3月よりカスタマーサクセス部に異動しました山﨑です。 今回はクロスアカウントでSecrets Managerのシークレットを取得する方法について整理したいと思います 想定するユースケース 今回の構成 各AWSアカウントで必要となる作業 アカウントA IAM 管理アカウ…
3月よりカスタマーサクセス部に異動しました山﨑です。 弊社内ではSlackがメインのコミュニケーションツールであるため、メールを頻繁に利用することはありません。 ただ、私たちが普段なにげなく利用しているメールの仕組みが気になったので少し調べて検証…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はre:Inventで発表された「AWS re:Post Private」を早速利用してみたので、その感想を書きたいと思います。 AWS re:Post と AWS re:Post Private とは 1. AWS re:Post について…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 Well-Architected Framework の Sustainability Pillar(持続可能性の柱)についてブログを執筆しましたが、これらはSustainability Pillar(持続可能性の柱)の概念や設計原則とい…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回は先日執筆した「Sustainability Pillar(持続可能性の柱)について考えてみる -Part1-」の第二弾ということで引き続き、Sustinabiliy Pillar について考察していきたいと思い…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Well-Architected Frameworks の1つである「Sustainability Pillar(持続可能性の柱)」について様々な観点から考察していきたいと思います 現在進行形で学習しているの…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 6月13日のAWSアップデートでPublic IPを利用することなく、EC2 Instance Connect を用いてSSH/RDP接続ができるようになったというアップデートがありました。 そこで今回はEC2イン…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations における「アクセス統制」について整理してみます AWS Organizations におけるアクセス統制 AWS Organizations のおさらい アクセス統制について ①IAM方式…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はマルチアカウント環境でAWS Service Catalog を利用する方法について整理していきます。 先に結論 おさらい AWS Service Catalog とは 想定しているマルチアカウント環境につ…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations でよく利用される「統合」と「委任」について整理してみます AWS Organizations のおさらい AWS Organizations の統合と委任 概要 サポートしているAWSサ…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はITガバナンスを強化するための1つの手段である、AWS Service Catalog について整理していきます。 AWS Service Catalog について AWS Service Catalog とは AWS Service Cata…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 最近は一気に気温が高くなり、我が家で生活しているフレンチブルドッグがバテ気味なのでそろそろクーラーを付けようか悩んでいます。 さて、昨今AWS Organizations を用いたマルチ…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 サウナブームが到来しているせいか、毎週通っているサウナの人が徐々に増えてきて困っております さて、今回はAWS Organizations におけるSCP設計のポイントを整理してみようと思い…
CI2部 技術2課の山﨑です。 先日書いた2つのブログではそれぞれタグ設計に関する基礎知識、アカウント設計パターン別のタグ設計について整理して考えてみましたが、今回は少し志向を変えてAWSリソースの命名規則について考えてみました。 blog.serverworks.c…
CI2部 技術2課の山﨑です。 先日ブログを書いたAWSリソースのタグ設計 - 基礎編- ではタグ設計に関する基礎知識を整理して考えてみましたが、今回はもう一歩踏み込んでアカウント設計のパターンごとにタグ設計について考えてみました。 検討したアカウント設…
CI2部 技術2課の山﨑です。 AWSリソースを設計する際に一度は目にしたことがある「タグ」の設定ですが、多くのAWSリソースではオプションとしてタグが付与できるようになっています。 今回はAWSリソースのタグ設計について考えてみました。 AWSリソースにお…
CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い(拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い)ため、同じ…
CI2部 技術2課の山﨑です。 複数のAWSアカウントならびに複数のリージョンにワンオペレーションでAWSリソースをデプロイすることができるCloudFormation StackSetsはとても便利で、マルチアカウント運用をしている場合は重宝されている方もいらっしゃるので…
CI2部 技術2課の山﨑です。 5〜7月にかけてRDS Performance Insights のアップデートが3つありましたので、今回はそれぞれ簡単にご紹介したいと思います。 おさらい RDS Performance Insights とは? アップデート概要 ①確認したいメトリクスの正確な時間範…
CI2部 技術2課の山﨑です。 7月にAmazon Athena がパラメータクエリをサポートしましたので簡単にご紹介したいと思います。 おさらい Amazon Athena とは? アップデート概要 パラメータクエリを実行できるようになりました これまでのクエリとの比較 パラメ…
CI2部 技術2課の山﨑です。 7月にTransit Gateway が VPC Flow Logs をサポートしましたので簡単にご紹介したいと思います。 おさらい VPC Flow Logs とは? アップデート概要 Transit Gateway が VPC Flow Logs をサポートしました Transit Gateway が取得…
はじめに インプット ①「AWSの最新情報」を英語で確認する 日本語ではなく、英語でチェックする 30分以上は時間をかけない ②「ドキュメント履歴」を確認する ③「AWS ニュースブログ」を確認する アウトプット ④社内のSlackチャンネルでキャッチアップしたア…
CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…
CI2部 技術2課の山﨑です。 今回の記事で伝えたいことは以下の通りです! S3バケットポリシーでPutBucketPolicyを制御する際はポリシーの記述ミスに注意しましょう! S3バケットポリシーについておさらい バケットポリシーにおけるPutBucketPolicyの制御につ…
