AWS関連のことを調べてみた2022年02月26日

［AWS］今週の問題4週目(Windowsサーバー)

# 問題
問1. [A]を利用することにより、AWSコンソール画面から簡単にRDP接続が可能である。何か答えよ。

問2. WindowsサーバーのインスタンスからAMIを作成する際に、[A］の初期化が必要である。何か答えよ。

問3. 問2の手順は一般に下記の通りである。問2の作業は何番と何番の間に行うべきか？
また、問2の作業をすることにより[A]が出来なくなる。何か答えよ
1. 本番用インスタンスからAMIを作成
2. AMIから複製用インスタンスを起動
3. 複製用インスタンスからAMIを作成
4. 目的のインスタンスを起動

問4. Windowsサーバーのパスワードを変更すると[A]を用いたパスワードの復元が不可能になる。またカスタムAMIから起動したインスタンスのパスワードはどの状態か？答えよ。

問5. インスタンスの起動が不調な時は、コンソールから[B]を確認することでトラブルシューティングを行える。

# 解答
問1. [A]セッションマネージャー(SSMエージェント)
問2. マシンSID(システムの識別子みたいなもの)
問3. 2と3の間、[A]再起動
問4.

AWS SAA試験対策メモ

SAA対策　メモ

ワンポイント
S3
・デフォルト設定でパフォーマンスの最大化が可能
　CORS(Cross-Origin Resource Sharing)
　アプリ上で複数ドメインからのコンテンツアクセスを有効化
　→Ajax通信を使用したアプリケーションの構築が可能
・特定のIPアドレスからのアクセスはIAMロールで設定。SGでの制御はできない！
・デフォルトで高可用性であり1つのAZに依存していない
・S3のクロスリージョンレプリケーションとはS3のオブジェクトを別リージョンのバケットに自動複製するサービスであり、オブジェクトの登録と同時に実行される
・サーバーサイドの暗号化はSSE-S3（暗号化方式はAES-256）。暗号化、復号化は自動でS3が実施するため暗号化キーの管理に手間がかからない。バケットの暗号化によりログの暗号化も自動で実行される。
・Access Analyzerで不正アクセスの確認、アクセス権限の最小化構成のモニタリングが可能
・ストレージクラス分析で適切なデータをいつ適切なストレージクラスに移行するかを判断できる
・全ての

Amazon Cognito ユーザープールでAWS SSOをIdPとして設定する

AWSのIoT関連サービスはかなり充実してきており、ダッシュボードや管理画面などもたくさん提供されています。

* AWS IoT SiteWise Monitor
* Fleet Hub for AWS IoT Device Management
* Amazon Managed Grafana

などなど。
共通点として、ユーザー管理にAWS Single Sign-On (AWS SSO)が使われており、開発することなく、ユーザー管理ができますし、
同じIDで複数のサービスにログインすることもできます。


自前で作成するアプリケーションもこの仲間に入ることができないかと思い調べたところ、CognitoのSAML連携で実現できそうということがわかりましたので、試してみました。

完成したら、こんなことができるはずです。

![image.pn

AWS公式資料で挑むSCS認定(6)-IAM(続き)

[前回] [AWS公式資料で挑むSCS認定(5)-IAM](https://qiita.com/mingchun_zhao/items/eb89dd1a4d0695dbe7cb)

## はじめに

「やっぷ、やっぷーー」カーリング女子がくれた感動と余韻が今なお。
「やって、やってーー」一日勉強サボった自分への叱咤激励に聞こえたりします。

今回はVPC勉強予定でしたが、IAM続行に変更します、申し訳ありません。
前回のIAMに対し名人からご指摘頂き、本質を掴めていないことに気付きましたので。

## IAMの重要事項

以下、基本をしっかりと理解しておきます。
詳細は[AWSユーザーガイド](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/iam-ug.pdf)で確認しました。

### 「IAMユーザー」と広義の「ユーザー」は別物

– 「IAMユーザー」はAWS内部のIDで、「AWS外部のユーザー」がAWSとやり取りするためのサービスアカウント
– ユーザーだけでなくアプリケーションも表す
– IAMユーザーの実体は「

ANSを受ける

## 出題範囲
第 1 分野: ハイブリッド IT ネットワークアーキテクチャの大規な設計お
よび実装 24%
第 2 分野: AWS ネットワークの設計と実装 28%
第 3 分野: AWS タスクのオートメーション 8%
第 4 分野: アプリケーションサービスとのネットワーク統合の構成 14%
第 5 分野: セキュリティとコンプライアンスの設計と実装 12%
第 6 分野: ネットワークの管理、最適化、トラブルシューティング 14%
[出題範囲](https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Networking-Specialty_Exam-Guide.pdf)

