Introducing Amazon GuardDuty Malware Protection for Amazon S3 | Amazon Web Services
AWS News Blog Introducing Amazon GuardDuty Malware Protection for Amazon S3 Today we are announcing the general availability of Amazon GuardDuty Malware Protection for Amazon Simple Storage Service (Amazon S3), an expansion of GuardDuty Malware Protection to detect malicious file uploads to selected S3 buckets. Previously, GuardDuty Malware Protection provided agentless scanning capabilities to id
【初心者向け】AWS Systems Managerのステートマネージャーを試してみた - APC 技術ブログ
目次 目次 はじめに どんなひとに読んで欲しい 関連記事 ステートマネージャーとは 料金 前提 試してみた IAMロール作成 ステートマネージャー関連付けの作成 おまけ:メンテナンスウィンドウとの違い おわりに お知らせ はじめに こんにちは、クラウド事業部の山下です。 AWS Systems Manager(SSM)には運用管理のための便利な機能が多数ありますが、まだあまり使いこなせていません。 今回はSSMのステートマネージャーについて試してみたのでご紹介します。 どんなひとに読んで欲しい Systems Managerの機能について理解を深めたいひと ステートマネージャーの設定方法を知りたいひと 関連記事 SSM変更管理の4機能について、下記記事にて紹介しています。 techblog.ap-com.co.jp techblog.ap-com.co.jp ステートマネージャーとは マネ
AWS 運用におけるベストプラクティスが学べる【Cloud Operations on AWS】を受講してみた | DevelopersIO
こんにちは、AWS事業本部オペレーション部の清水です。 AWS Certified SysOps Administrator - Associate 認定を取得するべく、「Cloud Operations on AWS」を受講してきました。 今回のトレーニングはドライランになり、試験的にまず社内向けに実施されました。今後は一般の皆様向けにご提供されるコースになります。 本コースの受講をお考え中の方へ、お役に立てば幸いです。 AWS認定トレーニングとは? 以下のブログに、弊社AWS認定トレーニング講師の平野のほうで執筆した各トレーニングの詳細が記載されています。 私が今回受講したのは、まだドライランのためこちらの図には載っておりません。(多分、今後掲載されるはずです) 前提条件 AWS Technical Essentials コースの修了 ソフトウェア開発またはシステム管理の経験 コマンド
【初心者向け】AWS Systems Managerの変更管理を試してみた【前編】 - APC 技術ブログ
目次 目次 はじめに どんなひとに読んで欲しい 概要 料金 前提 試してみた Automation IAMロール作成 Automationの実行 メンテナンスウィンドウ メンテナンスウィンドウ作成 メンテナンスウィンドウ実行状況の確認 おわりに お知らせ はじめに こんにちは、クラウド事業部の山下です。 今回は多数あるAWS Systems Managerの機能の中でも、これまであまり使用したことがない「変更管理」のカテゴリに分類されるサービスについて調査・検証してみました。 Systems Manager 「変更管理」カテゴリの各サービスの概要説明と併せて簡単な設定手順もご紹介いたします。 どんなひとに読んで欲しい Systems Managerの機能について理解を深めたいひと Systems Managerの各機能の設定方法を知りたいひと 概要 まずは「変更管理」のカテゴリに分類される
こんにちは、iimonでエンジニアをしています。須藤です。 本記事はiimonアドベントカレンダー20日目の記事となります。 業務中にbatch処理を追加する際、 サーバー側リポジトリのgithub actionsで、コンテナ実行コマンドの上書きと、batch job定義の登録をして、 インフラ側リポジトリでbatch jobのscheduleを設定するということが何度かあり、 サーバー側リポジトリだけで完結させたいと思っていたところ、 ecscheduleを使うとできそうなので試してみることにしました。 container imageの準備 ECS clusterを作成 ecsEventsRoleの作成 github actions関連 ECS task定義を作成 ecscheduleの設定 Github Actionsを構成 動作確認 まとめ 最後に 参考 container imag
