AWS関連のことを調べてみた2023年01月15日

AWS CDK Intro Workshopをリベンジしてみた

# はじめに

以前、AWS CDK イントロワークショップをやった内容を記事にしました。

https://qiita.com/a_b_/items/176c472b3859f4cd56d1

その際は一部のみ日本語に訳されておりすべてはできませんでした。

ですがいつのまにか、全部翻訳されていたので改めて行ってみました。

https://dev.classmethod.jp/articles/aws-cdk-workshop-jp-202211/

https://cdkworkshop.com/ja/

ほぼワークショップの通りで可能ですが、何点か個人的に気になった点を記載していきます。

# 環境

前回と同じで、Cloud9を用いました。

– Cloud9
– デフォルトVPC
– コンソールと同じ権限を持つ一時クレデンシャル
– AWS Managed Temporary Credentialsを利用
– CodeCommitなど利用するのでそれらの権限が必要
– インスタンスタイプはメモリが2GB以上

CloudWatchLogsのログをS3に転送する方法の比較

# はじめに
前回以下で各種ログの出力先をまとめていきましたが、CloudWatchLogsからS3にログを転送したいという場合にどのような方法をとるべきか今回記載していきたいと思います。

https://qiita.com/Regryp/items/1493e9e77836bf34c468

# なぜS3に転送するのか
そもそもなぜS3に転送する必要があるのかという疑問を持つ方がいるかもしれません。
CloudWatchLogsで保管もできるし、検索もできるのではないかと。
それはそのとおりなのですが、CloudWatchLogsのログ保管のコストはS3より高めに設定されており、純粋にログ保管をしたいだけであれば、S3に保存する（長期保管だけであればGlacier等）ことがおすすめです。
また、S3をデータレイクとし、各種データの分析等に利用するケースも考えられます。

# 方式
・手動でのS3エクスポート
・KinesisDataFirehoseを使ったS3エクスポート
・EventBridge＋LambdaでのS3エクスポート
・EventBridgeSchedulerでのS3

【AWS】Congnitoを使ったログインページ作成

## Cognitoとは

公式の定義では以下の通りである。要約するとログイン機能を実装できる機能である。

>Amazon Cognito を使用すると、ユーザーのサインアップおよびサインイン機能を追加し、ウェブおよびモバイルアプリケーションへのアクセスを制御できます。

https://aws.amazon.com/jp/cognito/

## ログイン画面の作り方

オリジナル(旧)コンソール画面と新しい(他のAWSサービス画面に似ている)コンソール画面の二つやり方があるが、今回は新しいコンソール画面での作り方を紹介する。

1. [Amazon Cognito コンソール](https://console.aws.amazon.com/cognito/home)に移動する
1. 画面左の[ユーザー プール]を選択する
1. 右上の[ユーザー プールの作成]を選択する
1. サインインエクスペリエンスの設定画面で、Cognito ユーザープールのサインインオプションでEメールと電話番号を選択する
ここでフェデレーテッドアイデンティティプロバイダーはSNS認証のことで

AWS DataSyncとAzure File Sync 比較 ～まとめ編～

AWS DataSync(以下、DataSync)と Azure File Sync(以下、File Sync)シリーズの8本目の記事です。
1本目は記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～共通点と相違点～](https://qiita.com/hidekko/items/9610ef551999f6ea1f37)
2本目は記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～前提条件定義編～](https://qiita.com/hidekko/items/45eab57f6c6088eb1607)
3本目は記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～AWS DataSync構築事前準備編～](https://qiita.com/hidekko/items/8e7a3fb6494462926597)
4本目の記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～AWS DataSync構築編～](https://qiita.com/hidekko/i

re:Invent 2022 ストレージ関連の新サービス、アップデートまとめ

# re:Invent 2022で発表されたストレージ関連のアップデートをまとめました
小林さんの資料から抜粋させていただいております。（小林さん、毎年ありがとうございます！）

https://aws.amazon.com/jp/blogs/news/2022-11-reinvent2022-aws-blackbelt/

## S3 Access Point で共有時の権限委譲が可能に
https://aws.amazon.com/jp/about-aws/whats-new/2022/11/amazon-s3-access-points-securely-delegate-permissions-datasets-aws-accounts/
– Amazon S3 Access Pointでアカウントをまたいだ共有時、権限付与を共有される側に権限委譲（デリゲーション）できるようになった
– バケットの所有者は、共有される側のアカウントで作成されたアクセスポイントに対してアクセス権を付与することができる
– 共有される側のアカウントは、そのアカウントにあるアクセスポイントを介して共

