- 1. AWS公式資料で挑むSCS認定(3)-対象サービス攻略
- 2. CFnでSNSアクセスポリシーを自動追加する【Lambda-backedカスタムリソース】
- 3. AWS AppSyncでレスポンスヘッダーを追加したい!
- 4. AWSLightsailを使ってWordPressを立ち上げるまで
- 5. AWS DMSを活用してHasura CloudとMySQLを連携する
- 6. AWS Amazon Linux 2 にnginxをインストールする
- 7. 【AWS】Systems Manager でセッション暗号化 & セッションログ保存しようとしたらどハマりした話
- 8. AWS認定ソリューションアーキテクト(SAA)合格に必要な知識
- 9. Notebook上からEmail通知を送る (AWS SNS編)
- 10. 【AWS】ALBのみでメンテナンスページを表示させる by CloudFormation
- 11. 【受験記録】AWS Solutions Architect – Professional (SAP-C01)
- 12. EC2インスタンスのメタデータをPowerShellで一括出力してみる
- 13. AWS認定資格 無料WEB問題集解説(一部)
- 14. クラスメソッド(Classmethod)の(DevelopersIO)記事を参考にしてPhysicalResourceIdを雑に扱ってAWSカスタムリソースを作るとおかしいことになるのでAWS公式のドキュメントをちゃんと見よう
- 15. S3静的ウェブサイト+CloudFront+Route53 + ACMの構築
- 16. VMware Cloud on AWS環境でContent Libraryを利用してみた (#2 後編 – 別のVMware Cloud on AWS環境から利用)
- 17. ITパスポートしか持っていない意識低い文系インフラエンジニアがAWSクラウドプラクティショナーを取得した
- 18. CloudTrailの証跡を1つのリージョンだけ出力してみた
- 19. AWS Amplifyで独自ドメインホスティング環境を構築してみた
- 20. AWSのサービスクォータをなめてると痛い目に遭うぞ!(全サービスクォータ一覧化スクリプト付き)
AWS公式資料で挑むSCS認定(3)-対象サービス攻略
[前回] [AWS公式資料で挑むSCS認定(2)-作戦を立てる](https://qiita.com/mingchun_zhao/items/88d89757178f449ee6cc)
## はじめに
今回から「試験対象のサービスと機能」の勉強に入ります。
[試験ガイド](https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-Specialty_Exam-Guide.pdf)にリストアップされているサービスを数えたら23個。
[認定試験の質問例](https://d1.awsstatic.com/ja_JP/training-and-certification/docs-security-spec/AWS-Certified-Security-Speciality_Sample-Questions.pdf)に出現した、Amazon Cognitoを入れると24個。さー、どうする?
ここも「森から木へ」の作戦でいくか。
まず、サービス全
CFnでSNSアクセスポリシーを自動追加する【Lambda-backedカスタムリソース】
# 背景
例えばEventBridgeから既存のAWS SNSトピックをパブリッシュするルールを作成するとき。
**1. AWSコンソール上から手動でEventBridgeを作成した場合**
→ パブリッシュ先SNSのアクセスポリシーにも自動的にEventBridgeの許可ルールが追加されます。
**2. 一方、CLIやCFnから同様にEventBridgeを作成した場合**
→ SNSにアクセス許可が自動追加されることはありません。そのままではEventBridgeからのパブリッシュがSNS側で拒否されてしまいます。そのため、EventBridgeからの許可ポリシーもCFnで自動追加できないかなーと思いました。
(手動でポチポチ追加しても良いけど、現場では多数のAWSアカウントを管理しているため、簡単に追加できるよう自動化したい。要は楽したい。)# 解決策1と懸念点
[クラメソさんの記事](https://dev.classmethod.jp/articles/event-bridge-notify-sns/#toc-6)にヒントをもらって、Lambda-Backedカスタム
AWS AppSyncでレスポンスヘッダーを追加したい!
