- 1. S3バケットをOrganizations内全アカウントにアクセス許可
- 2. VPC エンドポイントへのアクセス許可は SourceIp ではなく VpcSourceIp を利用する
- 3. CloudFrontとLambdaでBasic認証設定してみた
- 4. EC2上のwebサーバをSSL化対応
- 5. CodeDeployのIn-Place Deploymentでハマったときの対応
- 6. GCPとAWS どっちがいい
- 7. 【実務未経験】AWS認定ソリューションアーキテクトアソシエイトに2週間で合格しました。
- 8. 【AWS】インフラ未経験の無職がAWSのSAAとDVAに受かったので、勉強法を振り返る
- 9. AWSのアカウントを作ろう
- 10. EC2インスタンスのボリューム拡張をダウンタイムなしで実施した話
- 11. 未経験者が自社開発企業に就職するためのREADME書き方
- 12. AWS Perspectiveを使ってリソースの構成図を可視化してみた。
- 13. 【AWS SOA】S3バケットのパブリックアクセスに関する監視の備忘録
- 14. AWS CloudFormation で「Property Name cannot be empty.」がでた時にやったこと
- 15. AWSクレデンシャル情報取得のベストプラクティス(AWS SDK for Go)
- 16. S3で静的ホスティングしているWebサイトをHTTPS化する
- 17. SQSとmessage queingのメモ書き
- 18. ICSアプローチに基づくドメイン駆動設計の戦略的設計
- 19. 未経験者がWell Architected Frameworkを意識して自分なりにアーキテクチャ設計・構築をしてみた。<VPC、ELB編>
- 20. 未経験者がWell Architected Frameworkを意識して自分なりにアーキテクチャ設計・構築をしてみた。<アーキテクチャ設計編>
S3バケットをOrganizations内全アカウントにアクセス許可
S3バケットをAWSアカウントを超えて共有したい、Organizatins内の全AWSアカウントに共有できるとなおよいとおもったので、方法を確認してみました。
# S3バケットのクロスアカウントアクセス
まず別のAWSアカウントの特定のIAMユーザーにアクセスを許すところから。
ここでは簡単な「[別の AWS アカウントのユーザーに、オブジェクトを S3 バケットにアップロードするアクセス権を与える](https://aws.amazon.com/jp/premiumsupport/knowledge-center/s3-cross-account-upload-access/?nc1=h_ls)」を試します。このドキュメントは下図のように、S3アクセスを実現するためにIAMポリシーとバケットポリシーを設定する、という内容になっています。
VPC エンドポイントへのアクセス許可は SourceIp ではなく VpcSourceIp を利用する
# 概要
VPC エンドポイントを設定した AWS サービスへの IP アドレスによるアクセス許可は SourceIp ではなく、VpcSourceIp を利用する必要があります。# 詳細
## 前提条件
S3 の特定のバケットに対して VPC エンドポイントを利用していると仮定します。その S3 に対しては次のようにパブリックなアクセス許可を与えています。
“`json
{
“Version”: “2012-10-17”,
“Id”: “Policy156583539788”,
“Statement”: [
{
“Sid”: “Stmt156583536527”,
“Effect”: “Allow”,
“Principal”: “*”,
“Action”: “s3:GetObject”,
“Resource”: “arn:aws:s3:::bucket/*”,
“Condition”: {
CloudFrontとLambdaでBasic認証設定してみた
こんにちは
「あつまれ!どうぶつの森」のためにswitchの販売抽選に応募するが当たらず「あつもり」ブームも過ぎていたことに最近気付いたstreampackのrisakoです:girl_tone1::koala:
そして9月も後半!だんだん涼しくなってきて過ごしやすくなってきましたね!今回のテーマは「Basic認証」です:dizzy:
これまでなかなか触れることがなかったので、初めて設定してみた記念にQiitaに残そうと思います。
#Basic認証とは?