AWS DataSyncとAzure File Sync 比較 ～Azure File Sync動作確認編～

AWS DataSync(以下、DataSync)と Azure File Sync(以下、File Sync)シリーズの7本目の記事です。
1本目は記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～共通点と相違点～](https://qiita.com/hidekko/items/9610ef551999f6ea1f37)
2本目は記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～前提条件定義編～](https://qiita.com/hidekko/items/45eab57f6c6088eb1607)
3本目は記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～AWS DataSync構築事前準備編～](https://qiita.com/hidekko/items/8e7a3fb6494462926597)
4本目の記事はこちら
[AWS DataSyncとAzure File Sync 比較 ～AWS DataSync構築編～](https://qiita.com/hidekko/i

スイッチロールについて

## スイッチロールとは
**通常の複数のAWSアカウントの管理方法**
**Switch Role方式**

## スイッチロールのやり方

①スイッチロール先での作業
IAMロールの作成
– 信頼されたエンティティタイプ：AWSアカウント
– AWSアカウント：別のAWSアカウント
　　アカウントIDにスイッチロールを許可したいIDを入力
![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/273377

自己紹介（学生、未経験エンジニアの方々へ）

# はじめに
こんにちは！インフラエンジニア志望のゆひと申します！
記念すべき、Qiita初投稿なので以下の**5点**についてお話できればなと思います。

[1. 大学について](#1-大学について)
[2. 悩める就活、、、（～大学３年生春）](#2-悩める就活、、、（～大学３年生春）)
[3. コンサルバイトとの出会い（大学３年秋～）](#3-コンサルバイトとの出会い（大学３年秋～）)
[4. インフラエンジニアに興味を持った理由](#4-インフラエンジニアに興味を持った理由)
[5. Qiita投稿について](#5-Qiita投稿について)

# 1. 大学について
情報工学を専攻する大学3年生です。学内での成績はかなり良く、3年の１学期は約60名中、トップの成績でした。俗に言うGPAじゃんけんでは負けないと思うので第一希望の最適化計算を行っている研究室に配属されると思います(笑)。そのまま、同大学院に進学する予定です。

# 2. 悩める就活、、、（～大学３年生春）
大学2年生までは、「成長できる・稼げる・カッコイイ！」という理由で**みんな大好きコンサル業界**に漠然と興味

Amazon Workspacesで作業するためのちょっとした設定

Amazon WorkspacesはAWSで提供されているリモートデスクトップ。

参画しているプロジェクトではセキュリティの観点から

– ローカルにファイルを保存することができない
– ローカルからBacklogやJIRAなどに接続してはいけない

という制限がある。

でも、もともと用意されている社内のOA端末でリモート接続すると、重すぎて作業にならない。

そこで、Amazon Workspacesを契約してもらって作業することになった。

私は開発の担当ではなく要件定義や外部設計の担当なので、作業は主に

– Web会議をする
– Microsoft OfficeのPowerPointまたはExcelを使ってドキュメントを書く
– 作成した資料をファイル共有用のWebサービスにアップロードする
– システムに関する資料をダウンロードする
– システムに関する資料を読む
– チャットツールでコミュニケーションを取る
– Backlogを書いたりやJIRAを見たりする

という感じ。

## 必要だった設定

### 英語キーボードになっているので、日本語キーボードにする。
A

Amplifyのカスタムヘッダー設定時に判明したこと

## はじめに
Amplifyのカスタムヘッダーを設定した際に判明したことについてまとめます。

## カスタムヘッダーの設定方法
まず、Amplifyのカスタムヘッダー設定には、下記の2つの方法があります。
* AWSマネジメントコンソールからの設定
* customHttp.ymlをプロジェクトのルートディレクトリに配置

今回は後者の「customHttp.ymlをプロジェクトのルートディレクトリに配置」で行うことにしました。

## 判明したこと
設定後に反映されているかを確認するために、AWSマネジメントコンソール上のAmplifyの設定を確認してみました。
しかし、下記のように画面上には何も表示されていませんでした。


設定した内容がここに表示されるものだと思い込んでいたため、設定できていないのか

aws-vaultを使ってAWSのシークレットキーおよびアクセスキーを暗号化した状態で使用しよう！

## aws-vaultとは
AWSのシークレットキーとアクセスキーを暗号化して保存できるツールです
aws configure コマンドでこれらの秘匿情報が平文でローカルマシンの ~/.aws/credentials に保存されてしまいます
セキュリティリスクが大きいため、aws-vaultを使うことを推奨します

