AWSで利用できるキー管理のそれぞれの利点についてまとめてみました。 KMS キーの保存場所/制御方法 AWSにキーが保存される AWSのサービスや、その環境で動作するアプリケーションでキーが利用できる キーの管理 定義ポリシーをAWSが実行してキーの仕様を制…

VGWの外のトラフィックのパスに複数のオプションがある場合は、以下のようにパスが特定されます。 パス決定の優先順位 1→2→3→4の順にパスが特定されます。 範囲の狭いIPアドレスプレフィックス 172.24.0.0/16より172.24.1.0/24より172.24.1.1が優先される 静…

AWS Well-Architected Framework 5つの柱について自分なりにまとめてみました。 セキュリティ 信頼性 パフォーマンス効率 コストの最適化 運用上の優秀性 セキュリティ すべてのレイヤーをセキュリティで保護する。 リソースの変更やインスタンス内部へのロ…

AWSでの設定におけるベストプラクティスみたいなものを自分なりにまとめてみました。 スケーラビリティを確保する インフラ環境を自動化する リソースを使い捨てにする 疎結合化する AWSのサービスを最大限利用して設計する データの特性にあったデータベー…

今回はEC2SchedulerというAWS公式が提供しているEC2インスタンスの起動停止をスケジューリングできるツールを利用してみたいと思います。 EC2Schedulerとは? EC2Schedulerをつかってみる CloudFormationテンプレートのダウンロード CloudFormationスタックを…

ALBでの動作 ALBでは対象のターゲットがヘルスチェックでunhealthyとなっても通信がターゲットに対して行われます。 そして、ALBでは正常なターゲットが含まれているAZがない場合、すべてのターゲットにリクエストをルーティングします。 おそらくフェイルオ…

Route53のTTLの設定は0から2147483647の間で設定することができます。 0を設定した場合は以下のような動作になります。 Route53でTTLに0を設定したときの動作 キャッシュせずに毎回、名前解決が実行されます。 そして、Route53からはTTL:0のレコードが返却さ…

マネジメントコンソール上からでは最新版Amazon Linuxしか選択することができません。 基本的には最新版の利用でかまいませんが、現行環境と環境を統一したいときなど、古いバージョンのAmazon Linuxを利用したいときがあるかと思います。 今回は最新ではな…

AWSCLIのaws s3 cpコマンドではオプションで--sseを指定することでAES256で暗号化することが可能です。 この際にコピー元とコピー先に同一のパスを指定することでパスを変えずに、オブジェクトを暗号化することが可能です。 具体的には以下のようにコマンド…

サーバーサイドでS3のオブジェクトを暗号化して格納する方法をご紹介します。 (クライアントサイド暗号化はSDKなどで実装する必要があるのですこし敷居が高いです) SSE-S3で暗号化する SSE-S3はデフォルトの暗号化方式ですのでオプションで--sse AES256と指…

KMSに鍵を登録する すでに登録済みの鍵を利用する場合は読み飛ばしてください。 マネジメントコンソールで「IAM」の「暗号化キー」に移動し、「今すぐ始める」を選択します。 東京リージョンを選択し、「キーの作成」を選択します。 「エイリアス」と「説明…

S3にファイルを保存するときに利用できる暗号化方式をまとめてみました。 サーバーサイド暗号化 SSE-S3 SSE-KMS SSE-C クライアントサイド暗号化 KMSのカスタマーマスターキーを利用する クライアントのキーを利用して暗号化する サーバーサイド暗号化 SSE-S…

今回はCyberduckというGUIのFTPクライアントツールを利用してAWS上のS3バケットとローカルでファイルのやりとりをしてみたいと思います。 準備 準備 Cyberduckのダウンロード CyberduckをS3とつなぐ 実際の操作 S3へファイルをアップロードする S3からファイ…

概要 S3を複数のユーザで利用するファイルサーバ(ファイルストレージ)として利用する方法をご紹介します。 S3を作成して共有するだけでファイルのやりとりは可能ですが、すべてのユーザがrootユーザとしてアクセスすることになるのでセキュリティ上よろしく…

AWSのCloudFormationを利用してAWSのIAMユーザを一気に作成してみようと思います。 コード CloudFormation コードのかんたんな説明 Groups - 作成するユーザの所属するグループを指定します(複数指定可) Password - 初期パスワードを記載します PasswordRese…