Web上で利用できる認証システムのことです。
Basic認証が設定されているページにアクセスすると、ブラウザ上に**ユーザー名とパスワード**を入力するポップアップが表示されます。
私はBasic認証を意識する前に数回web上でみたことがあるので、多くの人が見たことがあるのではないでしょうか?Safariだとこのようなポップアップが出てきます!
– [EC2インスタンス作成~ログインまで(画像つき)](https://qiita.com/miyuki_samitani/items/2ace2bb5d7874f919676)
– [EC2インスタンス(CensOS7)をwebサーバとして起動しドメインで表示させる](https://qiita.com/miyuki_samitani/items/01d5865864c0f7d5b723)
– [EC2インスタンスのIPアドレスを固定させる](https://qiita.com/miyuki_samitani/items/d9aa05ca8f72a013ce57)## 今まではSSL化対応していなかった?
以下の画像を見ていただければわかると思いますが、
鍵のマークに赤い斜線がひかれています。
これは安全ではない通信、いわゆるSSL化対応が出来ていないということになります。無題 – ペ
CodeDeployのIn-Place Deploymentでハマったときの対応
# はじめに
AWSを使っているとCodeDeployを利用してデプロイすることがあると思います。
CodeDeployのIn-Place Deploymentでデプロイしたときにハマった点がありましたので、ハマった内容と対処方法を紹介します。# ハマった内容
In-Place Deploymentは、稼働中サーバーに対して直接新しいアプリケーションをデプロイする方法です。
デプロイ先のサーバーのストレージ容量によりますが、何度かデプロイを行っているとストレージ容量を使い切ってしまい、デプロイを行っても失敗を繰り返しました。# 原因
CodeDeployエージェントは、**/opt/codedeploy-agent/deployment-root/**配下にリビジョン、デプロイメント履歴、デプロイメントスクリプトを保存していました。そのため、デプロイを何度も行うと過去のデプロイメント履歴が残りストレージ容量を使い切っていました。
**/opt/codedeploy-agent/deployment-root/**配下のディレクトリ構成については、[Working with th
GCPとAWS どっちがいい
#重要なこと
僕は、インフラメインの人間ではないです。
ポエムだと思ってください#主観の感想
インフラ専門の方はAWSを使われるイメージが強いです
今までの知見とかが溜まっているとかがあるんでしょうか
自分の周りは会社ではAWSを使っているとよく聞く気がします
でも最近GCP勢が増えてきてる気もします
kubernetesとか機械学習が影響しているんでしょうか個人的にはドキュメントと操作性でGCPのが使いやすく感じました
あとCIとの連携もGCPのがやりやすかったです
慣れの問題だと思いますが、、特に機械学習をやるときにSageServerとTensorflow周りが使いにくかった印象です
料金面の優越は正直分かりませんが、ある程度のアクセス数が無い限りはどっちでもいいのではと思える額でした。
個人開発で使う分ではGCPの永久無料枠と最初の3万円無料は大きかったですGCPのai-platformはかなり安いので、colabとか使ってる人は試しに使ってみてもいいかもしれません
僕は最初AWSだったんですけど、機械学習があってGCPに乗り換えました
【実務未経験】AWS認定ソリューションアーキテクトアソシエイトに2週間で合格しました。
2020年9月にAWS認定ソリューションアーキテクトアソシエイト(SAA-C02)に合格したので、
合格までの勉強方法を合格体験記みたいな感じでメモしておきます。#筆者について
現在、大学3年生(情報系の学科)で勉強を始めた時はAWSの使用経験はありませんでした。ただ、8月末にAWS認定クラウドプラクティショナー(CLF)に合格していましたので、広くかなり浅くAWSの知識がある状態で勉強をスタートしました。
#受けた経緯
AWSに興味があったので、学習の一つの目標としてクラウドプラクティショナーを取得。思ったよりもスコアが高かったので、「SAAも行けるんじゃないか?」と調子に乗って受けることにしました。[***クラウドプラクティショナーの合格体験記はこちら***](https://qiita.com/SraSora/items/031f1c50a500e6305022)
#勉強方法
[***・これだけでOK! AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座(SAA-C02試験対応版)***](https://www.udemy.com/course/