今年は雪が多すぎて、除雪で身体が日々バキバキです。
そんな中、AWS AppSyncで開発中のAPIが指摘されました。
「除雪ばっかりしてないで、レスポンスヘッダー足りないから付けろ!」
と。(除雪しないと車が動けない状態になるんです。)
そんなことはさておき、本題です。脆弱性診断等、実施していくとレスポンスヘッダーが必要なことが
わかってきます。その際の解決方法を探ります。## AWS AppSyncを探る
まずは簡単にできないか
AWS AppSyncの設定画面を眺めてみます。
(2022.2.21時点)
はい、レスポンスヘッダーを追加する箇所はありません。
次は、レスポンスマッピングテンプレートかな。
# LightsailでWordpressがインストールされたインスタンスを起動する
マネジメントコンソールの左上 “サービス” をクリックし、 “Lightsail” で検索し、クリック。
Lightsailコンソールが開かれます。
## インスタンスを作成する
## Hasura CloudでもMySQLが使いたい
2022年2月21日現在、Hasura CloudとMySQLは連携することができません(CloudじゃなくてHasuraのDockerイメージ使うなら[Previewで利用可能](https://hasura.io/docs/latest/graphql/core/guides/mysql-preview.html))。
そこで、AWS Database Migration Service (AWS DMS)を使ってMySQLをPostgreSQLに常時レプリケーションすることで、Hasura CloudでMySQLを扱えるようにしてみます。
まあなので結局のところ、単に「AWS DMS使ってMySQLをPostgreSQLにレプリケーションしてみた」という話です。## 今回やること
– コマンドは特筆しない限り前のコマンドと同じディレクトリで実行しているものとする# 方法
1. インスタンス起動後ssh接続し、そのままのディレクトリで下記コマンドを実行してyumを最新状態にする。
“`terminal
$ sudo yum update
“`1. 下記コマンドを実行してAmazon Linux Extrasが入っているか確認する。
“`terminal
$ which amazon-linux-extras
“`1. 入っていなかった場合、下記を実行して導入する。
“`terminal
$ sudo yum insta
【AWS】Systems Manager でセッション暗号化 & セッションログ保存しようとしたらどハマりした話
# はじめに
Systems Managerは色々なことができますが、中でもSession Managerは踏み台なくしてEC2に接続できる便利機能です。
踏み台が廃止できるうえ、セッション暗号化がサポートされて更なるセキュリティ向上ができる!と思い、セッション暗号化とセッションログ保存をしようとしたところ結構ハマったので、やり方とハマりポイントを共有します。
ちなみに、Session Manager絡みの話は巷に溢れていますが、断片的なものが多いと感じたので本記事では以下を網羅的にまとめることを意識しています。
* Session ManagerでEC2に接続するための基本設定
* セッション暗号化に必要な設定
* セッションログ保存に必要な設定## Session Managerで暗号化が必要な理由
Sessio
AWS認定ソリューションアーキテクト(SAA)合格に必要な知識
2022-02-21 AWS SAA に合格したので、
合格までに勉強してメモした AWS 情報を公開します。以下が頭の中に入っていればバッチリです。
# AWS SAA
## S3
– S3 クロスリージョンレプリケーションは、**バケット**でバージョニングを有効にする
– バケット名は全世界でユニークであること
– バケット(箱を用意して)、オブジェクト(ファイル)を入れる
– Public 公開する
– バケットでアクセス許可
– オブジェクトでアクセス許可
– デフォルトは非公開
– バケットポリシーで ACL 制御する(Policy Generator で作成可能)
– ACL ポリシーは 20 KB の制限があることからアクセスポイントを追加することができる
– 「静的ウェブサイトホスティング」を有効にすると S3 バケットが Webサーバになる
– マルチパートアップロードをすることで分割アップロードできる
– 上書きは苦手
– 変更箇所が少なかったとしてもオブジェクトをすべて再アップロードが必要なため
– ライフサイクルポリシーで S3 標準 → Gl
Notebook上からEmail通知を送る (AWS SNS編)
この記事の執筆現在(2022/02)、Databricksが提供する通知機能は以下の通りです。
* [Databricks SQLのダッシュボード アラート/通知](https://docs.databricks.com/sql/admin/alert-destinations.html)
* Slack, Mattermost, Mattermost, ChatWork, PagerDuty, Google Hangouts Chat
* Webhook
* [Jobsでのジョブ実行の開始・終了・エラー時の通知](https://docs.databricks.com/jobs.html#alerts-job)
* [MLflow モデルレジストリのイベント通知](https://docs.databricks.com/applications/mlflow/model-registry-webhooks.html)
* Webhook上記以外での通知に関しては、Notebook上で実装できます。
【AWS】ALBのみでメンテナンスページを表示させる by CloudFormation
#1. はじめに
Lightsailで個人ブログをホスティングしているのですが、メンテナンス時はWordPressの標準機能でメンテナンスページを表示させていました。
