垣見です。 セキュリティ対策を検討する際、「とりあえずWAFを入れる」「ポートを閉じる」といった場当たり的な対応になっていませんか？ システムの全体像を把握し、どこにどのようなリスクがあるのかを構造的に理解するための手法が「脅威モデリング（Threat Modeling）」です。 Well-Architectedフレームワークにも、SEC01-BP07 脅威モデルを使用して脅威を特定し、緩和策の優先順位を付けるで「やらない場合のリスクレベル：高」として載っています。 今回は、…

垣見です。 AWS IAM Identity Centerの一時的な権限昇格を実現するOSSソリューション「Temporary elevated access management（以下、TEAM）」ですが、「結局どういう仕組みで動いてるの？」と気になった方も多いのではないでしょうか。 今回は、TEAMの仕組みを掘り下げて解説していきます。 TEAMを使っていない方でも、DynamoDB Streamsを使ったイベント駆動型サーバレスシステムの実装例としても面白いかもしれませ…

垣見です。 Temporary elevated access management (TEAM) for AWS IAM Identity Center （以下、TEAM）で、GitHubを使わないでCodeCommitを使う実用的なデプロイ方法をご紹介します。 初めに 前提条件 概要 deploy.shの挙動 手順 1. 管理アカウントで各種委任を行う 1-1. デプロイアカウントにIAM Identity Centerを委任する 1-2. デプロイアカウントにCloud…

垣見です。Amazon GuardDuty。導入するだけで脅威検知ができる、AWSセキュリティの基本サービスですよね。 しかも「30日間の無料トライアル」があり、その中で事前にどの程度のコストがかかるのかを把握してから継続判断ができます！ 本日はこちらの詳しい仕様をご紹介します。 無料トライアル中の「推定組織コスト」 仕様 経緯 GetUsageStatistics API 試用期間中のコスト試算の方法 まとめ 無料トライアル中の「推定組織コスト」 Amazon GuardD…

垣見です。re:Invent 2025 2日目Keynote with CEOで発表されたアップデートをすべて漫画にしました。 なぜなら、漫画の方が頭に入るからです。 はじめに 注意点 全体の所感 AIインフラ P6e-GB300 (GA) AWS AI Factories (GA) Amazon EC2 Trn3 Ultraservers (Preview) AWS Trainium 4 推論モデル Amazon Bedrock adds 18 fully managed …

垣見です。 AWS OrganizationsのSCP（サービスコントロールポリシー）で「暗号化されていないEBSボリュームの作成」が禁止（Deny）されている環境において、既存の非暗号化EBSボリューム（以下EBS）は一般的な方法では暗号化済みに移行できません。 「リストアが必要になったが、SCPに弾かれてできなかった！」のような事態を防ぐために、SCPを付けたままでも非暗号化EBSをEBSに置き換えられる2つの方法について検証を行いました。 なおこの記事は、サーバーワーク…

垣見です。 前後編ハンズオンのうちバックエンド編（DynamoDB ×Lambda ×API Gateway）です。 「サーバレスアプリ」という言葉に、「何から始めたらいいのかわからない」「構成が分からない」と敷居が高く感じている人向けのブログです。 このブログでは、AWS上のサーバレス構成で動くWebアプリを、最初の始め方からバックエンドの作り方まで初心者向けに丁寧に解説します。 コードが分からなくても、AWSが分からなくても大丈夫です。一つずつ説明していきます。 はじめに…

垣見です。 前後編ハンズオンのうちフロントエンド編（React×TypeScript）です。 「アプリを作る」という言葉に、「何から始めたらいいのかわからない」「コードなんて書けない」と敷居が高く感じている人向けのブログです。 このブログでは、AWS上のサーバレス構成で動くWebアプリを、最初の始め方からバックエンドの作り方まで初心者向けに丁寧に解説します。 コードが分からなくても、AWSが分からなくても大丈夫です。一つずつ説明していきます。 はじめに 今回作るもの ブログで…