【AWS】インフラ未経験の無職がAWSのSAAとDVAに受かったので、勉強法を振り返る
#【概要】
AWSの下記の資格試験に合格したので、使用した勉強教材を振り返ります。
・ソリューションアーキテクト-アソシエイト(SAA)
・デベロッパー-アソシエイト(DVA)
#【目次】
・使用教材
・勉強方法
・勉強時に気をつけること
・最後に#【使用教材】
使用した主なサイト、教材は下記の4つ
①Udemy
②YouTube
③参考書(1冊)
④ Qwiklabs#【勉強方法】
##①Udemy
**ソリューションアーキテクト-アソシエイト(SAA)の場合**
『AWS:はじめてのAmazon Web Services』
https://www.udemy.com/course/aws-for-beginner/『これだけでOK! AWS 認定ソリューションアーキテクト
AWSのアカウントを作ろう
AWSアカウントの作成は公式ドキュメントにも書いてあります。
ただ、入力が必要な情報が幾つかあったので、まとめてみました。# まず準備するもの
作成する際に以下の情報が必要になります。
ここでの注意点としては、氏名や住所を入力する際に日本語ではなく英語表記です。| # | 準備物 |
| —- | —- |
| 1 | メールアドレス |
| 2 | 利用者氏名 |
| 3 | クレジットカード |
| 4 | 連絡先住所 |
| 5 | 連絡先電話番号 |
| 6 | 請求先住所・電話番号(※)|
(※)連絡先と請求先が違う場合には必要です。# AWSアカウントのサポートプラン
アカウントには、サポートの充実度に応じて4種類のプランがあります。
今回作成するのは、ベーシックプランです。|プラン|概要|
| —- | —- |
| ベーシック| 技術的なサポートはなく、自分でドキュメントなどを確認するがある基本無料のプラン |
| 開発者| Eメールでの技術サポートが受けれるプラン。各種サービスの検証やテストにおすすめ |
| ビジネス| 24×36
EC2インスタンスのボリューム拡張をダウンタイムなしで実施した話
# EC2インスタンスのボリューム拡張をダウンタイムなしで実施した話
## お久しぶりです
多忙であまり書けてませんでした。
弊社で利用しているjenkinsサーバー(AWS EC2インスタンス)にて、アタッチしているEBSの空き容量がカツカツになってきたので拡張したいと思います。参考にしたのは[こちら](https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/recognize-expanded-volume-linux.html)
## 前準備
前準備というよりは確認ですね。
“`bash
## ブロックデバイスを表示するコマンド
$ lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
abcdn1 259:0 0 150G 0 disk
├─abcdn1p1 259:1 0 150G 0 part /
└─abcdn1p128 259:2 0 1M 0 part## 対象のデバイス
##
未経験者が自社開発企業に就職するためのREADME書き方
#はじめに
こんにちは!先月、無事にエンジニアデビューした1年目の者です。
私は某プログラミングスクールに3ヶ月間お世話になり、卒業後、3週間で自社開発企業に転職することができました。
この経験を生かして、私が意識してきたことを伝えていければと思います。まず、前提として転職では見せ方が最も重要だと考えています。
例えば、職務経歴書、面接対策、wantedlyのプロフィールなどなど、、
この記事では、その中でも重要なことの一つである、ポートフォリオの見せ方について共有します。#記事の対象者
・未経験からエンジニア転職を考えていて、ポートフォリオを作成している方
・ポートフォリオのREADMEにて書く内容で迷っている方#ポートフォリオの見せ方とは
エンジニアの方々は、忙しいので、書類選考の段階で、ソースを細かく見たりサイトを触って見たりしてくれるとは限りません。
ここで活躍するのが、READMEです。
私は、多くの転職成功された方々のREADMEを見て、自分なりの最適解を見つけました。
共通点は、端的でわかりやすく、視覚的に訴えていることでした。
この共通点からREADM
AWS Perspectiveを使ってリソースの構成図を可視化してみた。
#AWS Perspectiveとは
つい最近発表された、AWS Perspectiveですが、AWSアカウントのリソース構成を逆算してくれて
web UI(CloudFormationデザイナーみたいな)で可視化できるというソリューションのようです。
CloudFormationのテンプレートが用意されているのでデプロイするだけで使えるようになります。構築済みのアーキテクチャを可視化できるのは結構おもしろそうだし、役に立つ場面も多そう!
