- 1. IAMロールとサービスロールの違い
- 2. 【AWS】Connectを利用して自動電話通知機能実現
- 3. 【初心者】AWS ELEMENTAL MEDIACONVERTでのスムーズな動画変換ガイド
- 4. 【AWS CDK】CDKメリット Security Group Connectionsが熱い
- 5. 【AWS CDK】APP内でStackを分割をする際の注意
- 6. AWS-Associate合格日記
- 7. カバー株式会社におけるAWS Control Towerの導入
- 8. Amazon EC2 の大量生成でかなり請求された話し
- 9. AWS Lambdaでサーバーレスプログラミングをマスターする🚀
- 10. ストリーミング配信やってみた
- 11. AWS Distro for Open Telemetryの超詳細解説
- 12. 【AWS】Auto Scaling
- 13. [簡単]LambdaのログをKinesis Data Firehose経由でS3に保存してみた
- 14. AWS CodePipline 指定リポジトリのmasterブランチにpushされたら動くように設定する
- 15. 【AWS】SecurityHubをTerraformを利用して展開する
- 16. AWS CLIで多要素認証を楽にする仕組みを紹介する
- 17. Amazon EKSをWAFで防御する
- 18. Japan AWS Jr. Champion活動記録 Vol.7
- 19. AWSでApplication Load Balancerの作成
- 20. 閉域通信でAWS VPCで名前解決をする場合のチェックリスト
IAMロールとサービスロールの違い
IAMロールとサービスロールの違いが、わかりにくかったので、整理してみました。
違いを理解することで、適切なセキュリティ設計を行う事が出来るでしょう。ポイント
—
**最小権限の原則の適用**
__IAMロール__ は、 特定のユーザーやアプリケーションに一時的な権限を与えるため、必要最小限の権限を付与できる。「最小権限の原則」を実現し、セキュリティを向上させる。
__サービスロール__ は、信頼ポリシーが設定されており、必要なアクセス権のみを持つため、不要な権限を削減できる。**セキュリティの向上**
__IAMロール__ は、ユーザーやアプリケーションに対するアクセスを一時的に制御するため、不要な権限が永続的に残るリスクを軽減する。
__サービスロール__ は、AWSサービスが他のサービスへのアクセスに使用するための信頼性が確保された一意の資格情報が使用される。IAMロールとサービスロールの違い
—| 項目 | IAM ロール | サービスロー
【AWS】Connectを利用して自動電話通知機能実現
従来、業務サーバーは障害発生時、CloudWatchLogsにログを溜めてメールにて監視担当者に通知する仕組みかと思いますが、データセンター等大規模障害は発生したら、メールサーバーも使えなくなり、従来の障害検知時の通知仕方では、通知できなくなる課題がありました。
メールサーバーの不調や大規模障害発生時も、監視担当へ支障なく通知できるよう監視仕組みを見直しました。メールではなく、AWS Connect機能を利用して自動電話通知できるよう対応をしました。
■構成図(サーバー等の記載は割愛とします)
■設計ポイント
AWS Connectでの自動電話通知は、後で履歴を追跡できるようDynamoDBで電話履歴を残す。
AWS Connectで予め取得した発信者電話番号は、業務上使いませんので、もし電話が来る場合、業務用の電話番号を自動的に案内する。■AW
【初心者】AWS ELEMENTAL MEDIACONVERTでのスムーズな動画変換ガイド
この記事では、MediaConvertとLambdaを利用して動画ファイルをMP4形式に変換し、完了またはエラーのステータスに関する通知を電子メールで受け取る方法を共有します。開発フレームワークはAWS Amplifyです。
## 動画ファイルの変換と配信の効率化
動画ファイルのサイズを圧縮し、ストリーミング速度を向上させ、データ転送のコストを削減するためには、Amazon Elastic TranscoderまたはAWS Elemental MediaConvertなどの動画変換サービスを利用することができます。