GitHub Actions で ECR に Docker イメージをプッシュして ECS にデプロイまで - Qiita
はじめに GitHub Actions で Docker イメージをビルドして ECR にプッシュして ECS にデプロイするまでの手順をまとめます。 ディレクト構成 今回は以下のようなディレクトリ構成で進めます。 aspnetapp 以下には ASP.NET Core のプロジェクトがあります。 . ├── .github │ └── workflows │ └── deploy.yml ├── deploy │ └── ecs-task-def.json ├── aspnetapp │ └── aspnetapp.csproj など └── Dockerfile .github/workflows 以下に yml ファイルを配置します。 これにより、GitHub Actions を定義することができます。 deploy ディレクトリには、ECS タスク定義の JSON ファイルを配置し
こんにちは。ゲーソル新屋です。 今までAWS CDKのデプロイメントポリシーの最小権限について考えたことはなく、なんかCDKがいい感じにやってくれてるんだろうくらいに思っていたのですが(実際そうですが) AWS CDK Security And Safety Dev Guideを読んでみて、AWS CDKデプロイメントで登場するロールとポリシーとその最小権限について、いくらか理解できた部分があるので、それを共有します。 ※本記事はCDKv2であることを前提にしています。 TL;DR CDKはCloudFormationがAWSリソースの変更をデプロイする アクター(開発者または自動システム)はデプロイをしない CloudFormationはアクターから CloudFormationExecutionRole というロールをPassRoleされ AdministratorAccess でデプ
pt-online-schema-change の実行が必要かどうか判断するタイミングをより早くした話 - Repro Tech Blog
Repro では Aurora MySQL を使用しています。いくつか数千万行を越えるデータを持つ大規模なテーブルもあります。 大規模なテーブルのスキーマを変更するときは pt-online-schema-change1 を使用していますが、今回はその必要性を判断するタイミングを早めた話です。 pt-osc が必要になる理由等は次の記事が詳しいです。 - pt-online-schema-changeの導入時に検討したこと、およびRailsアプリとの併用について - freee Developers Hub 解決したい課題 Repro では Rails アプリケーションが管理画面や API を提供しています。これらについて、目的別に複数の環境を用意しています。 member: 主に管理画面の動作確認目的で開発者が自由に使ってよい環境 いくつかのミドルウェアは dev_staging と共用
AWS Fault Injection Simulator の Amazon ECS に関する新機能のお知らせ | Amazon Web Services
Amazon ECS タスクにフォールトインジェクションを行う仕組み 次の図は、AWS FIS が Amazon ECS タスクにフォールトインジェクションをどのように行うかを表現しています。AWS FIS は AWS Systems Manager SSM Agent を使って、フォールトインジェクションを実行しています。Amazon ECS タスク内で、サイドカーとして SSM Agent を動かすことで、AWS FIS がフォールトインジェクションを実行できるようにしています。これにより、Systems Manager の Run Command 経由で様々な障害試験を行うことで、潜在的な問題を発見し改善しやすくなります。AWS FIS のフォールトインジェクションを行うために、ECS のタスク定義に、SSM Agent のサイドカーを追加する必要があります。 ウォークスルー 次のス
イラストで理解するIAMロール
はじめに 先日、AWSのアクセス制御についてのプレゼンを行いました。 その際、ポリシーが増える場合、どのように対応すれば良いですか?という質問を頂きました。 そこで、ポリシーを管理するためのIAMロールの説明がうまくできませんでした。 ポリシーやロールは普段から触ることも多いですが、そのメリットをちゃん理解できていなかったことを自覚しました。 そこで、AWSのIAMロール周りのことを聞かれて「ドキッ」とする、そんな私のような方は是非読んでみて下さい。 概要 この記事ではIAMロールの利点に焦点を当てているので、あまり細かい仕組みの説明はしておりませんので、あしからず。 ポリシー ポリシーってなに? そもそも、ポリシーってなんでしょう? ポリシーがあって何がいいんでしょう? では、まずポリシーがない状況を考えましょう。 ポリシー(権限)が無いと、誰でも、いつでも、なんでも、操作できるという状
