AWSConfigRoleは「ダメ。ゼッタイ。」 2022年5月4日に AWS Health Event の通知を受信しました。 3行でまとめると以下になります。 AWSConfigRole というIAMポリシーは非推奨、今後アタッチできなくなる。 AWSConfigRole は使い続けられるが、ポリシーはメン…
サーバーワークスでは様々なSaaSを利用していますが、ユーザーIDを管理するための IDaaS は OneLogin を使っています。 今回は、OneLogin で 株式会社ヌーラボの Cacoo へシングルサインオンする設定を検証してみました。 今回のシナリオ Nulab Pass のトラ…
日本法人がAWSを利用するとき、従来は米国のAmazon Web Services, Inc. と契約していました。これが2022年2月ごろにAWS Japan(アマゾンウェブサービスジャパン合同会社)との契約に切り替わっています。 カスタマーアグリーメントの変更 以下は、Customer A…
CloudFormation を YAML で書くとき、文字列を "(ダブルクォート) で囲まないでいいと思っていました。しかし、これが無いとエラーになるというケースに遭遇しました。 ブレースを含む場合は注意 エラーになる書き方 正しい書き方 CloudFormationテンプレー…
前回、ITIL 4 Foundation 受験の記事を書きました。続編です。 blog.serverworks.co.jp 合格の数日後に Important information about your ITIL® Foundation certificate という件名のメールが届きました。 スルーしても良さそうですが、せっかくなので試し…
受験動機 運用ルールをどうすればいいか悩む機会があり、 ITIL の考えが役に立つかもと思いました。サーバーワークスでは ITIL の受験料は経費精算できるので、いい機会なので受験することにしました。 現在の ITIL Foundation 試験は、v3 と v4 の2つが併存…
ハイブリッドアクティベーションはオンプレサーバを AWS Systems Manager (以下、SSM)で管理しちゃおうという機能です。ハイブリッドアクティベーションというカッコいい名前は、クラウドとオンプレの両方を登録できるところから来ているのだと思います。 ま…
EC2はDHCPオプションセットのDNSサーバを参照する VPC内のあるサーバだけ異なるDNSサーバを参照したい やってみた オプション1 (dhclient.conf) オプション2 (ifcfg-eth0) resolv.confを編集すればいいのでは? EC2はDHCPオプションセットのDNSサーバを参照…
IT システムを運用していると、脆弱性情報などのセキュリティを気に掛ける必要が常にあります。 AWS の EC2 インスタンス上の OS の設定やユーザーがデプロイしたアプリケーションをセキュアに保つのは、主にユーザー側の役割です。 また、 AWS の基盤部分で…
AWS Systems Manager ハイブリッドアクティベーションで登録した外部サーバについてもタグ設定をしたいと思いました。 しかし、自アカウントのEC2インスタンスではないので、ECのコンソール画面やAPIでは表示されませんでした。 マネージメントコンソールで…
本日からラスベガスではAWS re:Inventが開催されています。 まあ私は現地に行けなかったので、オンラインでセッションを見ています。 では、FunPlus社によるDDoS防御に関するセッションのレポートをします。 セッション概要 原題 Funplus在亚马逊云科技上抵…
Amazon Data Lifecycle Manager (以下、DLM)を使って、EC2インスタンスのクロスアカウントスナップショットコピーをしてみました。 目的 要件 設定手順 コピー元アカウントの設定 コピー先アカウントの設定 まとめ 目的 セキュリティ侵害やうっかりミスで…
AWS Systems Manager は、ハイブリッドアクティベーションという方法で、他のAWSアカウントのEC2インスタンスも管理対象にできます。 blog.serverworks.co.jp しかし、なんらかの理由で「やっぱり元のアカウントに管理を戻したい」となることもあります。 以…
株式会社Flatt Securityの提供するセキュアコーディングの学習サービス「KENRO(ケンロー)」のトライアル利用が2021年10月に無料になりました。通常は8万円くらいかかるコンテンツの一部が無料になっています。 flatt.tech 無料の範囲をやり終えましたが、…
2021年9月9日からElastic IP アドレスのDNS逆引きが東京リージョンでも可能になりました。 aws.amazon.com やってみる 公式手順:Elastic IP アドレス - Amazon Elastic Compute Cloud 1. アクション > 逆引き DNS を更新 マネージメントコンソール > EC2 > …
AWS障害時にどこを見ればいいのでしょうか。また、どうやって障害に気づけばいいのでしょうか。 例えば「Direct Connectが壊れた」「EC2のAPIに異常が発生した」時は、気づきたいものです。 AWS Health イベントの通知 パブリックイベントとは アカウント固…
EC2インスタンスの運用には、AWS Systems Manager(以下、SSM)の活用が重要です。 SSMの動作には、EC2インスタンスのOS上で amazon-ssm-agent が起動している必要があります。 amazon-ssm-agentは頻繁にアップデートされているので、各インスタンスに手動で…
