ALBでは対象のターゲットがヘルスチェックでunhealthyとなっても通信がターゲットに対して行われます。
そして、ALBでは正常なターゲットが含まれているAZがない場合、すべてのターゲットにリクエストをルーティングします。
おそらくフェイルオープンのような思想で設計されているのだと思います。
なにか障害が発生した際に全面断にするような運用をしたい場合には、セキュリティグループで拒否したり、待受ポート番号を変更したりなど、バックエンドインスタンス側に手を入れる必要があるかと思います。
CLBの場合はヘルスチェックに失敗したインスタンスにリクエストをルーティングは行われない仕様で、動作に違いがありますので注意が必要です。
ですので全面断をかんたんに実装したい場合にはCLBのほうが適しているかもしれません。
Amazon Web Services 定番業務システム12パターン設計ガイド
Route53のTTLの設定は0から2147483647の間で設定することができます。
0を設定した場合は以下のような動作になります。
キャッシュせずに毎回、名前解決が実行されます。
そして、Route53からはTTL:0のレコードが返却されます。
(ただし、TTLに従って名前解決を行うかはクライアントやDNSキャッシュサーバの設定などに依存します。)
一般的にレコードをキャッシュさせたくない場合にはTTLに0などの短い値を設定するのが有効です。
Nginxでのデフォルトの設定ではTTLにかかわらず名前解決を起動後の1回のみしか実施しない仕様になっています。
Amazon Web Services 基礎からのネットワーク&サーバー構築 改訂版
マネジメントコンソール上からでは最新版Amazon Linuxしか選択することができません。
基本的には最新版の利用でかまいませんが、現行環境と環境を統一したいときなど、古いバージョンのAmazon Linuxを利用したいときがあるかと思います。
今回は最新ではないAmazon Linuxを入手する方法をご紹介します。
EC2インスタンスの作成時に、コミュニティAMIを選択します。
そして検索で「Amazon Linux 2016」のように過去のバージョンを検索すると、該当のバージョンが出てきますのでそのAMIを利用してインスタンスを作成します。
ただ、コミュニティAMIは公式以外の第三者もAMIを公開しています。
公式のものが利用したい!という場合には以下のAWS CLIを実行し、amazonと表示されれば公式のものです。
aws ec2 describe-images --image-ids ami-xxxxxxxx --region ap-northeast-1 --query 'Images[].ImageOwnerAlias'
Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-
AWSCLIのaws s3 cpコマンドではオプションで--sseを指定することでAES256で暗号化することが可能です。
この際にコピー元とコピー先に同一のパスを指定することでパスを変えずに、オブジェクトを暗号化することが可能です。
具体的には以下のようにコマンドを実行します。
aws s3 cp s3://kabegiwa-bucket/ s3://kabegiwa-bucket/ --recursive --sse
コピー元とコピー先にバケットを指定し、--recursiveで再帰的に--sseで暗号化しています。
また、このコマンドをcronなどに設定することで定期的にバケット全体を暗号化することが可能です。
Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-
サーバーサイドでS3のオブジェクトを暗号化して格納する方法をご紹介します。
(クライアントサイド暗号化はSDKなどで実装する必要があるのですこし敷居が高いです)
SSE-S3はデフォルトの暗号化方式ですのでオプションで--sse AES256と指定してあげるだけでかんたんに暗号化することができます。
aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse AES256
以下のようにAES256の表記は省略することも可能です。
aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse
まず、KMSを使って鍵を作成する必要があります。
鍵の登録方法はこちら
SSE-KMSで暗号化する際はオプションで--sse aws:kmsというオプションを指定し、--sse-kms-keyidで利用するキーのIDを指定します。
aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse aws:kms --sse-kms-key-id aaaaaaaa-bbbb-cc12-3456-7890-dddddddddddd