垣見です。 コンテナやDockerを知らないけれどAmazon ECRやAmazon ECSを学びたい人向けに、「概念や関係性を理解する」ための図解ブログを書きました。 世間にたくさんあるECSハンズオン前後に読むと理解が深まると思います。 このブログで分かるようになること 結論 コンテナとは？ もしコンテナが無かったら コンテナの良さ コンテナの運用 コンテナの技術 Dockerとは？ ①【開発者側】アプリのコンテナ化 ②【開発者側】コンテナイメージのプッシュ ③【利用者側…

垣見です。 AWS Systems Manager のOrganizations環境での統合コンソール機能を有効化する方法のご紹介です。 環境の既存設定のせいでいくつか躓いた点もあったので、エラー文を見ながら有効化時の仕様も確認しつつ解説します。 はじめに 当ブログの対象読者 概要と注意点 ノードのインサイトを確認するための手順 前提 1-1.組織の管理アカウントでAWS Systems Managerの委任アカウント設定をする 管理アカウントにログイン > Systems …

垣見です。 CodeCommitが使えない環境でのTEAMのデプロイの方法をご紹介します。 初めに 記事の対象者 この手順のゴール 環境前提 変更が加わるAWSリソース 作成されるAWSリソース その他 手順の概要とポイント 準備 1. TEAM のAWS公式GitHubリポジトリをCloneし、自身の新しいリポジトリとして用意しておく 2. GitHubのアクセストークンを用意 3. IAM Identity Centerのグループに、監査ペルソナ・管理者ペルソナ用のグルー…

垣見です。 AWS re:Invent 2024で発表されたAmazon S3 Metadataについて、概要をつかめるようになることを目的としたブログです。 後半では設定・クエリ・削除も実画面で触っています。 なお、このブログはサーバーワークスで参加しているQiitaアドベントカレンダー2024の記事の一つとしてアップしておりますのでよければ他のブログもご覧ください。 ※本発表はプレビュー版です。​ Keynoteで発表のあった内容と2024年12月23日(UTC+0900…

垣見です。 日本語で行われたAWS re:Invent Japan Wrap-up Sessionが良かったので、参加を悩んでいる方向けにご紹介します。 ※ブログ化にあたり、AWSJの方に内容や島津氏との対談の内容を出して良い許諾を得ております。 結論 対象者 AWS re:Invent Japan Wrap-up Sessionとは？ アジェンダ 詳細 キーノート振り返り Fireside chat Ask a speaker その他 特に向いていると感じた人の例 まとめ …

垣見です。AWS re:Invent 2024のExpoについて、英語が苦手でも意外と楽しむことが出来たのでその共有です。 私の体験が、同じように不安を持っている方の参考になれば嬉しいです。 対象者 Expoとは？ 自分の英語レベル どうする⁉英語対策 勇気を出そう！ 翻訳アプリを使おう 事前情報を得よう 技術が分かる人と一緒に回ろう！ その他の工夫 Expoのここが楽しい！ 最後に 対象者 re:InventのExpoとは何か、どんな様子なのか知りたい方 英語が苦手だけどE…

… 2年目エンジニアの垣見です。 やってまいりました、AWS re:Invent 2024！ 舞台は日本を飛び越え海の向こうのラスベガスです！ とはいえ、普段島国に閉じこもっている自分は飛行機移動に不安いっぱい。 ということで、空港〜ラスベガスまでの道筋をブログにしました。 なお出来るだけ記憶に忠実に書いていますが、「？」がついているところなど正確な時刻があやふやだったり、その方の状況や時期によって体験が異なることはあるかと存じます。 完璧なマニュアルではなく、あくまで体験記と…

…要がある はじめに 垣見です。以前、AWSの公式ソリューションTemporary Elevated Access Management (TEAM)とは何か、そのメリットとできることについて解説するブログを投稿しました。 過去記事はこちら： blog.serverworks.co.jp blog.serverworks.co.jp 今回は、AWS IAM Identity Center（以下IdC / IAM Identity Center）とMicrosoft Entra …