VPCは仮想ネットワークですが、これを社内LANの物理的なネットワークとVPN接続していみたいと思います。 完成予想図 手順 完成予想図 手順 仮想プライベートゲートウェイを有効にしたVPCを作成する カスタマーゲートウェイの設定 仮想プライベートゲートウェ…

S3バケットを特定するためのURLの書き方にはいくつか種類があります。 今回はそれをご紹介します。 前提 バケット名 - kabegiwa-bucket リージョン - ap-northeast-1(東京リージョン) ①バケット名のみ もっとも基本的な形式です。 バケット名はグローバルで…

セキュリティを考慮して、インスタンスを直接インターネットに接続するのではなく、NATゲートウェイを経由してインターネットと通信させてみます。 NATゲートウェイを経由させることでプライベートサブネット→インターネットの片方向通信を実現することがで…

今回はAWSでVPCを新たに作成し、そこに作成したインスタンスにsshでログインするまでをやってみたいと思います。 完成予想図 手順 完成予想図 手順 VPCを作成する サブネットを作成する インターネットゲートウェイを作成する ルートテーブルを作成する イン…

意外と知られていない(忘れがちな)AWSのアカウントIDを確認する方法についてご紹介します。 マネジメントコンソールで確認する 任意のユーザでマネジメントコンソールにログインし、右上の「サポート」から「サポートセンターを選択します。 画面上部の「Acc…

Amazon Web Services実践入門 (WEB+DB PRESS plus)作者: 舘岡守,今井智明,永淵恭子,間瀬哲也,三浦悟,柳瀬任章出版社/メーカー: 技術評論社発売日: 2015/11/10メディア: 単行本（ソフトカバー）この商品を含むブログ (1件) を見る 今回はCloudFormationで自動…

AWSでどんなときに通信料がかかるかがいまだにおぼえられないのでまとめてみました。 かんたんなまとめ AZ 同一AZ間での通信料は無料 他のAZ間への通信料は$0.01/GB リージョン 他のリージョンへの通信料は$0.09/GB インターネット インターネットからはいっ…

今回はAWSのCloudFormationを利用してElasticIPを関連付けた状態でEC2インスタンスを作成してみたいと思います。 Amazon Web Servicesではじめる新米プログラマのためのクラウド超入門作者: WINGSプロジェクト阿佐志保出版社/メーカー: 翔泳社発売日: 2016/0…

AWSで不要になったVPCを削除しようと思ったら以下のようなエラーが出た削除できなくなってちょっとはまったのでまとめます。 Network vpc-XXXXXXX has some mapped public address(es). Please unmap those public address(es) before detaching the gateway…

CloudFormationでEC2インスタンスを作成してみたいと思います。 コード CloudFormation 各項目の解説 AvailabilityZone - ap-northeast-1aのようにリージョンも含めた記載で書きます。このAZにインスタンスが構築されます。 ImageId - インスタンス構築に利…

SlackとLambdaを連携させる 今回はSlackとAWS Lambdaを連携させてChatOps的なことをやってみたいとおもいます。 Slash Commandsの設定 Slackのメニューから[Customize Slack]を選択します。 メニューからConfigure Appsを選択します 上部の検索窓にSlash Com…

AWSのホワイトペーパーの「AWSを用いた故障耐障害性の高いアプリケーションの構築】を読んだので興味深かったこと、重要そうなことをまとめてみます。 元ネタのホワイトペーパーはこちら https://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS_WP_Fault_Tolerant…

AWS認定デベロッパーアソシエイトに合格したので実際に勉強して参考になったものをまとめます。 書籍 Amazon Web Services パターン別構築・運用ガイド Amazon Web Services パターン別構築・運用ガイド 一番大切な知識と技術が身につく作者: NRIネットコム…

S3のIAM権限で使えるActionをまとめてみました！ Action 説明 s3:AbortMultipartUpload マルチアップロードを中止する s3:CreateBucket バケットを作成する s3:DeleteBucket バケットを削除する s3:DeleteBucketPolicy バケットポリシーを削除する s3:Delete…

EC2のIAM権限で使えるActionをかんたんにまとめてみました！ Action 説明 ec2:AcceptReservedInstancesExchangeQuote コンバーティブルリザーブドインスタンスの見積もりを受け入れる ec2:AcceptVpcPeeringConnection VPCピアリング接続要求の受け入れる ec2…