや Fargate コンテナに AWS Systems …

CI部 佐竹です。 本日は、ちょっとした運用知見の共有です。 はじめに 結論 何が起きたのか AWSSupport-TroubleshootManagedInstance を実行してみる SSM Agent のログを確認してみる OS の時刻がズレていることに気付く まとめ はじめに 今回のブログは、以…

「そのAWSアカウントの管理は私の担当では無いんですけど、そこにあるEC2インスタンス1台だけは運用保守しなくちゃいけないんです。」 AWS Systems Managerなら可能です！ ハイブリッドアクティベーションを利用しましょう。 Systems Manager は、通常はAWS…