「そのAWSアカウントの管理は私の担当では無いんですけど、そこにあるEC2インスタンス1台だけは運用保守しなくちゃいけないんです。」 AWS Systems Managerなら可能です! ハイブリッドアクティベーションを利用しましょう。 Systems Manager は、通常はAWS…
2021年6月の時点で、我々が通常使っているAWSアカウントには21リージョンが存在します。 しかし、多くの人が実際に使っているリージョンは数個ではないでしょうか。 AWS Organizations の SCPを利用し、特定リージョンのみ利用可とする方法を試したので紹介…
AWS管理者として悩ましい問題の一つに「このリソース誰が作ったの?」「なんのためのものなの?」「今も必要なの?」というのがあります。 これに対するソリューションの1つに、各リソースにタグや説明をつけるというのがあります。 「では全てのリソースに…
AWSアカウントのS3の料金を AWS Cost Explorer と Amazon S3 Storage Lensを使って分析してみました。 まずはCost Explorerで確認 どのサービスが高いか S3のどの料金タイプが高いか どのリクエストが高いか どのバケットが高いのか S3 Storage Lensも使って…
1月ほど前にPHP7技術者認定初級試験に合格していました。 受験理由 以前ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)を受験しました。 blog.serverworks.co.jp その上級のウェブ・セキュリティ実務知識試験(通称:徳丸実務知識試験)というのが今後…
CloudFormationのStackSetsを使うと複数リージョンに一括でリソースを作成できます。 一括で設定できるのは嬉しいのですが、リージョンごとに一部の設定を変更したい場合もあるかと思います。 例えば、以下のような要望が出てくるかもしれません。 リージョ…
以前にIAM Access Analyzerを紹介する記事を書きましたが、今回はその発展編です。 blog.serverworks.co.jp 複数リージョンでIAM Access Analyzerを有効化 CloudFormationで設定する 検出時の通知メール スイッチロールについて このテンプレートの既知の問…
「セキュリティも不安だし、そろそろウチにもWAFを入れてみようか。」 クラウド以前のWAFは非常に高価でしたが、最近は廉価なWAFも増えています。 その中でもAWS WAFは非常に低価格で簡単に試すことができるので、非常にオススメです。 本記事では、AWS WAF…
re:Inventでは、「新しいサービスが発表されました!」というセッション以外にも、手を動かして学べるJamというコンテンツがあります。 話聞いているだけじゃつまらないですよね? 今回、 Jamの一つである AWS Security Jam – Presented by Datadog, Splunk,…
CloudTrailのログをS3に保存することがあります。 その検索にはAthenaが便利で、導入もマネージメントコンソールから簡単にできます。 しかし、マネージメントコンソールの指示にしたがって導入すると、検索速度やコストの面で問題が発生します。 これを解決…
QuickSightに日付データを正しく認識させる方法について確認しました。 データソースによって日付フォーマットが様々 QuickSightでデータを可視化したい時に、参照するデータソースに日付が入っていることが多いと思います。 ただ、データソースによって、1…
※ [最終更新:2022年6月] 「今使っているサーバのOSってそろそろサポートが切れる?」 「え、じゃあ次にどれに乗り換えたらいいの?」 システムを運用していると、そのような検討が必要になることがよくあります。 そこで比較的互換性の高いRHEL・CentOS・Am…
メンテナンスのため、一時的にWebサーバへのアクセスを止める必要が発生しました。 その時間帯は、いわゆる「メンテナンスページ」「Sorryページ」を表示させる必要があります。 ふと、 HTMLとかCSSで多少はデザインされたページを返したい と思いました。 …
ALBへのアクセスを日本国内からに限定したいということがあります。 AWS WAFに以下のルールを設定すれば簡単です。 Web ACLにルールを追加 Web ACLの設定画面で Add my own rules and rule groups を選択します。 Rule builderで設定を入れる Rule builderの…
2020年8月17日のアップデートです。 ALBとCLBに Desync 緩和モード という設定項目が追加されました。 これはセキュリティ強化のための機能となります。 Application Load Balancer および Classic Load Balancer が Desync Mitigation Mode を導入して高度…
AWS Systems Manager ディストリビューターは、インスタンスへソフトウェアを自動インストールする機能があります。 2020年8月のアップデートで、Trend MicroのDeep Securityエージェントもディストリビューターの対象になったので、早速試してみました。 AW…
2020年7月28日にAmazon Fraud Detectorが一般公開されました。 機械学習の知識が無くても、簡単に不正検知をできるサービスです。 Detect fraud faster using machine learning with Amazon Fraud Detector – now generally available Amazon Fraud Detector…