垣見です。 IAM Identity Center運用を効率化するTEAMについて、要望パターン別に手順をご案内いたします。 はじめに 注意事項 TEAMにログインしたい TEAMで申請・承認の流れを試したい・方法が知りたい 注意事項 承認ペルソナを設定したい 申請ペルソナを設定したい 権限の自動付与設定をしたい TEAMを使えるユーザー・グループを確認したい/増やしたい/減らしたい 監査ペルソナ・管理ペルソナを確認・更新したい これまでにあった申請/承認を確認したい 各セッ…

垣見です。 IAM Instance ProfileとAWS IAM Roleの違い、説明できますか？ 私は誤解していて、Instance Profileにタグ付けをしてもIAMコンソール上で確認が出来ない！？とハマったのでまとめました。 結論 IAM Instance ProfileとAWS IAM Roleの関係 リソースタグについて 対象読者 IAM Instance ProfileとAWS IAM Roleの関係 二者の分離 IAM Instance Profileを…

垣見です。 プログラミング初心者のみなさん、「Boto3を使ってLambdaの開発をしろ」と言われたらどうしますか？ 答えはすべてインターネット上のReferenceにあります。（ない時もあります） 結論 はじめに 対象 Boto3とは？ Boto3とAWS CLIの違い Boto3のReference referenceを読んでみよう 全体構成（最初は飛ばしても良いです） Available Servicesの見方 ポータルページとboto3.client ●ポータルページ…

垣見です。 IAMのベストプラクティスとしてよく聞く「MFA有効化」は自動処理ワークロード用のIAMユーザーには適用するべきなのか気になって調査した結果、「そもそもIAMユーザーではなくIAMロールを使うべし」という結論になりました。 はじめに 用語 結論 MFA有効化はIAMユーザーのベストプラクティスである IAMロールを使いましょう IAMユーザーよりもIAMロールが推奨される IAMユーザーは長期的な認証情報 AWS IAM Roles Anywhereという選択肢 …

垣見です。 通常ProxyがあるAmazon AuroraではBlue/Greenアップグレードをすることはできませんが、無理やり実施するとどうなるか手順をまとめました。 基本おすすめはインプレースアップグレードやバイナリログレプリケーションでのアップデートですが、それらとの比較やBlue/Green Deloymentsの仕様の把握の手助けになれば幸いです。 また、Proxy付け外し関連の項目を除けば通常手順としても使うことが出来るので参考になればと思います。 はじめに ち…

垣見です。 2024年9月6日、JAWS-UG千葉支部の第3回「AWS BuilderCards体験会」に参加してきました。このイベントはオフラインでの開催で、AWS BuilderCardsの遊び方について、参加者と一緒に実際に遊びながら学べる体験型のイベントです。 JAWS-UG千葉支部 #38(オフライン開催) 第3回「AWS BuilderCards体験会」 - connpass 今回のブログでは、その体験を振り返りつつ、感じたことや学びをレポートし、さらに、後日勉強…

楽しく勉強したい垣見です。 昔SAAの勉強に使った教科書から、覚えにくいAWSの概念に対する語呂合わせや落書きをたくさん発掘しました。 強制的に頭に入ると（私の中で）評判なので、いくつかご紹介します。 はじめに Well-Architected フレームワーク6本の柱 →「運信持セパコ」 ElastiCache の Memcached と Redis →「猫戦士と不死の精霊使い」 Kinesis の Data Streams と Firehose →「川と消防ホース」 Sec…

図解の垣見です。 「IAM Identity Centerの権限をいちいち付けたり戻したり…もう面倒！」 そんなあなたに「TEAM」ソリューションの良さをご紹介します。 認可に関する【セキュリティ強化＆運用効率化】のお話です。 想定読者 TEAMとは TEAMの基本動作 概要 ①初期状態 ②申請 ③承認 ④最終状態 実際の画面 ①初期状態 ②申請 ③承認 ④最終状態 ⑤権限のはく奪 TEAMのポイント ①権限の自動削除 ②承認者と管理者が別 ③セッションごとのアプリ上での監査…

