S3で署名付きURLを利用してユーザごとに別々のURLを発行できるようにしてみたいと思います。

手順

• 手順
  • 対象のディレクトリに対するアクセス権を無効にする
  • 署名付きURLをつくる

対象のディレクトリに対するアクセス権を無効にする

まずは署名付きURLを利用するコンテンツを配置するディレクトリに誰もアクセス出来ないようにアクセス権を設定します。

基本的にはなにもしなくてOKです。
バケットポリシーに何も指定しなければ暗黙的拒否扱いになり、オブジェクトへのアクセスは拒否されます。

署名付きURLをつくる

署名付きURLを作成していきます。
例として「/wawawa/s3_index.html」というコンテンツに署名URLを作成していきます。

署名付きURLはAWSCLIを使うことで作成できます。
以下のようなコマンドを実行します。

aws s3 presign s3://kabegiwa-secret/wawawa/s3_index.html --expires-in 3600

実行すると以下のようなURLが応答されます。
URLはコマンドを実行するたびに新しいものが生成されます。

https://kabegiwa-secret.s3.amazonaws.com/wawawa/s3_index.html?AWSAccessKeyId=AKIAJ4M6D6DG7LQHQ53A&Expires=1511184525&Signature=mFMiY7%2BMoJm%2FOsWB1D6Wp0jWqj8%3D

ちなみにコマンドのオプションの--expires-in 3600はこの署名付きURLは3600秒有効だという意味です。
URLの生成から3600秒=1時間経過するとこのURLは無効となり、アクセスできなくなります。

Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-

• 作者: 荒木靖宏,大谷晋平,小林正人,酒徳知明,高田智己,瀧澤与一,山本教仁,吉羽龍太郎
• 出版社/メーカー: マイナビ出版
• 発売日: 2016/06/10
• メディア: 単行本（ソフトカバー）
• この商品を含むブログを見る

S3にはストレージとして利用する以外にもうひとつの使い方があります。
それは静的コンテンツを公開するWebサーバとしての使い方です。

S3には静的ウェブホスティング機能というものがあり、この機能を有効にするとS3に保存したファイルをWebサイトとして公開することができます。

• 手順
  • 独自ドメイン名でS3バケットを作成する
  • 静的ウェブホスティングを有効にする
  • バケットポリシーを設定する
  • Route53で独自ドメインを設定する

手順

独自ドメイン名でS3バケットを作成する

独自ドメイン名でS3バケットを作成します。
たとえば当ブログのドメイン名でもある「www.kabegiwablog.com」で運用するのであれば「www.kabegiwablog.com」というバケットを作成します。

静的ウェブホスティングを有効にする

作成したバケットのプロパティを開き「Static website hosting」を選択します。
設定項目が開くので「このバケットを使用してウェブサイトをホストする」を選択し、「保存」します。
「インデックスドキュメント」と「エラードキュメント」はそれぞれ「index.html」と「error.html」で構いません。

バケットポリシーを設定する

現時点ではアクセス許可をだれにもしていない状態ですのでバケットポリシーでオブジェクトへのアクセス許可を与えます。

バケットの「アクセス権限」から「バケットポリシー」を選択してバケットポリシーエディターに以下のように入力します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::www.example.com/*"
        }
    ]
}

"Resource": "arn:aws:s3:::www.example.com/*"の箇所は自分のバケットのARNに読み替えてください。

実際に設定されたかどうか確認してみます。
S3に任意の内容の「index.html」ファイルをアップロードし、S3のエンドポイントのURLを指定してブラウザでアクセスしてみると、以下のようにファイルの中身が見れるはずです。

S3のエンドポイントのURLは静的ウェブホスティングを有効にした際と同じく、バケットのプロパティを開き「Static website hosting」を選択したところに記載があります。

Route53で独自ドメインを設定する

S3へのアクセスはできるようになりました。
つづいて独自ドメインでアクセスできるように設定します。

具体的にはAレコードのAlias機能を利用します。

Route53で「Create Record Set」を選択して、それぞれ以下のように設定します。

• Name - www.
• Type - A - IPv4 address
• Alias Target - バケットの一覧が出てくるので今回作成したバケットを選択

以上で設定は完了です。
さて、独自ドメインでアクセスしてみると、S3上のオブジェクトにアクセスできるようになっているはずです。

サーバーレスシングルページアプリケーション ―S3、AWS Lambda、API Gateway、DynamoDB、Cognitoで構築するスケーラブルなWebサービス

• 作者: Ben Rady,吉田真吾,笹井崇司
• 出版社/メーカー: オライリージャパン
• 発売日: 2017/06/23
• メディア: 単行本（ソフトカバー）
• この商品を含むブログ (2件) を見る

zabbix 3.0でWindows Server 2016 SNMPサービスを入れる方法をご紹介します。

環境

以下のAWS環境標準のWindows Server 2016のAMIを利用。

Microsoft Windows Server 2016 Base - ami-4325fa25
Microsoft Windows 2016 Datacenter edition. [English]