出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正…
2020年7月9日のアップデートで、AWS WAF セキュリティーオートメーションがWAFv2 APIをサポートするようになりました。 aws.amazon.com 1. AWS WAF Security Automationsとは AWSには、AWS WAFというWebアプリケーションファイアウォールのサービスがありま…
2020年6月25日のAWS CodeBuildのアップデートです。 AWS CodeBuildが追加のシェル環境をサポートするようになりました。 AWS CodeBuild Now Supports Additional Shell Environments AWS CodeBuildを利用すると、ビルド用コンテナが作成され、その中でShell…
2020年6月16日のアップデートです。 AWS AppConfig がホストされた構成のリリースを発表 なお、AWS AppConfigは2019年11月に発表されたサービスであり、AWS Systems Managersの一部でもあります。 AWS は、AWS AppConfig でホストされる構成の立ち上げを発表…
某クラウドで動いていたMySQLをAmazon RDSに移行する案件を担当しました。 その際にとった方法について紹介します。 データベース移行条件 案件開始時に以下の条件が与えられました。 移行元のMySQLのバージョンは5.1 移行対象データベースのストレージエン…
2020年6月9日にAWS Shield Advancedのアップデートがありました。 AWS Shield Advanced がイベントへのプロアクティブな対応のサポートを開始 といっても、ほとんどのAWSユーザーがAWS Shield Advancedを使ったことがないと思います。 本記事では、AWS Shiel…
AWSにはSecurity Hubというコンプライアンスチェックをしてくれるサービスがあります。 「AWS基礎セキュリティのベストプラクティス」のチェック項目の1つに 「CloudTrailでは、保管時の暗号化を有効にします」というのがあります。 しかし、私のAWSアカウン…
日本国内の通信と異なり、日中間の通信は不安定です。 中国関連の業務をされている方の多くは、この回線問題に悩まされていると思います。 インターネットを利用している限りは、これらの根本的な解決はできないと言えるでしょう。 さて、インターネットがダ…
2020年6月3日のアップデートでDirect Connectのフェイルオーバーテストが可能になりました。 AWSとオンプレミスの接続をする時にはDirect Connectが用いられますが、障害対策として、2本の接続を利用することもよくあります。 1本で障害が起きても、もう1本…
2020年に5月27日のアップデートでNetwork Load Balancer(以下、NLB)でTLS ALPNが利用できるようになりました。 Network Load Balancer が TLS ALPN ポリシーのサポートを開始 TLS ALPN についての説明は後述しますが、要するにNLBがHTTP/2に対応したというこ…
表題の通りです。 Security Hubで検出されたアレやコレをSlackに流し込むようにします。 AWS Chatbot が一般公開されました!の記事では、CloudWatchアラームの内容をSlackに流していましたが、今回はCloudWatchイベントの内容をSlackに流します。 全体構成…
2020年5月13日のアップデート AWS中国(寧夏)リージョンで利用可能になりました。 Amazon Route 53 is now available in AWS China (Ningxia) Region, Operated by NWCD Route 53は基本的なサービスであり、中国に今までなかったのかと驚くかもしれませんが…
2020年5月8日のアップデートで、AWS Service Catalogのサービスアクションでパラメーターサポートが利用可能になりました。 Parameter support is now available with service actions in AWS Service Catalog しかし、Service Catalogのサービスアクション…
1.AWS Systems Managerインベントリ とは AWS Systems Managerには多くの機能がありますが、その中の一つにインベントリがあります。 これはEC2インスタンス、またはオンプレミスのコンピュータの中にどのようなソフトウェアがインストールされているか、何…
AWSのセキュリティ機能の一つであるIAM Access Analyzerを使ってみました。 1.IAM Access Analyzer とは AWSアカウント内のリソースにアタッチされているポリシーをチェックし、信頼ゾーンの外部からアクセスされる可能性の有無を教えてくれるサービスです。…
2020年4月21日のアップデートです。 Amazon GuardDuty simplifies multi-account threat detection with support for AWS Organizations Amazon GuardDutyはAWS組織のサポートを追加して、組織内のすべての既存および将来のアカウントにわたる脅威の検出を簡…