AWS関連のことを調べてみた2022年03月01日

「コンテナの中に入って確かめて」と言われたら。。

## とりあえずコンテナの中に入りたい。

### ドキュメント
https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/userguide/ecs-exec.html

ドキュメント読んでもわからないよ…。

### 下準備
– Session Manager plugin のインストール

https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html#install-plugin-macos-signed

– ログイン情報を保存しておく(aws configureに認証情報を保存する)
↓↓↓↓
### ログイン情報設定・確認のコマンドまとめ
#### 全ての認証情報を確認
“`
% vim ~/.aws/credentials
“`
![Cursor_と_nagaikanae_—_vim____aws_credentials_—_207×26.png](h

[AWS][強制MFA] ログイン時パスワード変更できるポリシー

IAMユーザーに初回ログイン時、パスワードリセットを行い、MFA認証を強制させるためのポリシーです。

強制MFAしてもらおうと、AWS公式の案内されているポリシーを何も考えずに適用すると、
> ユーザーに iam:ChangePassword を実行する権限がないか、入力されたパスワードが管理者によって設定されたアカウントパスワードポリシーに準拠していません

というエラーがログインしてからパスワード変更するときに発生すると思います。今回はこれの躱し方です。

この記事は以下のドキュメントを参考にしています。

[AWS: MFA で認証された IAM ユーザーが [My Security Credentials] (マイセキュリティ資格情報) ページで自分の認証情報を管理できるようにする](https://docs.aws.amazon.com/ja_jp/ja_jp/IAM/latest/UserGuide/reference_policies_examples_aws_my-sec-creds-self-manage.html “AWS: MFA で認証された IAM ユーザ

【AWS】IAMロールの特徴(メモ)

– 複数のIAMロールを１つのインスタンスにアタッチすることはできないが、１つのIAMロールを複数のインスタンスにアタッチすることはできる。

– IAMロールはユーザに対してもアタッチできるがインスタンスに対してもアタッチできる。

– IAMロールにポリシーを追加したら即時反映される（サーバ再起動は不要）

AWS日記36 (Amplify Studio)

# はじめに
今回は [AWS Amplify Studio](https://aws.amazon.com/jp/amplify/studio/) を試します。
Amplify Studioで UIやデータを作成し、ReactのWebアプリケーションをホスティングします。

# 準備
– Amplify CLI 等、ローカル環境で Amplifyを使う準備をします。 [参考:Amplify](https://qiita.com/tanaka_takurou/items/805917372ad215db5fc8)
– [Figma](https://www.figma.com/)のアカウントを取得します。

# プロジェクト作成

##### プロジェクトの名前を入力します

##### 「Studioを起動する」 をクリック

RDSが「Storage-full」になった時の対応方法

## 概要

急にサイトが500エラーを発生してつながらなくなったので調査して見ると
RDSのステータスが「Storage-full」、つまりデータ容量がいっぱいになったことが原因でつながらなくなっていた。

## 対処方法

前提として、「Storage-full」になるとインスタンスが停止するので、DBに繋げてデータを削除することができない。
そのため`RDSのストレージ容量を拡張する`をする必要がある。

以下、手順です。

１．RDSの画面から拡張したいDBを選択した状態で「変更」ボタンを押す
去年(2021)の2月にSAAを合格した話

## プロフィール
– 現在新卒2年目で、当時は新卒1年目
– 開発部に所属しており、業務ではAWSはあまり触っていない
– サービスの名前と役割が紐づいていないぐらい知識はなかった
–
## 勉強期間
– 期間: 2020/10～2021/02の約半年間
– 内容: 主に以下の3つ
– 社内の研修
– Udemy
– AWS WEB問題集で学習しよう

## 社内の研修
– 隔週で約2時間の講義が全10回程
– 問題演習が多めでその場で解説を受けていた
– 合計20時間

## Udemy
– 以下の講座を受講
– 【2022年版】これだけでOK！ AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座

https://www.udemy.com/course/aws-associate/

– この講義では20サービス以上のハンズオンと3回分の模擬テストを受けることが可能
– ハンズオンの前にサービスについての説明があるためそこまでハードルは高くなくおすすめ！
– 勉強期間は3週間で模擬テストは3周程
– 1日の勉強時間は平日は業後