⚠️ AWSGoat Module 2 のネタバレあり はじめに AWSGost とは 攻撃方法の分類 インフラの料金 ラボ環境の構築 AWSGost リポジトリをフォーク Actions secrets でクレデンシャルを設定 GitHub Actions でデプロイ Module 2の大体の流れ Step 1. SQL Injection 解法 脆弱性があるコード Step 2. File Upload and Task Metadate リバースシェルの用意 待ち受け側 Step 3. ECS Breakout and Instance Metadata 現ユーザの権限を確認 リソースへのアクセスを試行 ケイパビリティを確認 (www-data ユーザ) コンテナ内でroot権限を取得 sudo可能なコマンドを確認 Vim経由でroot権限のシェルを取得 ケイパビリティを確認 (ro
【データ基盤構築/AWS】IAMのPassRoleで権限を渡すこととロールにポリシーアタッチして権限を渡すことの違い - Qiita
今回の課題 以下の前回の記事の機能を実装する際に、権限まわりでエラーが発生してしまったので解決した方法を記録する。 また、一応は解決できたが、解決できた理由がイマイチ理解できていなかったため、色々調査することにした。 発生した問題を解決する 前提 使用している権限 Lambdaにはpractice-Lambda-RDStoS3-role-idais11pというロールで権限が渡されている。 S3にアクセスや操作をできるようにするための権限(s3:GetObjectやs3:DeleteObjectなど)を持ったポリシーをアタッチしている。 こちらのロールの信頼されたエンティティは以下となっている。(Lambda実行時にAssumeRoleによって、ロールが所持しているポリシーの権限をLambdaが使える) { "Version": "2012-10-17", "Statement": [ {
AWS Step Function承認フローをAWS Step Functionsのワークフローから呼び出して多段階承認フローを作成する方法(AWS CodePipeline & Amazon EventBridge編) - NRIネットコムBlog
小西秀和です。 本題に入る前にSNSで反応があったので、本当は記事を一通り書いてからまとめで書く予定でしたが、多段階の承認フローのシステム化に関して書いている意図をこちらで説明しておきます。 承認フローについて記事を書き始めた背景にはChatGPT(GPT-4)の登場があります。 個人的には人間がおこなう不要な多段階の承認フローはなくすべきだと考えています。 ただ、一方で承認フローは承認に必要な知識、分析能力、権限をもつ者が意思決定をおこなえる最後の砦であるとも言えます。 そのため、次のような考えから現在、人間がアナログベースでおこなっている承認フローはAPIが介入できる形でシステム化するべきではないかという実験的な意図で多段階の承認フローに関する記事を書いています。 承認フローをAPIが介入できる形でシステム化すれば人間でもChatGPTでも意思決定のステップを柔軟に切り替えられる 最初
AWS Step Function承認フローをAWS Step Functionsのワークフローから呼び出して多段階承認フローを作成する方法(AWS Systems Manager Automation & Amazon EventBridge編) - NRIネットコムBlog
小西秀和です。 以前書いた次の記事でAWS Systems Manager Automationの承認アクションとAmazon EventBridgeを使用してAWS Step Functionsのワークフローへ承認フローを追加する方法を試してみました。 AWS Step Functionsのワークフローへ承認フローを追加する方法(AWS Systems Manager Automation & Amazon EventBridge編) 今回はこのAWS Step Functionsの承認フローをコンポーネント化し、別のAWS Step Functionsのワークフローから呼び出して多段階承認フローを作成する方法を試してみたいと思います。 ※本記事および当執筆者のその他の記事で掲載されているソースコードは自主研究活動の一貫として作成したものであり、動作を保証するものではありません。使用する
AWS Step Function承認フローをAWS Step Functionsのワークフローから呼び出して多段階承認フローを作成する方法(AWS Systems Manager Automation編) - NRIネットコムBlog