## 試験ガイド

– [参考問題](https://d1.awsstatic.com/ja_JP/training-and-certification/docs-advnetworking-spec/AWS-Certified-Advanced-Net

TransitGateway導入時の構成比較と検討観点

# はじめに
Transit Gateway（以降、TGW）がGAされてAWSのネットワーク構成がよりシンプルにできるようになりました。
さらにTGWのルートテーブルで集中管理ができるため、運用保守がより容易になったかと思います。
今回、私がTGWを導入・移行する上で構成比較と検討観点をまとめてみました。

# 前提

+ TransitGatewayの導入を検討していて、構成比較や導入観点を参考にしたい方向けとなっています。
+ こちらの記事はAWSネットワークサービスについて、ある程度わかっていることが前提となっております。

# TransitGatewayとは
AWS Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワークを接続します。これにより、ネットワークが簡素化され、複雑なピア接続関係がなくなります。

https://aws.amazon.com/jp/transit-gateway/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.

Amazon CloudFront の署名付きURL(カスタムポリシー)を使って、安全にコンテンツを配信してみた

# はじめに

[前回の記事](https://qiita.com/sugimount-a/items/382e10fbbc85bbca1f3d)では、CloudFront の署名付きURL(規定ポリシー)を使って、Private の S3 Bucket に格納している画像データを、安全性を高めたアクセス方法を確認しました。

今回の記事では、より柔軟なアクセスポリシーを定義できるカスタムポリシーを利用した方法を確認していきましょう。

# 2種類の署名付き URL

前回の記事でも記載しましたが、今回も改めて記載します。

署名付き URL は、セキュリティに関するポリシーの違いによって、「規定ポリシー」と「カスタムポリシー」の 2 種類あります。2 つのポリシーの違いを AWS Document に書かれている表から抜粋します。規定ポリシーは、デフォルトの設定になっており、手を加えない分比較的楽に生成できます。一方、カスタムポリシーは自分たちのワークロードに合わせたカスタマイズが可能で、柔軟にコントロールができます。カスタムポリシーの方は、複数のオブジェクトのために再利用出来た

AWS SAAに一回落ちたヤツが語る合格への道

# 筆者について
WEB系は3年目くらいのエンジニア。バックエンド担当。
AWSは仕事上触るが、既に組み上がったものを設定を変更するくらいだった。

# 受験しようと思った理由
触っていたAWS環境に納得いかない設定や構成があった。
でも何も知らないヤツに改善はできない、だから勉強しようと考えた。

# １回目の受験編
■勉強期間
平日2時間、土日3時間くらいを３週間続けた。
ネットの合格体験記を見ると大体そんなところが多いように思ったからだ。

■学習方法
まずは、いわゆる`オレンジ本`
をメルカリで買って試験概要とサービスの概要を知ることにした。

つぎは、`ネット無料問題サイト`
問題をもっと解かないと受からんだろと思い、無料で200問くらいできるサイトで満点になるまで何周も繰り返した。
正解が多くなるにつれて自信がついてきた。

最後に、`Udemy`
有名だと思うが、`これ一本でOK`のやつをハンズオン編は気になるところだけ視聴し、あとは模擬試験を満点になるまで繰り返した。
この時は「この模擬試験は難易度が高いな…こんなの出るのか？」と思っていた。
（これは2回目の試験時

AWSのS3で画像が保存できない

簡易的なフリマアプリを作成中。

AWSのS3に画像を保存するための実装を実施。
必要なファイルや記述なども終え、まずローカル環境で画像がS3に保存できるかの挙動確認を行う。

が、__エラー発生。__

エラー文は以下の通り。

“`
NoMethodError (undefined method `upload’ for nil:NilClass):
“`

「スペルミスでもしたかな？」

まずは今回新たに追記した`config/environments/development`と`config/storage.yml`のファイルを見直す。
しかし特に間違っている様子はない。

次にエラー内容をgoogleにて検索。
すると、同じ境遇の方々がたくさんいらっしゃいました笑
それぞれの記事を見ていると「:が抜けている」や「””を忘れている」などの内容が多かったので、再度その辺りを確認するため、各コードを見直し。
が、やはり間違いが見当たらない・・・

S3に入る直前に挙動確認を行った際は、問題なく画像が保存されていたので、コードの書き間違いは考えにくい。
間違いがあるのはcon

Amazon CloudFront の署名付きURL(既定ポリシー)を使って、安全にコンテンツを配信してみた

# はじめに

Web アプリケーションやモバイルアプリなどを提供する際に、画像などの素材を Amazon Simple Storage Service (Amazon S3) に格納したものを配信できます。セキュリティやパフォーマンスを考慮して、以下の 2 点を実現していきたいユースケースがあります。