Amazon Web Services 定番業務システム12パターン設計ガイド
すでに登録済みの鍵を利用する場合は読み飛ばしてください。
マネジメントコンソールで「IAM」の「暗号化キー」に移動し、「今すぐ始める」を選択します。
東京リージョンを選択し、「キーの作成」を選択します。
「エイリアス」と「説明」を入力し、「次のステップ」へすすみます。
タグは任意でかまいません。
このキーを利用するユーザを選択して、「次のステップ」へすすみます。
作成するキーのポリシーのプレビューがでるのでそのまま「完了」です。
Amazon Web Services パターン別構築・運用ガイド 一番大切な知識と技術が身につく
S3にファイルを保存するときに利用できる暗号化方式をまとめてみました。
AWSが管理する鍵をつかって暗号化する方法です。ユーザが鍵について意識する必要が無いのがメリットです。
AWSが提供するオプションです。
AWS KMSで管理されている鍵を使って暗号化します。SSE-S3と違い、ユーザごとに別の鍵を利用することも可能です。
鍵のアクセス権限の管理や、利用履歴などを確認することもできます。
ユーザが作成した鍵をAWSに送信し、AWSで暗号化する方式です。
AWSでは暗号化後、秘密鍵を破棄し、公開鍵のみを保持することで第三者の複合を防ぎます。
単純にKMSのキーを利用して暗号化します。
そもそもAWSの領域に入る前に自分で管理しているキーを利用して暗号化します。
この場合、暗号化された状態ですべての通信がおこなわれるのでよりセキュアな状態を保つことができます。
Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-
今回はCyberduckというGUIのFTPクライアントツールを利用してAWS上のS3バケットとローカルでファイルのやりとりをしてみたいと思います。
以下からダウンロードできます。
WindowsかMacか利用しているOSに応じてダウンロードCyberduckをダウンロード/インストールしてください。
https://cyberduck.io/index.ja.html?l=ja
右上から「新規接続」を選択します。
どこに接続するのかを設定する画面が開くので上部のプルダウンメニューから「Amazon S3」をえらび、S3に接続するIAMユーザの「アクセスキー」と「パスワード」の欄にシークレットアクセスキーを入力します。
入力したら「接続」を選択します。
するとS3へ接続が行われ、バケットの一覧がでてきます。
バケット名をダブルクリックするとバケットの中身がみれます。
ファイルをドロップするだけでS3へのアップロードが可能です。
ダウンロードしたいファイルを右クリックして「ダウンロード」でかんたんにダウンロードできます。
マネジメントコンソールでもおなじようなことは可能ですが、このようなツールを利用することでより厳密なアクセス制限をかけることも可能なので検討してみるのもいいかもしれません。
IAMロールをつかってCyberduckを利用する方法を書きました。 www.kabegiwablog.com
Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-
S3を複数のユーザで利用するファイルサーバ(ファイルストレージ)として利用する方法をご紹介します。
S3を作成して共有するだけでファイルのやりとりは可能ですが、すべてのユーザがrootユーザとしてアクセスすることになるのでセキュリティ上よろしくありません。IAMユーザとIAMグループを作成し、適切に権限を付与させていきます。
マネジメントコンソールの「S3」から、「バケットを作成する」を選択します。
バケット名とリージョンを入力し、ウインドウ左下の「作成」を選択します。
バケットができました。
マネジメントコンソールの「IAM」を開き、サイドメニューから「ユーザー」を選択します。
「ユーザを追加」を選択します。
「ユーザ名」を入力して、「プログラムによるアクセス」にチェックをいれて「次のステップ:アクセス権限」へすすみます。
一旦アクセス権限は飛ばします。
そのまま「次のステップ:確認」へすすみます。
「ユーザの作成」を選択します。
するとユーザが作成され、アクセスキーとシークレットアクセスキーが表示されます。
この情報はS3とのファイルのやり取りに必要になりますので「表示」を押してメモをとっておくか、「.csvのダウンロード」で情報をダウンロードしておきます。
確認したら「閉じる」を選択します。
サイドメニューから「グループ」にすすみ、「新しいグループの作成」を選択します。
「グループ名」を入力し、「次のステップ」を選択します。
「グループの作成」を選択します。
続いて作成したグループにユーザを追加します。