小西秀和です。 以前書いた次の記事でAWS Systems Manager Automationの承認アクションを使用してAWS Step Functionsのワークフローへ承認フローを追加する方法を試してみました。 AWS Step Functionsのワークフローへ承認フローを追加する方法(AWS Systems Manager Automation編) 今回はこのAWS Step Functionsの承認フローをコンポーネント化し、別のAWS Step Functionsのワークフローから呼び出して多段階承認フローを作成する方法を試してみたいと思います。 ※本記事および当執筆者のその他の記事で掲載されているソースコードは自主研究活動の一貫として作成したものであり、動作を保証するものではありません。使用する場合は自己責任でお願い致します。また、予告なく修正することもありますのでご了承く
AWS Step Functionsのワークフローへ承認フローを追加する方法(AWS Systems Manager Automation編) - NRIネットコムBlog
Amazon S3とAmazon CloudFrontによる静的ウェブサイトにSSL/TLS証明書(AWS Certificate Manager)・基本認証(Lambda@Edge)・IP制限(AWS WAF)をクロスリージョンで追加するAWS CloudFormationテンプレートとAWS Lambdaカスタムリソース - NRIネットコムBlog
小西秀和です。 この記事は過去に投稿した次の記事の続編で、SSL/TLS証明書(AWS Certificate Manager)、基本認証(Lambda@Edge)に加えてIP制限(AWS WAF)を追加したパターンでAmazon S3とAmazon CloudFrontによる静的ウェブサイトホスティングをAWS CloudFormationテンプレートとAWS Lambdaカスタムリソースを使用して構成するものです。 AWS LambdaカスタムリソースでSSL証明書・基本認証・CloudFrontオリジンフェイルオーバーを作成するAWS CloudFormationスタックを別リージョンにデプロイする 今回は更にOrigin Access Identity(OAI)をOrigin Access Control (OAC)に変更し、キャッシュポリシー(CachePolicy)、オリジンリ
AWS Backupを使ってEC2のバックアップをクロスリージョンにコピーする設定をCloudFormationで作成してみた | DevelopersIO
AWS Backupのクロスリージョンコピー設定を行う機会があったのでブログに残します。 構成 簡単な構成図ですが以下のようなことをやります。 1. 東京リージョンにあるEC2からAWS BackupでAMIを取得 2. 大阪リージョンのバックアップボールトに東京リージョンで取得したAMIをコピー 3. 大阪リージョンのVPCでEC2を復旧 上記1、2を行うAWS Backupの設定と構成図の環境をCloudFormationで作成していきます。 3については以下の公式ドキュメントの手順でバックアップボールトにある復旧ポイントから復旧を行います。 Amazon EC2 インスタンスを復元する 設定 まずは東京リージョンにVPC、EC2などを作成します。 作成は以下のCloudFormationテンプレートで作成します。 CloudFormationテンプレート (ここをクリックしてください
CDK Security And Safety Dev Guide を読んでみた - 電通総研 テックブログ
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。 2022年12月始めに AWS CDK の GitHub リポジトリの wiki に公開された Security And Safety Dev Guide を読んでみました。CDKアプリをデプロイする時の権限と、CDKアプリ内で作成する権限の両方について、管理方法と推奨事項が書かれています。 この記事ではざっくりとした要約と感想を筆者の観点で書いていきます(分かりやすさのために、幾分か内容の再構築や意訳が入っています)。翻訳記事ではないので、正確で詳細な内容は元のドキュメントをご確認ください。 https://github.com/aws/aws-cdk/wiki/Security-And-Safety-Dev-Guide イントロダクション CDKのデプロイではどのような権限を使うべ
RDS(MySQL) から BigQuery へ1日1回データを同期して、データ分析やレポート系の処理で利用することになりました。 構成 以下の構成でデータを同期することにしました。 要件1: データの断面は合わせたい 元々はEmblukを使って直接同期しようと考えていたが、Embulkだとテーブル毎にデータを同期することになり、テーブルによってデータの断面が微妙にずれるため断念 CSV 形式でダンプして、Embulk で同期することもできそうだが、元々自動でスナップショットが取られているのでそれを利用することにした => スナップショットを parquet 形式で S3 にエクスポートすれば、BigQuery Data Transfer Service を使って BigQuery に取り込むことができるので、採用 要件2: コストを抑えたい 定額利用料がかかるサービスは使うことはできない
