【徹底解説】AWS Network FirewallとAWS Transit Gatewayを用いたマルチVPCアーキテクチャ

はじめに AWS 公式ブログ投稿 Deployment models for AWS Network Firewall 3 種類のモデルアーキテクチャ North-South トラフィックと East-West トラフィックとは Distributed AWS Network Firewall deployment model とは Centralized AWS Network Firewa…

Amazon Route 53 Resolver DNS Firewallを分かりやすく解説してみる

杉村です。 Amazon Route 53 Resolver DNS Firewall for Amazon VPC (以下、 DNS Firewall )について詳細な解説と、検証作業を行いました。なお 2021/04/01時点で東京リージョンには未リリースのためご注意ください。 → 2021/04/07 に東京リージョンを含む…

AWS WAFのCustom Responseの機能と注意点

杉村です。 AWS WAF で Custom Response が使えるようになりました。 WAF がリクエストをブロックしたときに、任意のレスポンスを返すように設定できます。 当機能に関する注意点や設定方法などを記載していきます。 関連記事: AWS WAF adds support for Cus…

AWS PrivateLink for Amazon S3を分かりやすく解説してみる

杉村です。待望のアップデートがありました。 Amazon S3 用の PrivateLink (Interface 型 VPC Endpoint)です! 従来までも Gateway 型と呼ばれるタイプの S3 用 VPC Endpoint は利用できましたが、今回は Interface 型の VPC Endpoint が利用可能になりまし…

AWS Network Firewallを分かりやすく解説してみる

杉村です。 AWS Network Firewall で何ができるのか、その仕組みや基本的な概念、構成図、注意点を分かりやすく記載します。 aws.amazon.com 1. 何ができるのか AWS Network Firewall は VPC の Internet Gateway の手前に置くイメージで VPC に出入りするパ…

TerraformをAssumeRoleした権限で実行したい

マネジメントコンソールでスイッチロールができることは、皆さまご存知と思います。 IAM User に sts:AssumeRole の権限を与えることで IAM Role の権限を引き受けることができます。 また AWS CLI を実行するときも AssumeRole によって IAM Role の権限を…

AWS Direct Connect経由でEC2にtracerouteを打つ

技術3課の杉村です。以下の目的でAWS Direct Connect経由でtracerouteを実行する機会がありました。 専用線のフェイルオーバテストを行いたい( Virtual Interface のフェイルオーバテストなどを利用) その際に確かに期待された Virtual Interface を経由し…

Transit GatewayやDirect ConnectのAS番号について

技術3課の杉村です。AWS Transit Gateway(以下、Transit GatewayまたはTGW)やDirect Connect Gateway利用時には、ASN(AS番号)を設定しなければいけません。 でも、ASNって設定する箇所がたくさんあって、訳が分からなくなってしまいますよね。 Transit G…

Transit Gatewayのルーティング仕様を分かりやすく解説してみる

技術3課の杉村です。AWS Transit Gateway以下、Transit GatewayまたはTGW)のルーティングの仕様を解説してみます。 1. Transit Gateway関連のルート設計の概要図 Transit Gatewayのルーティング設定を俯瞰してみると、この図のようなかんじです。 当記事で…

ACM証明書発行時に「追加の検証が必要です」エラー

AWS

技術3課の杉村です。AWS Certificate Manager(以下、ACM)で無料で発行できるSSL/TLS証明書、便利ですよね。 先日、証明書を発行しようとしたところ、こんなエラーメッセージに遭遇しました。 この証明書のリクエストの状況は "失敗" です。 このリクエスト…

VMware Cloud on AWSを解説してみる

技術三課の杉村です。VMware Cloud on AWS(以下、VMC on AWS)についての解説です。 当社では、下記のようなプレスリリースを出させていただきました。せっかくなので、VMCの解説を投稿してみます。 サーバーワークス、VMware Cloud(TM) on AWSの提供開始 …

Direct Connect VIFのCloudWatchメトリクスが見られるようになりました

技術三課の杉村です。AWS環境の運用者にとって嬉しいアップデートがありました。 AWS Direct Connect の強化されたモニタリング機能 AWS Direct Connect をご利用のお客様は、CloudWatch メトリクスを使用して、AWS Direct Connect 仮想インターフェイス (VI…