#利用する際の注意点(コスト)
CloudFormationでソリューションをデプロイするので、ソリューション自体の料金がかかります。
・[AWS Perspective deployment guide](https://docs.aws.amazon.com/solutions/latest/aws-perspective/aws-perspective.pdf#welcome)
このガイドによると、***\$0.79/hr or $535.85/mthくらいのコストがかかるようです。***
ちょっと使ってみたいくらいの方は、***使用後す
【AWS SOA】S3バケットのパブリックアクセスに関する監視の備忘録
#はじめに
AWS SOAの問題集の中で、S3の不正アクセス対策に関する問題が出題された。回答として必要以上にアクセス制限を設けずに、セキュリティ対策を行う方法として、AWS Configを使用して、パプリックアクセス可能なS3バケットが作成された際、監視をする方法が挙げられる。今回はその内容について簡単にまとめたい。#概要
AWS Configのルールを使用して、どのバケットが読み取りまたは書き込みのパブリックアクセスを許可されているのかを、迅速に特定することができる。またS3バケットのパブリックアクセスが可能となった場合、通知するようにAWS Configを設定することも可能。#方法
AWS Config>ルールを開く。ルールを追加を選択する。
検索バーに「s3-bucket-publi
AWS CloudFormation で「Property Name cannot be empty.」がでた時にやったこと
# はじめに
これは新規の pipeline を CloudFormation で作成することになり物凄く困った時のメモです。# 結論
Cloudformation のリファレンスを地道に1つずつ必須を調べました。
(足りなかったのは OutputArtifacts と InputArtifacts の Name)
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/aws-resource-codepipeline-pipeline.html# 経緯
ローカルに立てた [former2](https://github.com/iann0036/former2) で既存のパイプラインをテンプレート化して、新しくスタックで作ろうとした時にエラーが表示され失敗してしまいました。
# はじめに
ECS(Fargate)でAWS SDK for Goを使ってAWSサービスを操作した際に、最初は勢いで作ったものの本当にこれでいいんだっけ?とモヤモヤしたことがあったので、クレデンシャル情報取得の優先順位とベストプラクティスについてまとめます。# 結論
いきなりですが、下記がベストプラクティスとされる優先順位です。
詳細について後述します。“`
1. ECSでアプリを実行している場合、タスクロール
2. EC2でアプリを実行している場合、EC2のIAMロール
3. 認証情報ファイル
4. 環境変数
“`# Sessionの生成
まず、AWSサービスを使うためのsessionを生成します。
今回はリージョンのみ指定しています。“`
sess, err := session.NewSession(&aws.Config{
Region: aws.String(“ap-northeast-1”)},
)
“`# クレデンシャル情報取得の優先順位
上記のようにクレデンシャル情報の指定がない場合、以下の優先順位で認証情報を取得します。“`
S3で静的ホスティングしているWebサイトをHTTPS化する
最近、AWSを少し触っていて、Amazon S3の静的ホスティング機能を使ってWebサイトを作ってCognitoでログイン機能を付けてみたりして遊んでいたのですが、
####これちょっと恥ずかしい!