Step FunctionsからECS RunTaskしようとしたら「ECS.AccessDeniedException」と出た時の対処法 | DevelopersIO
こんにちは。AWS事業本部コンサルティング部に所属している今泉(@bun76235104)です。 みなさん、Step Functionsを使っていますか? Workflow Studioで視覚的にステートマシンを組み立てるのが非常に楽しくて私は大好きです! 今回はAWSマネジメントコンソールからStep FunctionsでECE RunTaskのタスクを設定した時に以下のようなエラーが出た時の対処法を書かせていただきます! User: arn:aws:sts::${アカウントID}:assumed-role/${ロール名}/hogehoge is not authorized to perform: iam:PassRole on resource: arn:aws:iam::${アカウントID}:role/${タスク実行ロール名} because no identity-based p
Amazon Connect の通話データの分析結果をバッチ処理で Word 文書にする – Amazon Connect アドベントカレンダー 2022 | DevelopersIO
Amazon Connect の通話データの分析結果をバッチ処理で Word 文書にする – Amazon Connect アドベントカレンダー 2022 こんにちは!森田です。 この記事は「Amazon Connect アドベントカレンダー 2022」の15日目の記事となります! Amazon Connectアドベントカレンダー2022は、クラスメソッドと株式会社ギークフィードさんでチャレンジしている企画となっており、他にもAmazon Connect関する様々な記事がありますのでぜひご参照ください!! この記事では、Amazon Connect の通話データをバッチ処理で分析しその結果を Word 文書にする方法をご紹介します。 やりたいこと Amazon Connectの音声データの分析結果を AWS Lambda で Word 文書に変換し、 そのファイルパスを Amazon Co
AWS Lake Formationでデータレイク体験! #1 何がうれしいのか? - Taste of Tech Topics
AWS - ECS Taskを使ったバッチ処理
ECS Taskを使ってバッチ処理するケースがあると思う。 構成のパターンは様々ありそうだが、必要となるAWSリソースであったり、監視・リトライの実現方法あたりを、整理しておこうと思う。 (Lambdaを使えばリトライ設定とかあるので簡単だが、処理時間が長いなどLambdaが使えないケースを想定している) 時間指定で、ECS Taskを起動したい EventBridgeでTargetに、ECS taskまたは、Step Functions state machineを指定すれば良い。 Targetの呼び出し自体に失敗したときのリトライはRuleに対して設定できるが、起動後の失敗に関してはStep Functionsで対応する必要がある。 なので、最初からStep Functions state machineを指定する形にしておくと良さそうな感じがする。 ECS Taskが失敗したら、リト
ecspresso+ecschedule+lambrollでCI/CDを作った話 - トラストバンクテックブログ
前回の記事から間が空いてしまいました、SREのbutadoraです。 年末に向けた準備で忙しなくしているこの頃です。 今回はとある環境で実装したCI/CDのフローを紹介したいと思います。 今回のサービスアーキテクチャ 今回はPHP製WEBサービスをデプロイする環境が必要ということで、以下の様な設計としました。 WEBサービス本体 → ALB+ECS+RDS 定時バッチサービス → ECS (Task Scheduler)+RDS ファイル設置をトリガーにしたバッチサービス → S3+Lambda(コンテナイメージ)+RDS CI/CD 簡単な構成図はこんな感じです。 大きなポイントとしては、タイトルにある3種の各デプロイツールを組み合わせることで、開発側のリソース管理を切り出しているところです。 弊社ではAWSリソースの管理をTerraformで行っていますが、図にあるようなリソースまで管