Microsoft Defender for Cloud で AWS 環境のセキュリティをモニタリングする

## はじめに
Microsoft Defender for Cloud は Ignite 2021 で発表された 旧 Azure Security Center と Azure Defender が統合されたサービスです。Microsoft Defender for Cloud はマルチクラウドの CSPM (Cloud Security Posture Management) に対応しており、2022/2/28 現在で AWS と GCP をサポートしています。(ともに Preview 中)

AWS 環境のセキュリティチェックと言えば AWS Security Hub ですが、 Microsoft Defender for Cloud は Security Hub に依存せずに独自のチェックを行っています。基本的にはドキュメント通りに簡単に設定できるのですが、どのような仕組みでチェックが行われているのかも見ていきたいと思います。

## やってみる
環境設定から AWS アカウントを追加します。

![image.png](https://qiita-image-store.s

Amazon DynamoDBとは何者か

## 目的

DynamoDBはデータベース的な役割をもつAWSのサービスの一つ、ということしか知らなかったため調査した。

## DynamoDBの基本情報

* 完全マネージド型のSQLサービス
* 管理を２４時間体制で自動でおこなってくれるサービスのこと
* NoSQL型のデータベース
* RDBMS以外である（よくわからないので後述）
* 低レイテンシー（応答速度が速い）
* パーティショニングを実施（テーブルを内部で分割している、外からは一つのテーブルに見える）
* 容量制限がない
* 高可用性
* 複数のAZ（アベイラビリティゾーン）にデータを保存しているため、ある地域のDBで障害が発生しても稼働が継続できる

## NoSQL型とリレーショナルデータベースの違いとは

### リレーショナルデータベース

* テーブルと呼ばれるExcelのような列と行で成り立つ二次元の表で表され、
複数のテーブルを用いてデータを抽出することが可能。
* あらかじめテーブル名や列名、型を定義しておく必要がある。
* 仕様変更が柔軟にしにくい。
*

【ハンズオン】AWSのSavings Plansの割引率を確認して適用する方法

# はじめに

AWSの利用料を節約するために、みなさんは何をしてますでしょうか？
不要なインスタンスを停止する、使ってないEBSボリュームを削除するなど、定期的にゴミ掃除をするのは効果的です。
それ以外に、割引を適用するという方法もあります。
具体的には、**[リザーブドインスタンス](https://aws.amazon.com/jp/ec2/pricing/reserved-instances/)** の使用や、 **[Savings Plans](https://aws.amazon.com/jp/savingsplans/)** の適用などです。

今回は後者のSavings Plansについて説明した後に、具体的に適用する手順を紹介したいと思います。

# Savings Plansとは？

公式サイトに載っている説明は以下のとおりです。

> Savings Plans は、1 年または 3 年の期間で特定の使用量 (USD/時間で測定) を契約するかわりに、オンデマンド料金と比較して低料金を実現する柔軟な料金モデルです。AWS は、Compute Savings Pla

AWS Lambda(Python)から直接画像を出力する方法（覚書）

# SVGを出力したい

特に何も考えずに `Content-Type` だけしっかり指定してあげればOK。

“`Python
return {
‘statusCode’: 200,
‘headers’: {
‘Content-Type’: ‘image/svg+xml’,
},
‘isBase64Encoded’: False,
‘body’: ‘svg version=”1.1″ xmlns=”http://www.w3.org/2000/svg”>…’,
}
“`

# PNGを出力したい

こっちが主題になります。
Pythonで画像を取り扱う場合、何らかのライブラリを使用することになると思いますが、今回はおそらく一番使われてるであろう[Pillow](https://github.co

Lex 組み込みスロットタイプのAMAZON.TIMEのあいまいな時間の対処法

# はじめに
Lex 組み込みスロットタイプのAMAZON.TIMEを使用した際、
`21時`と伝えると、聞き取ってくれますが、`9時`だと、`9:00　もしくは　21:00`の2通りあるため、Lexがどっちか分からず、エラーになります。

下記のドキュメントに記載されていました。

https://docs.aws.amazon.com/ja_jp/lexv2/latest/dg/built-in-slot-time.html

ただし、`時間の発話の範囲が、9:00〜19:00の場合`、`9時`と答えると、`21時`ではないため、9時と認識してほしいものです。
その方法をまとめます。

# 事前構築

下記の記事を参考にしました。

https://qiita.com/holdout0521/items/58f524be7cc5d9ca2093

Lexは、下記の通りにしました。

![スクリーンショット 2022-02-28 17.29.32.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/988