CI2部 技術2課の山﨑です。 4月27日にIAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されるというアップデートがありました。 aws.amazon.com 今回はこのアップデートで一体何が便利になったのかを一部ご紹介します。 Global Condi…
CI2部 技術2課の山﨑です。 前回のブログでは AWS Lambdaを使ってAWS Config Rules のカスタムルールを作成しました。 blog.serverworks.co.jp 今回のブログでは AWS Lambdaの機能の1つであるLambda Layersを使ってカスタムルールとして定義したLambdaファン…
2022年に入ってからPythonの勉強を少しずつ始めました。CI2部 技術2課の山﨑です。 今回のブログでは AWS Config Rules のカスタムルールを作成してみようと思います。 AWS Config Rulesとは(おさらい) 機能 構成チェック 修復アクション(Remediation) 料…
CI2部 技術2課の山﨑です。 EventBridgeを利用してメール通知設定を行うには大きく以下の2つの方法があります。 EventBridgeの入力トランスフォーマー + SNSで実装する Lambda + SNSで実装する 1つ目の方法については過去にブログを執筆しましたので、今回は…
CI部1課の山﨑です。 これまでAmazon Athenaを利用してS3に保管されているAWS Config/AWS CloudTrail のログを調査する方法を調べましたが、今回はVPC Flow Logs のログを調査する方法を調べてみました。 blog.serverworks.co.jp blog.serverworks.co.jp お…
CI部1課の山﨑です。 前回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べましたが、今回はAWS CloudTrail のログを調査する方法を調べてみました。 blog.serverworks.co.jp おさらい AWS CloudTrail AWS CloudTrail と…
CI部1課の山﨑です。 今回はAmazon Athenaを利用してS3に保管されているAWS Config のログを調査する方法を調べてみたので整理します。 おさらい AWS Config AWS Config とは AWS Config のログの種類 Amazon Athena Amazon Athena とは S3のログを調査して…
最近ランニングを始めたCI部1課の山﨑です。 今回はCloudWatch LogsのログをKinesis Data Firehose経由でS3バケットに転送してみました。 はじめに ポリシー設計について 5Wで要件を整理する ポリシー要件の早見表 アカウントB の実装 Step1. S3バケットの作…
週1回のサウナが習慣になったCI部1課の山﨑です。 今回はIAMポリシー設計のポイントを考えて整理してみました。 はじめに IAMポリシーの基本 IAMポリシーの要素 ポリシー例 IAMポリシー設計のポイント 5Wで要件を整理する Organizations SCP リソースベース…
CI部1課の山﨑です。 今回はオンプレミスと AWS 間の接続の冗長構成について再考してみました はじめに オンプレミスと AWS 間の接続において障害が発生する可能性がある場所 冗長化できるコンポーネントについて 通信キャリアの冗長化 Direct Connect ロケ…
CI部1課に異動しました山﨑です。 AWSにおけるアクセスポリシーの評価ロジックについて簡単に整理したいと思います。 はじめに 2021年11月にアップデートがありました 評価ロジック 拒否の評価(明示的な拒否) Organizations SCP リソースベースのポリシー …
最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…
Amazon Primeにドはまり中のCI部2課の山﨑です。 前回はConfig Rule のConformance Packs(適合パック)を単一アカウント上でデプロイしましたが、今回Organizationsでマルチアカウント/マルチリージョンに展開してみます 事前準備 Organizations組織への展開…
自宅にサウナが欲しいCI部2課の山﨑です。 AWS Configの1つの機能であるConfig Rulesをパッケージ化したConformance Packs(適合パック)を使ってパッケージ単位でConfig Rulesを管理する方法を検証してみました AWS Configとは AWS Config Rulesとは 機能 構…
朝散歩にハマっているCI部2課の山﨑です。 今回はSecurity HubをOrganizationsでマルチアカウント/マルチリージョンに展開してみました。 Organizations組織への展開イメージ 前提 検証 Management Account から委任先アカウントへSecurity Hubの管理権限を…
最近足つぼマットにハマっているCI部2課の山﨑です。 本日はCloudFormation StackSetsを使ってマルチアカウント/マルチリージョンでAWS Configを有効化してみましたので検証内容を記録していきます。 CloudFormation StackSetsとは 検証イメージ いざ検証 ロ…
CI部2課の山﨑です。 コロナウイルスの影響でテレワークが普及したことで「VPN」という言葉をよく耳にするようになりました。 AWSではClient VPNとSite to Site VPNという2つのVPNサービスがありますが今回はSite to Site VPNについてIPsecの仕組みを整理し…
CI部2課の山﨑です。 AWSを利用している方であればEC2等を構築後に「あれ?通信ができないぞ!?」となって焦った経験があるかと思います。そんな時にEC2にログインせずにAWSのマネージドサービスを使ってどのような調査が可能なのかを検証してみました 今回…
CI部2課の山﨑です。 AWSではEC2のAMI、EBSのスナップショット、RDSのスナップショットなどAWSサービスごとに様々なバックアップ方法があります。本記事ではこれらを一元管理することが可能なAWS Backupというサービスについて、その仕組みや基本操作を整理…
CI部2課の山﨑です。 SNSのメール通知内容を整形する方法としてLambdaを利用するという方法がありますが、今回はEventBridgeの入力トランスフォーマーを利用して、SNSのメール通知内容を整形してみました docs.aws.amazon.com 想定した利用シーン 今回はSecu…
技術2課の山﨑です。今回はWindowsのrobocopyコマンドを使ってデータ移行してみました! robocopyコマンドについては私とは別の山﨑のブログを御覧ください blog.serverworks.co.jp 移行イメージ 今回はオンプレミス環境にあるファイルサーバーからAWS上にあ…
技術2課の山﨑です。 かなり出遅れましたが、現在開催中のre:Invent 2020のセッションレポートをお届けします。 はじめに 本記事はre:Invent 2020で行われた「Ten easy and effective ways to secure your AWS environment」 セッションのレポートです。 rei…
アイマスクを付けて寝るようになってから睡眠の質が良くなった気がしている技術2課の山﨑です 本日は以下の記事の内容に関連した内容で実際にRDS for Oracleを11gから19cにメジャーアップグレードしてみたのでその手順等をご紹介したいと思います。 ※License…