本記事については先日開催されたMBSD勉強会にて発表した「Abuse of Data Transfer between Cloud Accounts」の内容に関する記事です。 勉強会登壇時のスライド 概要 クラウドプラットフォームでは提供しているサービスごとに異なるアカウント間にてデータの共有や転送を行う機能が存在します。今回の記事ではそれらの機能を悪用して攻撃を行う手法について、検証や考察の結果をまとめています。記事中でもいくつか紹介していますが、このような攻撃手法を題材としたブログやツールなどが公開されており、今回はそれらの内容を参考にしつつ、自分で手を動かしてみた結果を記載しています。また、いくつかの手法については筆者が携わるペネトレーションテスにおける評価でも利用できるものであると考えています。 なお、本記事にて考察している攻撃手法については、クラウド環境下でのいわゆるPost-E
GitHub Actions on AWS with CDK - NTT Communications Engineers' Blog
【AWS CDK】CodePipeline から Lambda を Blue-Green デプロイする | DevelopersIO
はじめに テントの中から失礼します、IoT 事業部のてんとタカハシです! Lambda のバージョニングとエイリアスを活用することで、Blue-Green デプロイの構成を実現することができます。実サービスの本番環境にリリースを行った際、何か問題が発生した場合に、元のバージョンへ切り戻せる構成になっていると非常に安心感があります。 今回は上記の記事を参考にして、GitHub リポジトリでのマージをトリガーに、CodePieline から Lambda を Blue-Green デプロイする構成について CDK で構築します。 尚、本記事で記載する全てのソースコードは、下記のリポジトリでも確認することができますので、必要に応じてご参照いただければと思います。 GitHub - iam326/lambda-blue-green-deploy-by-cdk 環境 $ sw_vers Produc
AWS LambdaとEventbridgeでRDSのS3エクスポートを自動化する | SEEDS Creators' Blog | 株式会社シーズ
こんにちは、クラウドソリューション事業部の本田です。今月もブログ書いていきます、よろしくお願いします。今回ですが、担当している案件でRDSのS3エクスポートを自動化する必要がありましたので、それを実現した内容をまとめていきます。 背景GCPのBigQueryにRDSのデータをインポートする必要がありました。dumpを取得してデータを転送するなど色々と考えたのですが、BigQueryではparquet形式のデータをサポートしているので、RDSのデータをparquet形式でエクスポートすることのできるRDSスナップショットのS3エクスポートを利用することになりました。また週に1回での更新頻度という要件でしたので、こちらを自動化する必要がありました。BigQueryでのテーブルの作成なども行なっているのですが、これらはまた別の記事にしようかなと思っています。 構成AWS LambdaでRDSスナ
こんにちは。asken 初の専任インフラエンジニアとして 2022年6月に asken に入社した沼沢です。 asken での AWS アカウントとユーザー管理についてお話したいと思います。 asken では以前から複数の AWS アカウントを利用しており、これまではそれぞれのアカウントで個別に管理していました。 そこには、ユーザー管理の課題、セキュリティ・ガバナンス的な課題等、AWS マルチアカウント運用で発生する「あるある」な課題が asken にも多数存在していました。 そこで、これらを解決するため AWS Organizations を導入することにしました。 この記事に書かれていること・いないこと 書かれていること asken における Organizations の設計と適用しているガードレール、セキュリティ系サービスの話 asken における ユーザー、アクセス管理について
エンジニアの業務効率をあげる!AWS CDKで作る本番Databaseを安全にクローンする方法 - AppBrew Tech Blog
こんにちは、AppBrewに業務委託で参加させてもらっているsnikiです。 本業ではヤフー株式会社でYahoo! JAPANアプリのバックエンド開発をやっています。 今回は、AWSのChatbot/Step Functions/CDK等を利用してAmazon Auroraをcloneするツールを作成したのでご紹介します。 背景 機能の説明 利用したAWSのサービスとシステム構成 この構成に至るまで slackのコマンドを受け付けるには cloneからmasking、instance class設定、通知まで Aurora Clone(Lambda) Aurora Masking(ECS) Modify Clone DB Instance Class(Lambda) Notify Slack(Lambda) 補足 なぜLamdaとECSが別れているのか インスタンスクラス変更のタスクは何?