手順

• 環境
• 手順
  • Windows Serverの準備
    • SNMPサービスをインストールする
    • SNMPサービスの設定
• まとめ

Windows Serverの準備

SNMPサービスをインストールする

左下のWindowsマークのスタートメニューをクリックし、「Server Manager」を選択します。

「Dashboard」から「Add role and featrures」を選択します。

「Next」を選択します。

そのまま「Next」を選択します。

ここもそのまま「Next」を選択します。

ここでも「Next」を選択します。

中盤までスクロールして「SNMP Service」にチェックをいれます。

するとウインドウが開くので、「Add Features」を選択します。

「Next」を選択します。

「Install」を選択します。

「Close」で閉じます。
以上でSNMPサービスのインストールは完了です。

SNMPサービスの設定

「Server Manager」の右上の「Tools」をクリックし、「Services」を選択します。

一覧の中から「SNMP Service」を探して、右クリックで「Properties」を選択します。

「Secrurity」タブを選択し、「Accept community names」の「Add」ボタンを押下します。

「Community rights」を「READ ONLY」にし、「Community Name」になにか任意の名前を入力します。
入力したら「Add」を選択します。

「Accept SNMP packets from any host」をのラジオボタンをONにします。
そして「OK」を押せばSNMPの設定は完了です！

まとめ

以上でWindows Server 2016(英語版)へのSMPサービスのインストールすることができました。

SNMPをつかってZabbixなどの監視装置と連携することも可能です。
それらについてはまた別記事でご紹介しようと思います。

ひと目でわかる Windows Server 2016

• 作者: 天野司
• 出版社/メーカー: 日経BP社
• 発売日: 2017/02/25
• メディア: 単行本
• この商品を含むブログを見る

AWSで利用できるキー管理のそれぞれの利点についてまとめてみました。

KMS

キーの保存場所/制御方法

• AWSにキーが保存される
• AWSのサービスや、その環境で動作するアプリケーションでキーが利用できる

キーの管理

• 定義ポリシーをAWSが実行してキーの仕様を制御する
• AWSが責任をもって実行する

料金

• キー単位と使用量単位で料金がかかる

CloudHSM

キーの保存場所/制御方法

• AWS内で実行されるHSMにキーが保存される
• AWSのサービスや、その環境で動作するアプリケーションでキーが利用できる

キーの管理

• 自作のコードまたはSafenet APIでキーを管理することができる
• 自分たちで責任を持って管理する

料金

• 1時間あたりの課金
• CloudHSM Classicを利用する場合は前払い料金が発生する

3rdparty製ツール(AWS MarketPlace)

キーの保存場所/制御方法

• ツールによる(ローカル環境でもAWS内でも)
• EC2インスタンスでキーが利用できる

キーの管理

• ツール(ベンダー)による

料金

• 1時間あたりの課金または1年単位での支払い

自作ツールでの管理

キーの保存場所/制御方法

• ツールによる(ローカル環境でもAWS内でも)
• EC2インスタンスでキーが利用できる

キーの管理

• ツール(ベンダー)による

料金

• ツール(ベンダー)による(場合によっては安くすむかも)

Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-

• 作者: 荒木靖宏,大谷晋平,小林正人,酒徳知明,高田智己,瀧澤与一,山本教仁,吉羽龍太郎
• 出版社/メーカー: マイナビ出版
• 発売日: 2016/06/10
• メディア: 単行本（ソフトカバー）
• この商品を含むブログを見る

AWS Well-Architected Framework 5つの柱について自分なりにまとめてみました。

• セキュリティ
• 信頼性
• パフォーマンス効率
• コストの最適化
• 運用上の優秀性

セキュリティ

• すべてのレイヤーをセキュリティで保護する。
• リソースの変更やインスタンス内部へのログインなどログを記録する。
• セキュリティの確保を自動化させる。

信頼性

• 障害からの復旧、回復が迅速にできるようにする。
• 障害からの復旧を自動化する。
• 可用性を向上するため適切にスケーリングを設定する。
• 長年の勘とかに頼らない。

パフォーマンス効率

• 最新の技術を導入してその恩恵をうける。
• 分単位でデプロイを行う。
• サーバレスアーキテクチャを利用する。
• 適切な技術を導入する。

コストの最適化

• 不必要なコストを排除する。
• データセンターへの投資をやめる。
• 支出を分析する。
• マネージドサービスを利用して使用量を抑える。

運用上の優秀性

• コードで運用作業を実施する。
• 変更処理を自動化する。
• 想定外の障害などに対応するためのテストを行う。
• 手順は常に最新に保つ。

参考資料

https://aws.amazon.com/jp/architecture/well-architected/ http://media.amazonwebservices.com/jp/wp/Well-Architected_Whitepaper_v2_JP.pdf

AWSエキスパート養成読本[Amazon Web Servicesに最適化されたアーキテクチャを手に入れる! ] (Software Design plus)

• 作者: 吉田真吾,今井智明,大瀧隆太,松井基勝,冨永善視,藤原吉規,大栗宗
• 出版社/メーカー: 技術評論社
• 発売日: 2016/02/26
• メディア: 大型本
• この商品を含むブログを見る

今回はEC2SchedulerというAWS公式が提供しているEC2インスタンスの起動停止をスケジューリングできるツールを利用してみたいと思います。

• EC2Schedulerとは?
• EC2Schedulerをつかってみる
  • CloudFormationテンプレートのダウンロード
  • CloudFormationスタックをつくる
  • インスタンスにEC2Schedulerのタグをつける
    • EC2Schedulerのタグの例
  • EC2Schedulerが実行されたか確認する
• まとめ

EC2Schedulerとは?