– S3 に格納したファイルは、一部のユーザーに限定して配信したい
– たくさんのユーザーがいるため、CloudFront を使った配信をしたい

上記を満たすために、CloudFront の署名付き URL や 署名付き Cookie が活用できます。S3 を Private Bucket にしたうえで、CloudFront の署名付き URL や 署名付き Cookie を生成することで、CloudFront のスケーラビリティを活かしながら、一部のユーザーに限定したアクセスが提供できます。Web アプリケーション側で、何らかの認証機能を利用しながら、ログイン済みユーザーに限定して署名付き URL ・署名付き Cookie を発行する仕組みを作り上げることで、実現頂けます。

受験談 AWS Certified Machine Learning – Specialty 認定

AWS Certified Machine Learning – Specialtyを受験しました。

受験される方の参考になりましたら。

# 前提
2021年
8月：SAA [(受験談)](https://qiita.com/h2m_kinoko/items/5179bcb73b6773771f79 “受験談 AWS Certified Solutions Architect – Associate 認定”)
9月：SAP
11月：SOA [(受験談)](https://qiita.com/h2m_kinoko/items/0b05378d96f4246bbdd0 “受験談 AWS Certified SysOps Administrator – Associate 認定”)
12月：SCS [(受験談)](https://qiita.com/h2m_kinoko/items/20f06a746ab15540cd37 “受験談 AWS Certified Security – Specialty 認定”)
2022年
1月：DVA[(受験談)](https://qiita.com/

Cost Explorer API で特定のコストカテゴリの料金を取得する

## モチベーション
AWS Cost Explorer は 日次や月次レベルで AWS のコストと使用量の可視化、把握、管理を行うことができるサービスです。コンソールから利用できますが、API が用意されているため、プログラムから定期的に目的のコストを状況を抽出して通知するなどといった自動化が可能です。

https://aws.amazon.com/jp/aws-cost-management/aws-cost-explorer/

CloudWatch の Billing メトリクスでも各アカウントの概算費用は取得できますが、アカウント ID の情報しか持っていません。そのためシステム単位等の特定のアカウント郡のコストだけを抽出することは CloudWatch メトリクスの機能だけでは実現できません。

AWS Billing and Cost Management にはコストカテゴリという機能があり、特定のルールでコストのグループを作成できます。Cost Explorer ではコストカテゴリでフィルターした料金を抽出できるため、CloudWatch メトリクスより簡単かつ、柔軟

aws Lightsail Redmine インスタンスによるチケットシステムの構築

# 最終形


# Lightsail Redmine インスタンスを生成する

– インスタンスロケーション: 東京、ゾーンA (ap-northeast-1a)
– プラットフォーム: Linux
– 設計図: Redmine 4.2.3-38
– インスタンスプラン: 3.5 USD

これで http 接続により Redmine が利用可能になります。インスタンスの起動待ち時間を除くと、１、２分の作業で構築完了です。

# 静的 IP をアタッチする

ネットワーキング > 静的 IP の作成

# DNS (Route53) にて サブドメイン で 静的IP をポイントする

# Let’s Encrypt SSL 証明書をインストールする

[こちらの一次情報](https://aws.amazon.co

AWS Compute Optimizerを利用したコスト・パフォーマンス最適化

## はじめに
まず、AWS Compute Optimizerというサービスをご存知でしょうか？
AWS Compute Optimizerは簡単に言うとAWSコンピューティングサービスのメトリクスから
パフォーマンス及びコストを最適化の提案をしてくれるサービスです。

“`
AWS Compute Optimizer は、 AWS リソースの設定と使用率のメトリクスを分析するサービスです。
リソースが最適かどうかを報告します。また、コストを削減し、ワークロードのパフォーマンスを向上させるための最適化に関する推奨事項を生成します。
“`
https://docs.aws.amazon.com/ja_jp/compute-optimizer/latest/ug/what-is-compute-optimizer.html

## 対象リソース

AWS Compute Optimizerでは以下のリソースをサポートしています。

– Amazon Elastic Compute Cloud (Amazon EC2) インスタンス
– Amazon EC2 Auto Scaling

EC2を使用して、別アカウントのS3バケットからオブジェクトを移行する方法

# はじめに
S3間で40TB以上のデータ移行が必要になり、普通にやると約2日かかる。
そこで、tmuxを使用しセッションが切れても実行し続ける環境をEC2インスタンス上で構築しました。
その時の学習をアウトプットできればと思います。

# 手順

– 前提
– EC2インスタンスにSSM接続ができるように設定する
– EC2を起動するサブネットへS3用のエンドポイントを作成

– 手順
　1. 【targetアカウント】EC2用のIAMロールを作成
　2. 【sourceアカウント】バケットポリシーを作成
　3. 【targetアカウント】EC2インスタンスにtmuxをインストール
　4. 【targetアカウント】tmuxで新規シェルを作成し、移行コマンドの実行