AWSの権限昇格してますか?(挨拶) PMapperは、指定したAWSアカウントのIAMとOrganizationsを分析して、権限昇格可能なパスを可視化してくれるツールです。NCCグループ社製。 github.com PMapperはIAMポリシー、ユーザー、グループなどをノード、権限昇格する(できる)ノードから、されるノードへのベクトルをエッジとして、有向グラフを生成します。こんな感じ。 権限昇格できるノード--昇格方法-->権限昇格されるノード AdministratorsAccess の他、IAMFullAccess のように、自分自身にポリシーを割り当てられるノードをAdminと位置づけ、AssumeRole や PathRole によってAdminに(直接的か間接的かを問わず)なれる別のノードを探す、という感じみたいです。 実行 CloudShellを使いました。Dockerイ
Fargateタスクで機械学習モデルの訓練・推論をしたのでポイントを整理してみた | DevelopersIO
データアナリティクス事業本部の鈴木です。 Fargate起動タイプを使用したタスクでXGBoostを動かしたいことがありました。FargateタスクはLambdaより長い時間実行できるのでバッチ処理を動かす際に便利です。いざやってみるとプライベートサブネットで動かす場合には、関連サービスとの連携のための設定が少し難しく感じたので、ポイントをまとめてみました。 Fargateについて Amazon ECSの、コンテナをサーバレスで実行できる機能です。 データ分析基盤や機械学習システムでは、15分以上を超える可能性があるバッチ処理は頻繁に登場するので、その要件を実現できる心強い機能です。AWS Fargate を使用して、イベント駆動型およびスケジュールされたワークロードを大規模に実行のドキュメントでも このパターンは次のビジネスユースケースに役立ちます。 ・ランタイム(15 分の制限)または
ECS FargateでSSMセッションマネージャーのリモートホストのポートフォワード環境を構築する - 365歩のテック
概要 先日リリースされたSystems Manager セッションマネージャーのリモートホストへのポートフォワード機能を使って、ローカルから直接プライベートサブネットのRDSなどへトンネリングする環境を、ECS on Fargateで構築してみました。 具体的には、プライベートサブネットにあるMySQLやPostgreSQLに、ローカルPCのターミナル等から直接アクセスできるようになります。 目次 目次 概要 目次 リモートホストへのポートフォワード システム構成 ECS on Fargate クライアント(ローカルPC) ※補足(現在はこの構成でなくても出来ます!) 前提 構築 スタック・スクリプト構成 デプロイスクリプト・CloudFormation ローカル実行スクリプト 詳細解説(デプロイ編) 01_deploy_preparation.sh アドバンスドインスタンスティア Gen
How to create IAM roles for deploying your AWS Serverless app | Serverless First
Getting IAM permissions right is one of the hardest parts about building serverless applications on AWS. Many official tutorials and blog posts cop out of giving you the full details on how to set up IAM, preferring something vague like “ensure you use least-privilege permissions when creating this role”. Or worse, they give you a wide open wildcard or admin-level example policy with a “don’t use
シェルからのSQL実行をAmazon ECSを使ってサーバーレスに実現してみる - 虎の穴開発室ブログ