今後、LightsailをALBと連携させたいと考えています。
その際、ALB側でメンテナンスページをコントロールできた方がページコントロールの観点から統一性があって良いかなと思い、ALBのリスナールールでメンテナンスページを表示させるようにしようと思いました。メンテナンスページを表示させる方法は色々ありますが、(CloudFront+S3, 単純にS3から引っ張るetc..)ALBのリスナールールで表示させる方が一番簡単な気がするので、その方法を採用しました。
本記事では単純にALBのリスナールールでメンテナンスページを表示させる方法を公開したいと思います。
#2. 概要
ALBのリスナールールを利用し、静的なメンテナンスページを作成します。
また、リソース作成にはCloudFormationを使用します。#3. ALBのみで実装するメンテナンスページに関して
##3.1 メリット
– 運用が楽
メ
【受験記録】AWS Solutions Architect – Professional (SAP-C01)
## 前提
– 4年目エンジニア
– アプリケーション開発メイン
– インフラはあんまり触らない
– AWS CLF, Associate3つは保持
– 受験日 2022/2/19##試験結果
点数:808点/750点/1000点(取得スコア/合格ボーダー/満点スコア)
スコアパフォーマンス: いづれのセクションも”コンピテンシーを満たしている”##試験感想
試験問題が長く、時間が足りない、本番だと転がっている問題集より難しいとインターネット上の至る箇所で言及されているため、”早く回答しなきゃ、1周見てわからないところに戻ろう”ということでハイペースに回答を進めた結果、75分程度で一通りの回答が完了してしまいました。
この時点で8割当たってるであろう問題数が50問、フラグをつけたよくわからないけど回答している問題数が20問程度でした。フラグ付与した問題を再度確認して、怪しいけど選んだ選択肢でよさそうな問題数が10問、考えてもわからない問題が10問という感じになりました。
75%ということで50*0.9+10*0.7+10*0.5=57問くらいでいけそう + 15問は採点対象外の
EC2インスタンスのメタデータをPowerShellで一括出力してみる
[インスタンスメタデータの取得
](https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html)EC2インスタンスの中で169.254.169.254にアクセスすると、EC2インスタンスのメタデータを参照することが出来ます。
exsample
– `169.254.169.254/latest/meta-data/instance-id` でインスタンスID
– `169.254.169.254/latest/meta-data/instance-type` でインスタンスタイプが参照できる。
本記事ではそんなメタデータをPowerShellをつかって一括出力してみます。
## 実行した環境
– Windows Server 2016
– Windows PowerShell 5.1## PowerShellで一括出力サンプル
“`PowerShell
function expand-awsmeta([string]$base , [st
AWS認定資格 無料WEB問題集解説(一部)
###T29 クラウド導入をサポートするサービス https://aws-exam.net/clf/clf_q.php?q_id=29&q_list_flg=1
お客様は、AWSクラウドで新しいワークロードを設計して構築したいが、AWS関連のソフトウェア技術の専門知識を社内に持っていない。 次のAWSプログラムのうち、お客様がその結果を達成するために利用できるサービスはどれですか?– AWSパートナーネットワーク(APN)
AWSの世界的なパートナープログラムです。APNパートナーがAWSベースのビジネスやソリューションの構築に成功するよう支援することに重点を置いています
https://www.fenet.jp/aws/column/aws-beginner/262/
– AWSコンサルティングパートナー
ビジネス構築リソース、プログラム、マーケティングリソース、資金調達のためのリソースがコンサルティングパートナーの利点です。レジスタード、セレクト、アドバンスト、プレミアというtierあり。https://aws.amazon.com/jp/blogs/psa/aws-pr
クラスメソッド(Classmethod)の(DevelopersIO)記事を参考にしてPhysicalResourceIdを雑に扱ってAWSカスタムリソースを作るとおかしいことになるのでAWS公式のドキュメントをちゃんと見よう
# TL; DR
– PhysicalResourceId はちゃんと指定しよう。何も考えずに `context.logStreamName` をそのまま使うのはやめよう。
“`JavaScript:custom_resource_lambda.js
function sendResponse(event, context, responseStatus, responseData) {
var responseBody = JSON.stringify({
Status: responseStatus,
Reason: “See the details in CloudWatch Log Stream: ” + context.logStreamName,
// ↓ ここをちゃんと管理しないとカスタムリソースのDELETEが無駄に発生するので、
// ↓ `context.logStreamName` をそのまま使うのはやめよう
PhysicalResourceId: context.logS
S3静的ウェブサイト+CloudFront+Route53 + ACMの構築