## AWS Elemental MediaConvertの概要
### [AWS Elemental MediaConvert]って何?
AWS Elemental MediaConvertは、ファイルベースの動画変換サービスであり、放送レベルの機能を備えています。これにより、オンデマンド(VOD)の動画コンテンツを容易に作成し、大規模な多画面配信が可能となります。### AWS Elemental MediaConvertの主な機能は、以下のとおりです
【AWS CDK】CDKメリット Security Group Connectionsが熱い
## はじめに
AWS CDKにおいて個人的に「これいいよね」、「これ便利だよね」ってものをご紹介できればと思います。
「あ、これ使ってみたいかも」とか思われたらAWS CDKのご利用をご検討頂ければと思います。
今回は「Connections Class」です。
※ 本ブログに記載した内容は個人の見解であり、所属する会社、組織とは全く関係ありません。## Connections Classとは
Security Group間のネットワーク接続のための許可設定を簡単に投入出来ます。
ようは、Security Groupがアタッチされているリソースの送信元にはOutboundの設定を、Security Groupがアタッチされている送信先にはInboundの設定を簡単に入れ込むためのものになります。
言葉だけだと分かり辛いので、ユースケースに沿ってご紹介させて頂きます。## ユースケース
### ユースケースイメージ
## DVA・SOAを受けた理由
私の業務ではあまりDVA周りのサービスは触りません。
ですが、SAAの次に取るなら1番難易度が低そうだと思ったことが理由です。
SOAに関しては、今までラボ試験がありましたが現在ラボ試験がない状態なので、受けるなら今がチャンスだ!と思ったことがきっかけです。## 勉強方法
SAAの時は勉強に3か月ほどかけました。(そもそも基礎知識もなかったので・・・)
DVAとSOAは大体2・3週間で集中して勉強し、とにかく問題を解きまくりました。
DVAは420問、SOAは700問解いて、間違えた問題を解き
カバー株式会社におけるAWS Control Towerの導入
この記事は[カバー株式会社 Advent Calendar 2023](https://qiita.com/advent-calendar/2023/cover) 14日目の記事になります。
カバー株式会社でSREをしているSです。よろしくお願いします。前回の記事は @kura_cvr による[GitHub ActionsでUnityのお手軽CI](https://qiita.com/kura_cvr/items/872cae5620a7be8a60ad)でした。こちらの記事もぜひご覧ください。
# この記事について
これからAWS Control Towerを導入される方に向けて、カバー株式会社において[AWS Control Tower](https://aws.amazon.com/jp/controltower/)を導入した流れについてご説明します。
導入方法については[公式のドキュメント](https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/getting-started-with-contr
Amazon EC2 の大量生成でかなり請求された話し
# 背景
他人のポストに便乗して万バズしている [@\_\_\_nix___](https://twitter.com/___nix___) です。AWSとコスト爆発にまつわる話の中で、アクセス権流出による事故も存在します。
6位 … AWS Private CA($400/月)
5位 … Amazon Kendra ($810/月)
4位 … NatGateway($1,000/月)
3位 … [Amazon RDS Proxy](https://zenn.dev/nix/articles/8e1186763c8279)($1,190/月)
2位 … [AWS CloudTrail](https://qiita.com/___nix___/items/c41796997dbcc553c799) ($62,000/4日)
1位 … Amazon EC2 ($65,000/2日)# 本題
今回は以前1位だった AWS CloudTrail をぶっこ抜いて堂々の1位に躍り出た Amazon EC2 のお話しです。
但し、通常利用でコスト爆発したわけでは
AWS Lambdaでサーバーレスプログラミングをマスターする🚀
## 🌱 プロジェクトの背景: 「スマートガーデニングシステムの革新」
考えてみましょう。あなたは「スマートガーデニング」という革新的なプロジェクトに取り組んでいます。目標は、植物の成長を最適化するために、温度、湿度、土壌の状態をリアルタイムに監視する高度なシステムを開発することです。しかし、一つの大きな課題が立ちはだかります。これらのデータを効率的に処理し、適切なタイミングで植物に水や栄養を供給するためには、連続して稼働するサーバーが必要ですが、これは高い維持費と管理の複雑さを意味します。