AWS公式が提供しているEC2インスタンスの起動停止をスケジューリングできるツールです。
EC2に起動停止の時間などを記載したタグをつけることで、インスタンスを毎日自動的に起動/停止してくれます。

EC2Schedulerをつかってみる

実際にEC2Schedulerを使ってみたいと思います。

CloudFormationテンプレートのダウンロード

以下からec2-scheduler.templateをダウンロードします。

docs.aws.amazon.com

CloudFormationスタックをつくる

マネジメントコンソールのCloudFormationから「スタックの作成」を選択します。

「テンプレートの選択」でさきほどダウンロードしてきたec2-scheduler-.templateを選択します。
選択したら「次へ」すすみます。

「スタックの名前」に任意の名前をつけます。
「パラメータ」はデフォルトのままいったん「次へ」でかまいません。

オプションも一旦そのまま「次へ」でかまいません。

CAPABILITYの「AWS CloudFormationによってIAMリソースが作成される場合があることを承認します」にチェックをいれ、「作成」を選択します。

スタックが作成されるのでしばらく待ちます。
「状況」が「CREATE_COMPLETE」となったら完了です。

インスタンスにEC2Schedulerのタグをつける

EC2Schedulerでスケジュール起動停止したいインスタンスを選択し、タグを設定します。
設定するタグの例は以下の表に示します。
時間はUTCでしか記載できないので注意が必要です。

EC2Schedulerのタグの例

以下公式ドキュメントから抜粋
Automated Deployment - EC2 Scheduler on AWS

EC2Schedulerが実行されたか確認する

マネジメントコンソールの「CloudWatch」から「メトリクス」、「EC2Scheduler」と選択します。

「Region」を選択します。

するとEC2Schedulerを設定したインスタンスのリソースIDを設定したが表示されるので、EC2Schedulerの実行状態を確認したいインスタンスのリソースIDを選択します。

グラフが0か1になっているのがわかるかと思います。
0が停止で1が起動です。
今回は1405;1420;utc;weekdaysと設定してみましたので設定通り14:05起動(1)、14:20に停止(0)されていることがわかります。

まとめ

EC2Schedulerをつかってインスタンスの自動起動停止を実施してみました。
夜間はインスタンスを停止するなど、コスト削減の基本ですのでこういったものを利用してみるのもいいかもしれません。

実践AWS Lambda ~「サーバレス」を実現する新しいアプリケーションのプラットフォーム~

• 作者: 西谷圭介
• 出版社/メーカー: マイナビ出版
• 発売日: 2017/06/09
• メディア: 単行本（ソフトカバー）
• この商品を含むブログを見る

Route53のTTLの設定は0から2147483647の間で設定することができます。

0を設定した場合は以下のような動作になります。

Route53でTTLに0を設定したときの動作

キャッシュせずに毎回、名前解決が実行されます。
そして、Route53からはTTL:0のレコードが返却されます。

(ただし、TTLに従って名前解決を行うかはクライアントやDNSキャッシュサーバの設定などに依存します。)

一般的にレコードをキャッシュさせたくない場合にはTTLに0などの短い値を設定するのが有効です。

参考

Nginxでのデフォルトの設定ではTTLにかかわらず名前解決を起動後の1回のみしか実施しない仕様になっています。

papix.hatenablog.com

Amazon Web Services 基礎からのネットワーク＆サーバー構築 改訂版

• 作者: 玉川憲,片山暁雄,今井雄太,大澤文孝
• 出版社/メーカー: 日経BP社
• 発売日: 2017/04/13
• メディア: Kindle版
• この商品を含むブログを見る

AWSCLIのaws s3 cpコマンドではオプションで--sseを指定することでAES256で暗号化することが可能です。

この際にコピー元とコピー先に同一のパスを指定することでパスを変えずに、オブジェクトを暗号化することが可能です。
具体的には以下のようにコマンドを実行します。

 aws s3 cp s3://kabegiwa-bucket/ s3://kabegiwa-bucket/ --recursive --sse

コピー元とコピー先にバケットを指定し、--recursiveで再帰的に--sseで暗号化しています。

また、このコマンドをcronなどに設定することで定期的にバケット全体を暗号化することが可能です。

Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-

• 作者: 荒木靖宏,大谷晋平,小林正人,酒徳知明,高田智己,瀧澤与一,山本教仁,吉羽龍太郎
• 出版社/メーカー: マイナビ出版
• 発売日: 2016/06/10
• メディア: 単行本（ソフトカバー）
• この商品を含むブログを見る