AWS-SAA-躓いたメモ

私がテストでミスった部分の知識を共有します。
## EC2
– キーペアは1つのVPCに`5000個`まで。
– 停止中にもEBSの料金が発生する。
– ストレージは`EC2インスタンスストア(停止すると消える)`かEBS
-　スポットインスタンス：`余ってるEC2`使う。`同じ性能で、最大90%off`。
-　EC2ImageBuilderは`AMIの設定更新の自動化`
– EC2フリートは`オンデマンドインスタンスとスポットインスタンス`で構成される
– `インスタンス間のネットワークのレイテンシを最小限`に抑える必要がある場合、`クラスタープレイスメントグループ`にて、単一のAZ内のインスタンスを論理的にグループ化
– GPU持ってるやつは`高速コンピューティング`
– AMI
– AMIの共有は`アカウント番号を指定`するだけで他のアカウントに共有可能
– リージョン内のみで利用可能。別リージョンにコピーして別AMIとしても利用可

– 1つのリージョンで利用できる`ElasticIPの上限は5`
– `Directed Host`は別IAMグループとは物理サ

【40代の非エンジニアでも合格】AWSクラウドプラクティショナー　合格体験記

# はじめに
2022年2月にAWSクラウドプラクティショナーを受験し、無事に合格しました。
40代の非エンジニア、家族は妻と子供2人の私でも合格できましたので、今後取得されようとされている40代の非エンジニア、家族持ちの方々にも参考になれば幸いです。

# 勉強教材
[Udemy【2022年版】これだけでOK! AWS認定クラウドプラクティショナー試験突破講座（豊富な試験問題290問付き）](https://www.udemy.com/course/ok-aws-e/)

[ななななんと！AWS認定の模擬試験が無料になりました！！](https://dev.classmethod.jp/articles/new-aws-official-practice-questions/)

# 学習内容
非エンジニアの家族持ちのため、お風呂や移動の時間などもフル活用して、動画学習できる時間と場所でまずは理解に努めて、
そのあとは、UdemyとAWS公式の模擬試験を実施して、100点を取れるまで何度も何度も繰り返す、
これをひたすらやっていました。

通常業務はもちろんのこと、家事や育児もやりな

ROSA(Red Hat OpenShift Service on AWS)環境でPodにSTSによる一時的な認証を付与する

# はじめに
みなさんはOpenShift上のコンテナからAWSを操作する時、どのような形で権限を付与していますか？よくあるパターンとしてIAMユーザーのアクセスキーとシークレットキーをSecretで環境変数としてアタッチすることが多いかと思います。

しかしAWSでのベストプラクティスでは、システム上での認証はIAMユーザーでなくIAMロールやAWS STS(Security Token Service)による一時的な形での付与を推奨されています。また企業のセキュリティ規約上、システムリソースにIAMユーザーを使うことを明示的にNGにしていることもあるかと思います。

そこで、OpenShift上のコンテナに対して、IAMユーザーの認証情報ではなく、STSを使った一時的な認証情報を渡す方法についてご紹介します。

ここでは、Red Hat OpenShift Service on AWS(ROSA)環境にてSTSによる認証を付与されたPodからAWSリソースにアクセスできるまでの手順をまとめます。
前提条件としてすでにSTSを使ったROSA環境をデプロイできていることを想定しているた

ActiveGateを利用したDynatraceによるAWSの監視

# はじめに

以前に[DynatraceによるAWSの監視の始め方](https://qiita.com/sukatsu1222/items/0819ca18213b2d2a8278)という記事を書きました。このときは、ActiveGateは利用せずDynatraceから直接AWSを監視する方法について、記載しました。

本記事では、[ActiveGate](https://www.dynatrace.com/support/help/shortlink/activegate-hub)を利用して、AWSを監視する方法について紹介していきます。

ActiveGateの導入方法については以下の記事で紹介していますので、ご参考ください！

https://qiita.com/sukatsu1222/items/7f07122544453253eb4c

:::note warn
ActiveGateを利用してAWSを監視する場合、ActiveGateにIAM Roleを割り当てる必要があるためActiveGateはEC2インスタンスに立てる必要があります。
:::