グループを選択して、「グループのアクション」から「グループにユーザーを追加」を選択します。
IAMユーザの作成で作成したユーザを選択して「ユーザの追加」でユーザーをグループに追加します。
サイドメニューから「ポリシー」にすすみ、「ポリシーの作成」を選択します。
「独自のポリシー」を選択します。
ポリシー名に任意の名前をつけ、「ポリシードキュメント」の欄に以下のJSONをコピーします。
kabegiwa-bucketの部分はバケット名ですのでアクセス許可を与えたいS3の名前に変更してください。
それぞれ入力したら「ポリシーの作成」を選択します。
ポリシードキュメント例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::kabegiwa-bucket",
"arn:aws:s3:::kabegiwa-bucket/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::kabegiwa-bucket/*"
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBucket",
"Resource": "arn:aws:s3:::*"
}
]
}
このポリシーは以下の3つのことを許可するポリシーです。
/*)に対してすべての許可であるs3:*を許可s3:ListBucket,s3:GetBucketLocationでバケット一覧の取得とバケットの場所の取得を許可s3:ListAllMyBucketsで存在するバケットの一覧取得を許可作成したポリシーから「アタッチされたエンティティ」タブを選択し、「アタッチ」をクリックします。
IAMグループの作成で作成したグループを選択し、「ポリシーのアタッチ」を選択します。
以上でAWS側の設定は完了です!
コンソールやコマンドプロンプトを開き以下のコマンドを実行し、ユーザ作成時に控えておいたアクセスキーとシークレットアクセスキーを入力します。
リージョンは東京リージョンの場合はap-northeast-1と入力します。
最後のoutput formatは空白のままそのままEnterでかまいません。
kabegiwa: ~$ aws configure AWS Access Key ID [None]: アクセスキー AWS Secret Access Key [None]: シークレットアクセスキー Default region name [None]: ap-northeast-1 Default output format [None]: そのままEnter
そしてs3コマンドを使ってS3を操作します。
コピーする場合
kabegiwa: ~$ aws s3 cp wawawa.txt s3://kabegiwa-bucket/
移動する場合
kabegiwa: ~$ aws s3 mv wawawa.txt s3://kabegiwa-bucket/
バケットにファイルを置くことができました!
kabegiwa: ~$ aws s3 ls s3://kabegiwa-bucket 2017-10-31 21:31:14 0 wawawa.txt
S3を利用してセキュリティを確保したファイルサーバを作成することができました。
CLIの利用が面倒な場合はCyberduckなどのGUIツールを利用するのがよいかもしれません。
Cyberduckを利用する方法はこちらから
Amazon Web Services パターン別構築・運用ガイド 一番大切な知識と技術が身につく
AWSのCloudFormationを利用してAWSのIAMユーザを一気に作成してみようと思います。
Trueであればパスワードを変更します。コードの例では2ユーザを一気に作成しています。
ブロックごとそのままコピペすることでもっとたくさんのユーザを一気に作成することも可能です!
Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-
MONTBLANCの超高級なボールペンを頂いたのでいい感じにこのボールペンを飾ることのできるペン立てを探していたところこんなものをみつけました。
6amLifestyle ペン立て ペンスタンド 筆たて デスクペンスタンド アルミ合金製 卓上収納
Amazonで早速買って見ました。
超シンプルな箱です。
箱を開けてみます。
包装もはずすとこんな感じ。
シンプルなアルミの質感です。
ずっしりとした重量感があります。
裏面はゴムでできており、すべりにくくなっています。
ペンが入る部分にはスポンジがひいてあり、ペン先が傷つかないようになっています。
実際にペンをさしてみるとこんなかんじ。
安い値段だったのでそこまで期待はしていなかったのですが、なかなかしっかりした作りで質感もしっかりしています。
おすすめです!!!