こんにちは。虎の穴ラボの鷺山です。 この記事は「虎の穴ラボ 夏のアドベントカレンダー」の3日目の記事です。 2日目は植竹さんによる「GCPの監視機能 Monitoring の推しポイント紹介」が投稿されました。 4日目はH.Y.さんによる「Amazon WorkSpacesで色々試してみる。」が投稿されます。こちらもぜひご覧ください。 はじめに データベースを運用していると、「挿入・変更・削除などのちょっとしたデータ操作を、シェルスクリプトの中にSQLを書いて実行」したりすることはあると思います。 今回はそのような処理をAmazon ECSのタスク実行を使ってサーバーレスに実現する方法をご紹介したいと思います。 コンテナの起動にAWS Lambdaも使用します。 環境 データベース: MySQL 5.7 (Aurora 2.10.2) この記事の付録にPostgreSQLでの方法もご紹介し
ステージング環境における検証用データベースの立ち上げを自動化する取り組み - KAYAC engineers' blog
SREチーム(新卒)の市川恭佑です。 カヤックのサービスでは、信頼性の担保を目的として、ステージング環境を作成する方針を取っています。 ステージング環境では、検証の精度を高めるために、量・質ともに本番環境に類似したデータベースが求められる局面が頻出します。 そこで今回は、Tonamel という自社サービスにおける、検証用データベースの立ち上げを自動化する取り組みについて紹介します。 サービスの置かれていた状況と解決方針 Tonamel の実行基盤は Amazon Web Services (AWS) 上にあり、本番環境とステージング環境は別のアカウントとして、同一の AWS Organizations 組織内に構築されています。 もともと、ステージング環境では、本番環境のデータは利用せず、手作業でダミーデータを作成していました。 それゆえに、データベースに格納されているデータ量は本番環境と
CodePipelineを使用して別アカウントにCloudFormationスタックをデプロイしてみた | DevelopersIO
釣りの専門用語が分からなくて困ってます。AWS事業本部コンサルティング部の後藤です。 CodePipelineを使用して異なるアカウントにデプロイを行う場合、アカウントを跨ぐような形でCodePipelineを構築するのが一般的かと思いますが、AWSのナレッジセンターに1つのアカウント上でCodePipelineを完結させつつ、別アカウントにCloudFormationのスタックを構築する方法を見つけましたので、こちらを参考にしながらLambda作成を試してみました。 それでは、やっていきましょう! 構成図 今回構築する構成図は以下となります。 CodePipelineを構築する側をAccount(A)、CloudFormationを作成する側をAccount(B)とします。 事前準備 CodeBuildサービスロール作成 CodePipelineサービスロール作成 今回サービスロールは基
Amazon EventBridge にイベントを別リージョンに自動でフェイルオーバーするグローバルエンドポイントが追加されました | DevelopersIO
Amazon EventBridge にイベントを別リージョンに自動でフェイルオーバーするグローバルエンドポイントが追加されました イベント駆動アーキテクチャでもリージョン障害に対応したい こんにちは、のんピ(@non____97)です。 皆さんはイベント駆動アーキテクチャでもリージョン障害に対応したいと思ったことはありますか? 私はあります。 Amazon EventBridgeのイベントはリージョン内で閉じています。そのため、EventBridgeでリージョン障害が発生した場合に、別リージョンにシステムをフェイルオーバーしたとしても、障害が発生してからフェイルオーバーが完了するまでに発生したイベントを拾うことができません。 今回、Amazon EventBridge にイベントを別リージョンに自動でフェイルオーバーするグローバルエンドポイントが追加されました。 グローバルエンドポイント
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ecscheduleを触ってみる!(v0.11) - iimon TECH BLOG
AWS CDK でデプロイするときの最小権限について考えてみる | DevelopersIO
やられAWS環境「AWSGoat」でペンテストを学習 - まったり技術ブログ
RDS(MySQL)からBigQueryへのデータ同期 – rinoguchi's techlog
クラウドアカウント間におけるデータ転送の悪用 | 技術者ブログ | 三井物産セキュアディレクション株式会社
cdk-nagを使用したAWS CDKのセキュリティチェック ~基本編~ - NRIネットコムBlog
複数の AWS アカウントを AWS Organizations 管理にした話 - asken テックブログ
IAMの権限昇格を可視化する「PMapper」 - ペネトレーションしのべくん