WorkSpacesにバンドルされるセキュリティソフト(WFBS)の管理コンソールについて

技術三課の杉村です。リモートワーク体制を整えることに対する需要が高まっています。 リモートワークを助けるツールの一つがVDI(仮想デスクトップ基盤)です。 今回はAWSが提供するVDIである Amazon WorkSpaces に関する投稿です。 1. WorkSpacesプラスア…

AWS Transit GatewayのInter-Region Peeringが東京リージョンに対応

AWS Transit Gatewayのアップデート 技術3課の杉村です。2020/04/07、AWS Transit Gatewayのインターリージョンピアリング(Inter-region Peering)機能が東京リージョンに対応しました。 AWS Transit Gateway now Supports Inter-Region Peering in 11 addi…

AssumeRole(スイッチロール)で複数AWSアカウント運用【ビギナー向け】

AWS

技術三課の杉村です。これからAWSを本格的に利用していこうと思っている方のために、複数AWSアカウントの運用を簡単にご説明します。 前回のブログをご理解いただいていることを前提としていますので、未読の方は以下をご参照ください。 AWSアカウントとは?…

AWSアカウントとは?IAMとは?【ビギナー向け】

AWS

技術三課の杉村です。これからAWSを本格的に利用していこうと思っている方のために、AWSにおけるセキュリティの基本であるAWSアカウントとIAM (Identity and Access Management)の違いについて解説します。 AWSビギナーの方でも理解いただけるよう表現を抽象…

WorkSpacesがローンチされるサブネットの確認方法

技術三課の杉村です。Amazon WorkSpaces と紐いている AWS Directory Service がどのサブネットと紐づいているかを確認する方法についての小ネタを書きます。 なお当投稿の情報、またマネジメントコンソールのスクリーンショット等は 2020/01 現在のものです…

Transit Gatewayで実現するマルチリージョン構成・マルチアカウント構成

技術三課の杉村です。2019年12月のre:Inventにて、リージョン間のTrasit Gatewayピアリング機能が発表されました。 AWS Transit Gatewayにマルチキャストとインターリージョンピアリング機能を追加 (※2019/12の発表時点では東京リージョンではまだ利用不可…

InstanceMetaDataV2を分かりやすく解説してみる

技術三課の杉村です。2019年11月、Amazon EC2のInstance Metadata Service v2(IMDSv2)が発表されました。 セキュリティ強化のためのアプデですが、どうして、どのようにしてセキュリティ強化になるのか、ピンとこない方もいたかもしれません。 当投稿では下…

AWS Transit GatewayとDirect ConnectのマルチAWSアカウント構成

技術三課の杉村です。2019年9月、AWS Transit GatewayでDirect Connect Gatewayを利用できる機能が発表されました。 待望のアップデートです。 AWS Direct Connect の AWS Transit Gatewayサポートが東京リージョンに対応しました このアップデートにより、A…

SSM Session ManagerのSSHトンネリング機能をAssumeRoleで利用する方法

技術一課の杉村です。2019年7月、AWS Systems Manager Session ManagerでSSH/SCPセッションを利用できる機能が発表されました。 Session Manager launches tunneling support for SSH and SCP この機能を利用すれば「踏み台インスタンス対してSession Manage…

CloudWatch Logsのメトリクスフィルタリングを便利に使う

AWS

技術一課の杉村です。CloudWatch Logs を使っていますか?知っている人には「いまさらなかよー」な情報ですが、小技のご紹介です。 メトリクスフィルタリング機能をうまく使うことで、ログ監視、APIコールの監視、などなどを行うことができます。 メトリクス…

AWS Client VPNをAD認証で使ってみる

技術一課の杉村です。AWS Client VPN が東京リージョンにやってきましたので、前回のブログでは解説をしてみました。 AWS Client VPN がアジアパシフィック (ムンバイ) と アジアパシフィック (東京) の 各AWS リージョンで利用可能に 先日のブログでは、そ…

AWS Client VPNを分かりやすく解説してみる

技術一課の杉村です。AWS Client VPN が東京リージョンにやってきました。AWS Client VPN がアジアパシフィック (ムンバイ) と アジアパシフィック (東京) の 各AWS リージョンで利用可能に特にエンタープライズのお客様にとっては、社内のシステムとリモー…

Amazon RedshiftのAUTO VACUUM機能について

AWS

技術一課の杉村です。2018/12に Amazon Redshift の AUTO VACUUM 機能がリリースされました。 https://aws.amazon.com/jp/about-aws/whats-new/2018/12/amazon-redshift-automatic-vacuum/ Redshift を利用されているお客様がこのリリースを見て、自動で VAC…