…はじめに 図解好きの垣見（かきみ）です。 SIEM on AOSを1から学ぶ！ブログシリーズ第三弾です。第一弾では概要を、第二弾ではデプロイ方法を説明しました。 今回はエンジニア向けに、デプロイされる一つ一つのリソースとその連携について解説します。不具合が起きたとき、原因を推測できるようになれたら最高です。 ゴールは「構成図の意味が分かること」です。自分で分かりにくかった、SQSを有効化する方法もおまけで載せています。よろしくお願いします。 SIEM on OpenSearc…

…じめに 図解が好きな垣見（かきみ）です。 SIEM on AOSを1から学ぶ！ブログシリーズ第二弾です。第一弾では概要を説明したので、次は実際にデプロイしてみましょう。 今回のゴールはもちろん、「実際にSIEMがデプロイできるようになること」です。 ついでにCloudTrailのレプリケーションでのログ連携も試してみます。よろしくお願いします。 SIEM on OpenSearch Service（公式）： github.com シリーズ第一弾（SIEMとは？SIEM on …

…が得意な気がしている垣見（かきみ）です。 SIEM on Amazon OpenSearch Service (SIEM on AOS)について検証して社内勉強会を開催したので、勉強会で使ったスライドをブログにしました。 このブログシリーズでは、「何も知らなくてもSIEM on AOSのデプロイ方法、使い方、強みがわかる」ようになることを目的としています。 第一弾となる今回は概要編ということで、「SIEM on AOSはどんな課題を解決し、何が良いのか」がわかるようになること…

垣見（かきみ）です。 タイトルの通り、Amazon GuardDutyで「重要度：高」以上をメール通知する方法をお客様に聞かれて検証したので、ブログとしても書きました。 実は以前弊社社員が同様のブログを書いているのですが、4年前ということで最新版として改めてまとめました。 blog.serverworks.co.jp 基本的には大筋は以前のものと同じです。私は偉大な巨人の肩に乗っています。いつもありがとうございます。 概要 注意事項 手順 Amazon SNSの準備 トピック…

垣見（かきみ）です。 最近、AWS Direct Connect（DX）上に複数あるリソースのうちいくつかの削除を経験する機会がありました。 こういう回線系のサービスって触って失敗したときの影響を考えると不安ですよね。それなのに、気軽な検証がしにくく一般の資料が少ない…これは困った。 そこで、今回はVIF・DXGW・VGWの削除方法をまとめました。 略称 前提条件 1. 削除対象と構成 2. 占有型と共有型 3. ユーザー権限 作業実施前の注意事項 作業手順 1. ルートテー…

…3年新卒未経験入社の垣見（かきみ）です。先日（といっても2か月前の2023年12月）、AWSが主催するGame Dayというイベントに参加してきました。 そのためにGame Dayについて下調べしていたとき「初心者が参加したらどうなるか」「初心者が行ってもいいのか」という視点の体験談がほとんど見つからなかったため、今回はその体験談をお伝えします。 はじめに 結論 Game Day とは？ 当時の自分の実力 参加の経緯 今回のGame Day 問題についての所感 大会後の懇親会…

…属が待ち遠しい新卒の垣見（かきみ）です。 OJTでAmazon Connectを触った際に口で説明するのが難しかった「キュー、ルーティングプロファイル、ユーザーの関係」について、図でまとめてみました。 前提とゴール 対象 ゴール 結論 キューとは「問い合わせの一時待機場所」 キューの基本イメージ キューの使い方 標準キューとエージェントキュー ルーティングプロファイルの意義 ルーティングプロファイルは「キューをまとめたもの」 エージェントとの関係：キューをルーティングプロファ…