# 今回の構成図


# 手

AWSのEC2の環境構築で参考にしたサイト(rails,docker,nginx)

以下のインフラ環境を構築するまでに参考にしたサイトをご紹介します。

# 1,AWSの全体的な知識を付けるために参考にしたもの
＜動画教材＞
WEBエンジニアの山浦さんのUdemyの動画教材です。
解説が初心者に優しく、わかりやすいのでおすすめです。

https://www.udemy.com/course/aws-and-infra/

＜書籍＞
解説がわかりやすいです。
イラスト使って説明してくれるので、なにをやっているのかイメージしやすく、すぐに読み終えることができました。

https://www.amazon.co.jp/Amazon-Services-%E5%9F%BA%E7%A4%8E%E3%81%8B%E3%82%89%E3%81%AE%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF-%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E6%A7%8B%E7%AF%89-%E6%94%B9%E8%A8%823%E7%89%88/dp/4296105442/ref=sr_1_15?__mk

AWS セキュリティグループとネットワークACLの主な違い

# セキュリティグループ
* EC2インスタンスなどに適用するファイアウォール機能。
* 許可するルールのみ定義する。
* デフォルトの設定値の場合、アウトバウンド通信はすべて許可、インバウンド通信はすべて拒否する。
* EC2インスタンスに複数のセキュリティグループの適用が可能で、設定の追加・変更は即座に反映される。
* ステートフルな制御が可能。(ルールで許可された通信の戻り通信も自動的に許可される)
# ネットワークACL
* サブネット単位で設定するファイアウォール機能。
* 各ルールに番号を割り当て、番号順に許可または拒否のルールを適用する。
* VPC作成時に、デフォルトのネットワークACLがひとつ準備されており、初期設定ではすべてのトラフィックを許可。
* VPC内に作成したサブネットごとにひとつのネットワークACLを設定可能。
* 新規に作成することもでき、その場合はすべてのトラフィックを拒否。
* インバウンド、アウトバウンドそれぞれに対して、許可または拒否を明示した通信制御が可能。
* ステートレス(インバウンドとアウトバウンドに対する通信制御が必要)
# 参照
[

CloudEndureメモ

# 前準備
まずcoudendureのアカウントを作成
https://console.cloudendure.com/#/register/register
vagrantとかで適当にサーバたてる
今回はcentos7で使用できるサーバの条件などは下記参照
https://docs.cloudendure.com/Content/Getting_Started_with_CloudEndure/Supported_Operating_Systems/Supported_Operating_Systems.htm

aws側でcloudendure用の
IAMユーザ、ポリシー、VPC、サブネット、ルートテーブル、IGW作成設定

ポリシー には画像のリンクのJSONを張り付け

ポリシーが作成できたら新規で作成したIAMユーザに既存のポリシーを直接

WSL + Ubuntu 20.04に AWS CLI を入れる

当たり前だが入ってない
“`bash
$ aws –version

Command ‘aws’ not found, but can be installed with:

sudo apt install awscli
“`

以下が入ってるか確認します

“`bash
/usr/lib/x86_64-linux-gnu/libc.so.6
curl
unzip
groff
less
“`
“`bash
$ /usr/lib/x86_64-linux-gnu/libc.so.6
GNU C Library (Ubuntu GLIBC 2.31-0ubuntu9.2) stable release version 2.31.
Copyright (C) 2020 Free Software Foundation, Inc.
…以下略
“`

“`bash
$ curl –version
curl 7.68.0 (x86_64-pc-linux-gnu) libcurl/7.68.0 OpenSSL/1.1.1f zlib/1.2.11 brotli/1.0.

エンジニア目線で始める Amazon SageMaker Training ③機械学習を使わないはじめての Bring Your Own Container

## 過去記事一覧

https://qiita.com/kazuneet/items/795e561efce8c874d115

https://qiita.com/kazuneet/items/294357a2214ac733f6f1

## Amazon SageMaker Training で Bring Your Own Container する
今まで、 AWS が用意していたコンテナイメージを利用して Training Job を起動していました。
具体的には TensorFlow, PyTorch, MXNet, Scikit-Learn のコンテナを利用する例を紹介しました。

では、独自コンテナを使う場合はどうなんでしょうか？というのを試してみます。

例にもれず、こちらの [GitHub リポジトリ](https://github.com/kazuhitogo/qiita-sagemaker-training)に使用しているコードをアップロードしておりますので、併せてご参照ください。

## Hello My Container

早速 Hello World