AWS CLI等でSQS VPC Endpointを利用するときの注意点

AWS

SQS向けのVPC Endpoint (Private Link)を利用するときの注意点です。特に、AWS CLIをご利用の方。 なお本ブログでは、下記のバージョンのAWS CLIで検証を行っています。(2019/03/03時点で最新) [ec2-user@swx-bastion-l01 ~]$ aws --version aws-cli/1.16.…

RSSをBacklogに自動で投稿する仕組みを作ってみた

PS課の杉村です。RSSという仕組みは便利です。AWSに関して言うと、けっこう重要な情報がRSSで配信されていたりします。 日々のアップデート情報はもちろん、Redshiftのメンテナンス予告(新バージョンのリリース)等が配信されていたりするのです。 例えば以…

Oracle RDSでメモリ使用率が常に高くても心配しなくてよい理由

PS課の杉村です。RDSのメモリ使用率が高くて心配になることはないでしょうか。 たとえRDSのメモリ使用率が80%~90%といった高い水準になっていても、それ自体をあまり心配する必要はない、という内容についてご説明します。 CloudWatchを利用するとRDSの各種…

ACM証明書をEメール検証からDNS検証に切り替える

AWS

PS課の杉村です。AWS Certificate Manager(以下、ACM)ではEメール検証とDNS検証の2通りの方法でSSL/TLS証明書(DV)を発行することができます。 DNS検証はサービスリリース当初には無かった選択肢ですので、自動更新の理由でEメール検証の証明書をDNS検証に切…

ACM発行の証明書の自動更新条件

AWS

PS課の杉村です。 AWS Certificate Manager(以下、ACM)を使うと、無料でSSL/TLS証明書(ただしDV、Domain Validation証明書)を発行することができます。 発行した証明書はElastic Load Balancer(ELB)やCloud Formationにデプロイして使用することができます…

Proxy環境下で使うAWS Systems Manager

PS課の杉村です。AWS Systems Managerは本当に便利になってきました。特にEC2では、Agentをインストールすることでログインすることなく様々なオペレーションが実施できます。しかし特にエンタープライズのお客様ではいろいろな制約から、なかなか有効活用で…

AWS Direct Connectの概念の整理...Connectionとは?VIFとは?

PS課の杉村です。Direct Connect(通称DX)は、オンプレミス環境とAWS環境をつなぐ専用線サービスであり多くの企業で利用されています。しかし概念を正確に理解されている人はあまりいらっしゃらないのではないでしょうか。非常に簡単にですがDirect Connect…

Auroraアップグレードではどのバージョンが当たるのか

PS課の杉村です。先日、Amazon Auroraクラスターをアップグレードした際に少し混乱したことがあるのでTIPSとして記載します。 (本記事中のコンソール画面スクリーンショットは2018年11月現在のもの) どのバージョンがあたるのか そのときの私はマネコンでア…

RDSの過去のイベントを見る方法

PS課の杉村です。ちょっとしたTIPSですがRDSインスタンスやAuroraクラスタの過去のイベント履歴を見る方法についてです。 最近のイベント RDSインスタンスやAuroraクラスタの起動、停止、バックアップ、アップグレードなどはイベント履歴に残ります。RDSやAu…

インターフェイスVPCエンドポイント(PrivateLink)に発行される複数のDNS名

AWS

PS課の杉村です。PrivateLinkのインターフェイスVPC Endpointを作った時に複数のDNS名が割り当てられますが、これらが何を意味しているのかについて書いてみます。 PrivateLinkとは? PrivateLink、便利なんです。原則的にインターネット経由でリーチしなけ…

AWS Transcribeジョブ結果ファイルのセキュリティについて

AWS

PS課の杉村です。AWS Transcribeは音声ファイルを文章に書き起こしてくれるAWSサービスです。 残念ながら現在は日本語には対応していませんが、英語(US/AU/GB)、フランス語、スペイン語に対応しています。 AWS Transcribeに対してTranscribeジョブを投入する…

DX系サービスの変遷とAWS Transit Gatewayの嬉しいところ

杉村です。re:InventでAWS環境のネットワークアーキテクチャを大きく変えるサービスがローンチされました。 既に随所で話題になっているAWS Transit Gatewayです。 概要はAWSの公式発表や各社のブログで明らかになっていますので、私は「今までと何が違うの…