GitHubのリンクは以下の通りです

https://github.com/99designs/aws-vault

## aws-vaultのインストール
brewでインストールします
“`
brew install –cask aws-vault
“`

下記のようにバージョンが表示されたら成功です
“`
aws-vault –version
v6.6.1
“`

## aws-vaultの設定を行おう!
### シークレットキーとアクセスキーの設定
まず、`aws-vault add` ユーザ名でユーザを追加します
“`
aws-vault add shun198
“`

以下のようなポップアップが表示されますが`開く`を押します

【AWS】Route53の設定（初心者用）

# ～ はじめに ～
以前の「[記事](https://qiita.com/ponponpoko/items/ac9e9d75d1d040868155)」で購入したドメインをRoute53に設定して、作成したWebサーバーにドメインからアクセスできるようする勉強を行ったので、その備忘録をここに残します。
​

:::note info
[Amazon Route 53 とは？（AWSより引用）](https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/Welcome.html)
Amazon Route 53 は、可用性と拡張性に優れたドメインネームシステム (DNS) ウェブサービスです。Route 53 を使用すると、ドメイン登録、DNS ルーティング、ヘルスチェックの 3 つの主要な機能を任意の組み合わせで実行できます。
:::

※ Route53を使うことで、DNSサーバーの構築・維持管理が不要
​
**～メモ～**
**ホストゾーンとは：**
DNSのリ

【お名前.com】ドメイン購入 （初心者用）

# ～はじめに～
AWS-Route53を勉強するにあたってドメインを購入したので、ドメイン購入の仕方を備忘録として記録したいと思う。今回は、「[お名前.com](https://www.onamae.com/)」でドメインを購入しました。
​
[ドメインとは？](https://www.value-domain.com/media/domain-about/)：
インターネット上にあるWebサイトを示すURL（住所）の一部に使う、識別子のようなもの。
ドメインをIPアドレスに紐づけることで、
IPアドレスの代わりにドメインを使ってWebサイトにアクセスするURLを分かりやすくする。
**nslookup**コマンドで名前解決をすることができる。（[windows](https://atmarkit.itmedia.co.jp/ait/articles/0307/19/news003.html)）（[Linux](https://

【AWS】Weｂサーバーの構築 （初心者用）

# ～はじめに～
Webサーバーの構築を行ったので、基本的な構築方法を忘れないために備忘録として書きます。
今回は、下記の流れで行いました。

1. EC2インスタンスの設置
2. [Apache](https://hnavi.co.jp/knowledge/blog/apache/)をインストール　

**～構成図～**

# 1. EC2インスタンスの設置
・検索欄より「EC2」を検索し、「EC2コンソール」から「インスタンスを起動」をクリック

・構成内容は下記（その他は、お好みで）

![](https://st

【AWS】IAMパスワードポリシーの変更方法

# はじめに
所属する組織によって、パスワードのルールは異なってくるかと思います。
私が所属する組織では、パスワード長が16桁に設定されております・・・。
IAMでもパスワードのルールを設定することができるようです。
今回は、そのやり方を書きたいと思います。
​
# IAMパスワードポリシーの設定
1. IAMコンソールの画面左側にある「アクセス管理」->「アカウント設定」をクリックし、
パスワードポリシーの「編集」をクリックする。
​
​
2. パスワードポリシーの設定画面に遷移したら「カスタム」を選択し、ルールを決めていく。
今回は試しに、下記の設定を追加してみる。設定が完了したら「変更を保存」をクリックする。
– 「パスワードの有効期限を31日」
– 「同じパスワード再利用制限を12回」
​
![](https://storage.googleapis.com/zenn-user-upload/321713b9d73e-2

【AWS】IAMユーザーから請求情報にアクセスする方法

# はじめに
基本的にAWS請求情報にアクセスできる権限を持つユーザーは、「ルートユーザー」のみである。
デフォルトでは、IAMユーザーからAWS請求情報にアクセスできない。
これを回避するには、IAMユーザーにAWS請求情報にアクセスできる権限(ポリシー)の割り当てとアカウント画面から「IAMアクセスのアクティブ化」をしなければならない。
今回は、そのやり方を書きたいと思う。
​
# IAMユーザーに請求情報へのアクセス付与する方法
IAMユーザーは、デフォルトでAWS請求コンソールにアクセスできません。
そのための[対応方法](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html#grantaccess)を記述する。