## はじめに
前回作成したS3静的ウェブサイト + CloudfrontにACMを実装します。手順としては簡単かと思いましたが、そもそも『ACMとは?』的なことを深掘りした自分用の言語理解メモとしての記事となります。## 構成図
__前回構築ACMなし__
__今回構築ACMあり__
## 言語整理
### AWS Certificate Manager とは
AWS Certificate Manage
VMware Cloud on AWS環境でContent Libraryを利用してみた (#2 後編 – 別のVMware Cloud on AWS環境から利用)
#1. はじめに
「[VMware Cloud on AWS](https://www.vmware.com/jp/products/vmc-on-aws.html)」でコンテンツライラブリを利用した際の備忘録をまとめます。記事は前編後編に分けています。後編となる今回は、前編で作成したコンテンツライラブリを別のVMware Cloud on AWS環境(別SDDC)でサブスクライブする方法についてご紹介します。前編ではコンテンツライラブリの概要説明および初期作成についてご紹介しています。
https://qiita.com/sanjushi003/items/2870c8feced5fd367604
#2. 別のVMware Cloud on AWSからコンテンツライラブリのサブスクライブ
前編では東京リージョンのVMware Cloud on AWS環境(以降、「既存環境」)でコンテンツライラブリを作成しました。今回の後編では米国東部リージョンのVMware Cloud on AWS環境(以降、「新環境」)から、既存環境のコンテンツライラブリをサブスクライブします。なお、既存
ITパスポートしか持っていない意識低い文系インフラエンジニアがAWSクラウドプラクティショナーを取得した
# 懺悔
6年もIT業界にいて、明らかにのんびりしすぎました。気づいたらITパスポートしか持っていないアラサーSEのできあがりです。
もちろん資格が全てでは無いとは思いますが、流石に強みが無さ過ぎて不安がはんぱないです。
キラキラしていた新卒の頃の自分、ごめんなさい。
これから頑張ります。
そしてタイトルが長すぎてわかりづらくすみません。
# 資格取れました
今回はITパスポートしか持ってない意識低めエンジニアが、
必要に駆られてAWSクラウドプラクティショナーに合格しました。ちなみに受験日・スコアは以下の通りです。ギリギリ。
>受験日: 2022-02-dd
>受験者スコア: 787もっといけると思ったんですけどね!!!
浅はかでした!(白目)# 自己紹介
Qiita初投稿ですので、簡単に自己プロフィールから。
・文系大学卒
・新卒でIT業界へ入社(2016年)
・OS領域の運用保守(3年)
WindowsServerやUNIX系サーバを多数管理しておりました。
得られた経験は物理・仮想サーバ周りの運用技術でした。
IT業界の基礎や、ITILにつ
CloudTrailの証跡を1つのリージョンだけ出力してみた
## なんでやろうと思ったのか
AWS SOAの模擬試験内に、「CloudTrailで全てのリージョンを監査したい」要件がありました。
そこで思ったことは、全てのリージョンを監査できるなら、単一(1つ)のリージョンも監査できるのかなと…いう背景がありました。## まずドキュメントを確認してみた
AWS Cloudtrail ユーザーガイドから引用
> 1 つのリージョンに適用される証跡
1 つのリージョンに適用される証跡を作成するときに、CloudTrail はそのリージョンでのみイベント
を記録します。次に、指定した Amazon S3 バケットに CloudTrail イベントログファイルが渡されま
す。AWS CLI を使用して、単一のリージョンの証跡のみを作成できます。追加の単一の証跡を作成
した場合、同じ Amazon S3 バケットまたは別のバケットに CloudTrail イベントログファイルを配信
する証跡を持つことができます。これは、AWS CLI または CloudTrail API を使用して証跡を作成する
ときのデフォルトのオプションです。詳細については、「
AWS Amplifyで独自ドメインホスティング環境を構築してみた
### AWS Amplifyで独自ドメインホスティング環境を構築してみました :tada:
以前の記事内容をAWS Amplifyで実現する方法をためしてみました!
https://qiita.com/dayjournal/items/945613577b3056ec4f71
今回は3パターンの独自ドメインホスティング環境を構築します。
#### 構築の流れ
1. AWSコンソールから構築する独自ドメインホスティング環境
– [Amplify ConsoleでGitHubを利用した公開](https://qiita.com/dayjournal/items/57cb0a8232d11c6c99af#amplify-console%E3%81%A7github%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9F%E5%85%AC%E9%96%8B)
– [Amplify Conso
AWSのサービスクォータをなめてると痛い目に遭うぞ!(全サービスクォータ一覧化スクリプト付き)
# はじめに
AWSのサービスクォータ、意識していますか?
小規模なシステムであれば、意識していなくても問題になることはないかもしれません。
しかし、大規模なシステムではアーキテクチャ設計からサービスクォータを意識していないと痛い目に合うことがあります。本記事では、サービスクォータを意識する必要性を解説します。
合わせて、全サービスクォータを一覧化するCLIスクリプトも紹介します。# サービスクォータとは?
一言で言えば**「AWSのサービス毎に定められた制限」**です。
以下はVPCのクォータです。
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html