新機能VPC Sharing(Shared VPC)のドキュメントを読んでみる

プロフェッショナルサービス課の杉村です。re:Invent 2018では数々のアップデートや新サービスが発表されましたね。 機械学習系のサービスやよりスマートに開発をするためのサービスが次々発表されましたが、多くのエンタープライズクラスのお客様とお付き合…

AWS CLIで簡単にAssumeRole(スイッチロール)

AWS

マネジメントコンソールでスイッチロールができることは、皆さまご存知と思います。 IAM Userにsts:AssumeRoleの権限を与えることで、IAM Roleの権限を引き受けることができます。 AWS CLIでも、もちろん同じことができます。 1. credentialsファイルの編集 …

VPC Flow Logs(CloudWatch Logs)を閲覧時にフィルタする方法

AWS

セキュリティグループを正しく設定したつもりなのに、なぜか通信ができない... そんなときはVPC Flow Logsをチェックしましょう。 VPC Flow LogsをONにしておけば、VPC内を流れるパケットのログを取ることができます。 また、セキュリティグループかNACLで許…

S3でデータ整合性をチェックする

AWS

S3バケットに対してファイルをアップロードしたり、S3からファイルをダウンロードする際に気になるのが、ファイルの同一性(データ整合性)。転送中にファイルが破損していないか、ハッシュ値を用いて確認することが一般的です。 S3ではどのようにして実現で…

特定タグのついたEC2/RDSインスタンスだけ操作を禁止したい

プロフェッショナルサービス課の杉村です。 いざやろうとすると、やり方を忘れてしまっていることってよくあります。 今回はそんな物事の中のひとつをご紹介します。 特定のタグがついているEC2・RDSの操作を制限するIAMポリシー 以下のIAMポリシーは、タグ…

特定S3バケットに対してのみアクセスを許可したい

AWS

指定したS3バケットだけアクセスさせたいしバケット一覧も見せたくない! 多くの利用者さんが一つのAWSアカウントを使っているが、それぞれの利用者さんには指定したS3バケットにだけアクセスさせたい、ということがあると思います。 しかし、AWSのマネジメ…

Windows Server 2016でYour Windows Licence Will Expire

AWS

プロフェッショナルサービス課の杉村です。 Windows Serverはあまり得意ではないのですが、可能なら<花粉等の異物に反応して鼻水や鼻づまりを発生させる>役割と機能をアンインストールしたいです。 "Your Windows Licence Will Expire"だと...? Windows Se…

cli53を使ってRoute 53にゾーンファイルをインポートしてみた

AWS

コマンドラインでRoute 53を操作したい プロフェッショナルサービス課の杉村です。既存のDNSサーバRoute 53に移行したいときなど、一度にたくさんのゾーンとレコードをRoute 53に登録したいケースがあると思います。残念ながらRoute 53関連のAWS CLIやAWS To…

SimpleADのユーザをWorkSpacesから管理する

こんにちは。技術2課の杉村です。名刺って、溜まっていきますよね。出会った人を忘れないし、連絡先も書いてあります。とてもいい仕組みだと思うのですが、ほぼすべてのビジネスマンがスマートフォンなどのデジタルガジェットを持っている今、名刺も仮想化し…

【前準備・実行編】OracleをDMSで移行してみる

こんにちは、技術2課の杉村です。私、築30年ほどの1K・5.5畳のアパートに住んでいるのですが、もう少し広くて新しいところに引っ越したいなという欲が沸いています。しかし引っ越しにはお金もかかるし、時間がかかるので大変です。AWS DMSのように、生活に影…

【事前チェック編】OracleをDMSで移行してみる

こんにちは、技術2課の杉村です。もはや夏本番。真夏日が続きますが、体調はいかがでしょうか。人間の体はマイグレーションしようと思っても替えが無いので、大事にしたいものです。さて今回は、なにかと噂のDatabase Migration Service(以下、DMS)を利用し…

EC2のインスタンスタイプによる差異

EC2に、インスタンスタイプによる差異はあるの? こんにちは、サーバーワークスの杉村です。AWSの代表的なサービスであるElastic Computing Cloud(EC2)。 インスタンスの停止さえできれば、スペックを自由に変更できるのはとても便利です。 おかげでサーバー…