6amLifestyle ペン立て ペンスタンド 筆たて デスクペンスタンド アルミ合金製 卓上収納
VPCは仮想ネットワークですが、これを社内LANの物理的なネットワークとVPN接続していみたいと思います。
マネジメントコンソールのVPCから「VPCウィザードの開始」を選択します。
「プライベートのサブネットのみで、ハードウェアVPNアクセスを持つVPC」を選択します。
各設定を入力して「次」を選択します。
カスタマーゲートウェイの設定を行います。
カスタマーゲートウェイIPには社内LANのゲートウェイ(VPNルータ)のグローバルIPアドレスを入力します。
入力したら「VPCの作成」を選択します。
マネジメントコンソールの「VPC」のサイドバーの「VPN接続」を選択します。
作成したVPN接続を選択して「設定のダウンロード」をクリックします。
社内LANのVPNルータのベンダーとプラットフォーム、ソフトウェアを選択して設定ファイルをダウンロードします。
これをVPNルータに読み込ませれば社内LANとAWSが接続できるはずです。
Amazon Web Services 基礎からのネットワーク&サーバー構築 改訂版
S3バケットを特定するためのURLの書き方にはいくつか種類があります。
今回はそれをご紹介します。
もっとも基本的な形式です。
バケット名はグローバルで一意なので基本的にはバケット名だけで特定することが可能です。
http://kabegiwa-bucket.s3.amazonaws.com/
バケット名とリージョン名を記載します。
複数のリージョンのバケットを使い分けている場合はこちらのほうがわかりやすいかもしれません。
http://kabegiwa-bucket.s3-ap-northeast-1.amazonaws.com/
バケット名をURLのパスとして指定します。
リージョンを明示してあげる必要があります。
http://s3-ap-northeast-1.amazonaws.com/kabegiwa-bucket/
サーバーレスシングルページアプリケーション ―S3、AWS Lambda、API Gateway、DynamoDB、Cognitoで構築するスケーラブルなWebサービス
セキュリティを考慮して、インスタンスを直接インターネットに接続するのではなく、NATゲートウェイを経由してインターネットと通信させてみます。
NATゲートウェイを経由させることでプライベートサブネット→インターネットの片方向通信を実現することができます。
VPCと各サブネットはもう作成済みであることを前提で手順を記載します。
マネジメントコンソールの「VPC]から「NATゲートウェイ」を選択します。
「Create NAT Gateway」を選択します。
「Subnet」にパブリックサブネット、「Elastic IP Allocation ID」に任意のElasticIPを指定します。
ElasticIPに空きがない場合はその横の「Create New EIP」から新たにElasticIPを払い出します。
選択が完了したら「Create NAT Gateway」をクリックします。
NATゲートウェイが作成できました。
このままだとNATゲートウェイがそのままポツンと浮かんでいるだけなのでルートテーブルを編集してプライベートサブネットのデフォルトルートをこのNATゲートウェイゲートウェイに向けてあげます。
プライベートサブネットのルートテーブルのルートに0.0.0.0/0のターゲットをNATゲートウェイにするルートを追加します。
これで完了です!
NATゲートウェイを経由してインターネットと通信をすることができました。
これでプライベートな環境からでもNATゲートウェイを利用してyum updateなどを利用してサーバのアップデートができるようになりました。
そうしたたまにしかインターネットと通信をしないのであれば利用するときだけNATゲートウェイを稼働させるのが良いかと思います。
24時間動かしているとNATゲートウェイは結構馬鹿にならない料金になります…
また、セキュリティ的にもそのほうが安心です!
![AWSエキスパート養成読本[Amazon Web Servicesに最適化されたアーキテクチャを手に入れる! ] (Software Design plus)](https://images-fe.ssl-images-amazon.com/images/I/618c9UrF4vL._SL160_.jpg "AWSエキスパート養成読本[Amazon Web Servicesに最適化されたアーキテクチャを手に入れる! ] (Software Design plus)")
AWSエキスパート養成読本[Amazon Web Servicesに最適化されたアーキテクチャを手に入れる! ] (Software Design plus)
今回はAWSでVPCを新たに作成し、そこに作成したインスタンスにsshでログインするまでをやってみたいと思います。
まずはVPCを作成します。
マネジメントコンソールからVPCを選択します。
サイドメニューからVPCを選択して、「VPCの作成」ボタンをクリックします。
作成するVPCの設定を行います。
今回はtest_vpcという名前で10.0.0.0/16の範囲で作成していますが、適当な名前と範囲でかまいません。
完了したら「はい、作成する」を選択します。
VPCがつくれました!