​※「AdministratorAccess」でアクセスできるのは、
　 この権限はAWS請求コンソールにアクセスできる権限を持っているため。

1. AWSコンソール一番右上の自身のユーザ

【AWS】IAM作業ユーザー登録

# はじめに
今回は、IAMユーザー登録のハンズオンを行ってみたいと思います。
私自身が初心者ですので、間違っていたらご指摘お願いします。
​
# IAM（Identity and Access Manegement）について
・AWSリソースへのアクセスを管理するサービス
・主な機能は、(ユーザー)認証と(機能/サービスへの)アクセス許可の機能
・ルートユーザーはフル権限なので、IAMユーザーで作業することを推奨
・IAMユーザーをグループ単位で管理することも可能
・ユーザー認証に、MFA(多要素認証)を利用することを推奨
​
**～備考～**
[IAMセキュリティのベストプラクティスについて](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html)
[ルートユーザーのみでしかできないタスク](https://docs.aws.amazon.com/ja_jp/accounts/latest/reference/root-user-tasks.html)
​
# IAMユーザーの作成方法

【AWS】１年無料期間がいつ終わるか確認する方法

# はじめに　
ご存知の通りAWSでは、新規ユーザーの場合１年間無料で利用できる制度がある。

:::note warn
利用できるリソース量には、制限があることを忘れずに・・・。
:::

→ [AWS 無料利用枠（AWS のプラットフォーム、製品、サービスを無料で実際に体験できます）](https://aws.amazon.com/jp/free/?gclid=Cj0KCQiA14WdBhD8ARIsANao07grSdH8hJu3tUkC_4J_b_iy_synhLyT94i2A16u_bZg-HV9HO2O2_UaArm0EALw_wcB&all-free-tier.sort-by=item.additionalFields.SortRank&all-free-tier.sort-order=asc&awsf.Free%20Tier%20Types=tier%2312monthsfree&awsf.Free%20Tier%20Categories=*all&trk=ec4d2622-9132-4d67-996b-e37dbc3a40d7&sc_channel=ps&s_kwc

【初学者向け】AWS VPCの基本のキ

## VPCとは
Amazon VPC(Virtual Private Cloud)は、AWS上に独立したプライベートネットワーク空間を作成できるサービスのことです。
通常AWS上のハードウェアやネットワークインフラストラクチャはユーザー全体で共有されていますが、「VPC」と呼ばれる仮想ネットワークを作成することで、論理的に分割された、特定のユーザーだけが利用できるプライベートネットワークを構築することができます。これにより、ネットワークのセキュリティを確保することができます。

## ネットワーク設計
サービスを構築する上で本番環境のほかに開発やステージング環境を作りますが、環境の分け方は次のいずれかになることが多いと思います。

– 1つのVPCに全ての環境を入れる
– 環境ごとにVPCを分ける
– 環境ごとにAWSアカウントを分ける

2のパターンで設計する場合、VPCをdevelopment、staging、productionという名称で3つ作成します。その際に以下のように２クオテット目が連番になるように設定すると分かりやすくなります。

| 環境 | IP |

GlueジョブからCloudWatchLogsへ出力されるログ転送量の削減

## Glueジョブに関係するCloudWatchLogsの料金
GlueジョブからCloudWatchLogsへログが転送されるときに、二つの料金が発生します。
[AWS公式ドキュメント](https://aws.amazon.com/jp/cloudwatch/pricing/?nc1=h_ls)

– ログの保管量：1Gbあたり、0.033$
– ログの転送量：1Gbあたり、0.76$

ここで、ログの保管量は、それほど高くはないが、ログの転送量は高額のため、
できる限りログの転送量を減らしたほうがいい

## ログの転送量を減らすための設定
以下のオプションを追加するのみ。
「WARN」の設定は、主に「WARNログ」「ERROEログ」が出力される実装となり、「INFOログ」は出力されなくなるため、ログの転送量を大幅に減らすことができる。
Glueジョブを運用していく中で、INFOログは不要であることが多いため、基本的には問題なしの場面が多い。（検証時に多少閲覧するくらいです）
– sc.setLogLevel(“WARN”)
“`python
import os
import