Chromeだとわざわざ保護されていないことを晒上げてくれます!やったー!(笑)
でも、今時SSL化されてないWebページの方が珍しいですし、S3でホストしているWebサイトをhttps化(SSL化)してみることにしました。#はじめに
この記事では、AWS Certificate Manager(以下「ACM」)とAmazon CloudFrontを利用してSSL証明書を発行・設定して、https接続できるようにしてみます。Amazon S3で静的ホスティングをしていて、Amazon Route 53で独自ドメインを管理してルーティン
SQSとmessage queingのメモ書き
# MessageQueueとは
端的にいうと異なるソフトウェアでデータの通信を行うため使う機構です。
一般的なRESTAPIの構造だと、requestをしたらresponseが返るまで処理が行えません。そのため非同期の処理を行うことはできません。
なので、ソフトウェア間の通信を一旦 MQに格納して、双方の任意のタイミングで送受信を行えるようにするのがMQの思想です。
(AWSサイトより引用)# SQS
Amazonが提供しているMessageQueueのサービスで二つのタイプからMQを構築することができます。## standard
性能を重要視した代わりに、順番の保証を捨てたMQです。無限に近いスループットを持っていますが、
その代わりに、値を重複して返したり、順番もずれちゃう可能性があるため
冪等性を持った処理などに向いて
ICSアプローチに基づくドメイン駆動設計の戦略的設計
ドメイン駆動設計の**戦略的設計**では、主に**マイクロサービス**形式によるサービス指向アーキテクチャ(SOA)を使用したクラウドを使用した分散型システムを使用する。
海外では**マイクロサービス**の設計の失敗事例が数多くあり、設計思想に何らかの欠陥があるのではないかと考えた。
事例を研究した結果、アメリカ式のドメイン駆動設計の**戦略的設計**に問題があるという結論に達した。
アメリカ式のドメイン駆動設計の**戦略的設計**は、テクノジーに偏重した高スペック重視の設計方法。
スペックを高めるために、クラウド上の外部サービスを使用した結果、設計が複雑化し、サービスが追加されるほど複雑化が加速し、分散システムが破綻する。
**マイクロサービス**形式による分散型システムにはシンプルで簡易な設計思想が必要である。
そこで、ロシア式のドメイン駆動設計の**戦略的設計**である**ICSアプローチ**を使用する方法を紹介したいと思う。#ICSアプローチ
##ICSアプローチとは
**ICSアプローチ**とは**Information(情報)、Cyber(サイバー)、Synergy(相
未経験者がWell Architected Frameworkを意識して自分なりにアーキテクチャ設計・構築をしてみた。<VPC、ELB編>
#はじめに
この記事は、実務未経験者がロールプレイング形式でアーキテクチャの設計、構築を行うといった記事です。
よろしければ[<準備編>](https://qiita.com/mkoki0422/items/9fc0b5d44ff7367994f1
)[<アーキテクチャ設計編>](https://qiita.com/mkoki0422/items/33b60250527dbc92b518)もご覧くださいませ。#前回までのあらすじ
前回は問題点を洗い出し、具体的な改善案を提案、アーキテクチャの設計を行いました。
今現在のアーキテクチャはこれですので、どんどん構築していきます!
もご覧くださいませ。#前提条件の確認(ロールプレイング中)
+ インフラエンジニアは4人
+ 4人でインフラの構築、運用を行なっていかなければならない
+ 自動化が重要
+ 構築までの期間は1ヶ月#問題点
現環境の構築に携わったエンジニアにヒアリングを行い、現環境の問題点を整理しました。
Well-Architected フレームワークを元にアーキテクチャを考えた時に、現時点でのアーキテクチャでは以下の様な問題点が挙げられます。###セキュリティ
+ 通信にSSLが適用されていない
+ セキュリティグループが適切に設定されていない(全てがフルオープンになっている)
+ DDos等の一般的なセキュリティ対策を行なっていない
+ データの暗号化が行われていない
+ リソースに対する権限管理が曖昧である