作成したVPCを選択して、上部のアクションから「DNSホスト名の編集」をクリックします。
「はい」を選択して保存します。
サイドメニューからサブネットを選択して「サブネットの作成」ボタンをクリックします。
サブネットを作成する対象のVPCを選択して、CIDRブロックを入力します。
名前タグとアベイラビリティーゾーンは任意のものでかまいません。
サブネットができました!
インターネットに接続するためにインターネットゲートウェイを作成します。
サイドメニューからインターネットゲートウェイを選択して「インターネットゲートウェイの作成」ボタンをクリックします。
任意の名前を設定してインターネットゲートウェイを作成します。
作成したインターネットゲートウェイを選択し、「VPCにアタッチ」ボタンをクリックします。
アタッチするVPCを選択して、「はい、アタッチする」をクリックします。
アタッチしたインターネットゲートウェイを利用してインターネットと通信するためにルートテーブルの設定を行います。
サイドメニューからルートテーブルを選択し、「ルートテーブルの作成」ボタンをクリックします。
ルートテーブルに任意の名前を設定して、ルートテーブルを作成するVPCを選択します。
選択したら「はい、作成する」をクリックします。
作成したルートテーブルを選択して「ルート」タブを選択、「編集」をクリックします。
「別のルートを追加」を選択して送信先を0.0.0.0/0、ターゲットを先程作成したインターネットゲートウェイにして、ルートを追加します。
続いて「サブネットの関連付け」タブを選択して「編集」をクリックします。
作成したサブネットを選択して「保存」します。
マネジメントコンソールからEC2を選択します。
サイドメニューからインスタンスを選択し、「インスタンスの作成」をクリックします。
さて、インスタンスを作成していきます。
今回はAmazon Linuxを使っていきたいと思います。
Amazon Linuxの行で「選択」をクリックします。
任意のインスタンスタイプを選択して、「次の手順:インスタンスの詳細の設定」をクリックします。
インスタンスの詳細の設定ではネットワーク、サブネットにそれぞれ作成したVPC、サブネットを選択します。
また、自動割り当てパブリックIPを有効化しておきます。最後にこれを利用してインスタンスにsshログインします。
設定完了したら「次の手順:ストレージの追加」をクリックします。
ストレージを追加します。
とくにこだわりがないならそのまま「次の手順:タグの追加」にすすみます。
続いてインスタンスにタグをつけます。
これはインスタンスを識別しやすくするためのみなのでこだわりがなければそのまま次にすすみます。
タグを付ける場合は「クリックしてNameタグを追加します」をクリックします。
新しいセキュリティグループを作成するを選択し、任意のセキュリティグループ名を設定します。
ルールに画像のように任意の場所からのSSH通信を許可するように設定します。
設定したら「確認と作成」をクリックします。
いままでの設定内容の確認がでます。
問題ないようだったらそのまま「作成」をクリックします。
作成するインスタンスにログインするためのキーペアを作成します。
既存のキーペアの作成を選択して、任意のキーペア名を設定します。
名前を決定したら「キーペアのダウンロード」をクリックします。
キーが無事ダウンロードできたら「インスタンスの作成」を選択します。
インスタンスが作成できました。
さて、作成したインスタンスにログインしてみます。
赤枠のアドレスをコピーします。
Teratermなどのコンソールエミュレータを起動して、ホスト名に先程コピーしたアドレスを貼り付けてOKをおします。
ユーザ名にec2-user、秘密鍵にダウンロードしたキーペアを選択してOKをクリックします。
無事ログインできました!
Amazon Web Servicesではじめる新米プログラマのためのクラウド超入門