## ActiveG

【ハンズオン】EC2のオンデマンドキャパシティ予約を行う方法

# はじめに

AWSはクラウドなので、使いたいときに使いたいだけのリソースを使用できます。
とはいえ、AWSも物理リソースには限界があります。いざEC2を起動したいと思ったときに、キャパシティ不足で起動できないという可能性があるわけです。
そんなリスクに備える手段が **「オンデマンドキャパシティ予約」** になります。
これをあらかじめ行っておけば、リソース不足でEC2が起動できないといったリスクを回避することができます。

ただ、キャパシティを予約しておくということは、その分のリソースを確保しておくことなので、当然ながらお金がかかります。費用は**EC2をオンデマンドで起動しておくのと同等の金額**です。
EC2を起動していなくても料金はかかってしまうので、その点がデメリットです。

今回はスクリーンショットとともに、オンデマンドキャパシティ予約に実施方法を記します。
なお、AWS公式ページは[こちら](https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html)

Amplifyのoverride.tsで環境名を取得する

## 課題
Amplify CLIではAuthなどのCFnテンプレートを上書きするためのファイルとして、override.tsが提供されています。このoverride.tsは`aws-cdk`内の一部のメソッドのみを利用できるようになっています。
本来、`getProjectInfo()`でAmplifyのプロジェクトの詳細を取得することができるのですが、2022/2/28現在このメソッドはアクセス権限に関する以下のエラーが発生するため利用できません。
“`
⠇ Building resource storage/MyStorage? Error: Skipping override due to VMError: Access denied to require ‘os’
“`

override.ts内で環境名を取得する必要がある場合、上記メソッドを使わずに取得する方法をご紹介します。

## 解決策
※注意
本記事で紹介する解決策は邪道です。issue(https://github.com/aws-amplify/amplify-cli/issues/9063 )が対応され次

terraform入門メモ

## terraform入門
### terraformチュートリアル（AWS）
https://learn.hashicorp.com/collections/terraform/aws-get-started

### tfenvインストール
“`bash
brew install tfenv

tfenv –version
> tfenv 2.2.2

# 使用可能なバージョン一覧
tfenv list-remote

# 指定バージョンインストール
tfenv install 1.1.5

# 使用バージョン指定
tfenv use 1.1.5

# 現在インストールされているバージョン
tfenv list
> * 1.1.5 (set by /usr/local/Cellar/tfenv/2.2.2/version)

terraform -v
> Terraform v1.1.5
> on darwin_amd64

“`

### required_providersについて
required_providersのバージョンは公式のレジストリから確認すると良い
h

AWS公式資料で挑むSCS認定(9)-KMS

[前回] [AWS公式資料で挑むSCS認定(8)-VPC(続き)](https://qiita.com/mingchun_zhao/items/0513f88627f6c12f53fa)

## はじめに

IAMとVPCについて、なんとか攻略できました(復習・実習はTODO)。
今回のKMS(AWS Key Management Service)は、
AWSサービス全般の認証・認可・データ暗号化などで使用される暗号キーを、
作成のみならず、一元管理・表示および監査機能まで備わっているようです(すごい)。

## 勉強に使用する教材

恒例となりますが、公式資料から3点選びました。

– [AWS KMS の暗号化の詳細](https://docs.aws.amazon.com/ja_jp/kms/latest/cryptographic-details/intro.html)
– [[AWS Black Belt Online Seminar] AWS Key Management Service](https://d1.awsstatic.com/webinars/jp/pdf/s

AWS LightSailにおける様々な設定

# 目次
[Basic認証](#basic認証)
[DNS連携freenom](#dns連携freenom)
[SSL化](#ssl化)

# Basic認証
Basic認証とは、サイト閲覧の際にパスワードなどでアクセス制限をかけること。
主に開発段階のサイトや開発用に使用するサイトにて、関係者以外閲覧させないようにする際に使用されることが多い。

触るファイルは3つ
.htaccess
→サイトにアクセスしてきた来訪者を別ページに誘導したり、認証をかけたりできるファイル。
.htpasswd
→認証におけるユーザー名とパスワードを設定するファイル。
wordpress-https-vhosts.conf
→apache(webサーバー)の設定ファイル。vhostsはヴァーチャルホストの意味らしい。

“`/opt/bitnami/wordpress/.htaccess

deny from all

Options -Indexes
AuthUserFile /opt/bitnami/word