## 🌟 AWS Lambdaの導入
AWS Lambdaは、このようなシチュエーションに最適なソリューションです。サーバーのプロビジョニング(実際の物理サーバーを準備し、使えるように設定すること)や管理の必要がなく、必要な時にのみコードを実行するリソースを提供します。センサーからのデータがLambda関数をトリガーし、必要な処理を行います。処理が完了すれば、Lambdaは自動的にシャットダウンし、リソースの無駄遣いを防ぎ、コストを削減します。
なんかAirbnbみたいですよね。## ✅
ストリーミング配信やってみた
## はじめに
私が行っている業務で試験的にストリーミング配信をやってみようとなったので、S3 を使って簡易的なストリーミング配信のテストをしたので記事にしてみました。
## ストリーミング配信とは
インターネットを介した動画配信や音楽配信の方式で、データをダウンロードして視聴開始するのではなく、データを受信しながら同時に随時再生していくことができることが特徴です。
### メリット
– インターネット環境があればすぐに視聴することができる
– ストレージの空きが不要
– セキュアな配信ができる### デメリット
– ネットが安定している必要がある
## ストリーミング再生をやってみよう
今回は AWS の S3 を使ってストリーミング再生をやってみました。
方法は非常に簡単です。
まずは input.mp4 の動画を用意してください。そして下記のコマンドを実行します。
“`
ffmpeg -i input.mp4 -codec: copy -start_number 0 -hls_time 10 -hls_list_size 0 -f hls output
AWS Distro for Open Telemetryの超詳細解説
# はじめに
この記事はDevOps on AWS大全の一部です。
DevOps on AWS大全の一覧は[こちら](https://qiita.com/tech4anyone/items/b06f88035d27c6ef13b2)。この記事ではAWS Distro for Open Telemetryに関連する内容を超詳細にまとめています。
具体的には以下流れで説明します。
– AWS Distro for Open Telemetryとは
– AWS Distro for Open Telemetryの活用
– AWS Distro for Open TelemetryのベストプラクティスAWSの区分でいう「Level 200:トピックの入門知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル」の内容です。
# この記事を読んでほしい人
– AWS Distro for Open Telemetryがどういうサービスか説明できるようになりたい人
– AWS Distro for Open Telemetryを採用するときのベストプラクティスを
【AWS】Auto Scaling
# Auto Scalingとは
あらかじめ決めておいた条件に従って,サーバの負荷の上昇や故障を検知した際にITリソースを増減するもの
EC2やDynamoDBなどで利用。これにより,実際の需要に合わせたオートスケールが可能。## 構成要素
* Auto Scaling Group
EC2インスタンスの集合で,最大インスタンス数や最小インスタンス数を設定* Launch Configuration/Launch Template
Auto Scaling Groupに関連づけられたインスタンスの起動ルールを定めた設定。* Scaling Plan
インスタンスをスケールするルールを設定。オプションとして最小台数の維持・手動スケーリング・スケジュールリング・動的スケーリング・予測スケーリングがある。## 動作原理
* 指定キャパシティの維持(台数維持) + 条件に応じた自動スケール
指定された数のEC2インスタンスを維持。Auto Scaling GroupでEC2インスタンスを管理している。:::note info
**自動スケール**
負荷に応じて自動的にAuto
[簡単]LambdaのログをKinesis Data Firehose経由でS3に保存してみた
## この記事について
アイレット株式会社Advent Calendar2023 14日目の記事です!
携わっている案件にてAWS Kinesis Data Firehoseに触れる機会があり、興味を持ったので検証してみました。## 実現したいこと
実現したいことは、タイトルの同じでLambdaのログをKinesis Data Firehose経由でS3に保存することです。
Lambdaで実行したログはCloud Watch Logsに保存されます。短期間だけ利用する場合は費用についてあまり気にしなくてもいいですが、長期間利用したり関数の実行回数が多くなることでログデータが膨大になり高い費用が発生してしまいます。料金の比較でS3はUSD 0.025/GBに対して、CloudWatch Logsでは収集でUSD0.76/GB,保存でUSD0.033/GBと高く設定されています。
そのため、ログの保存費用を削減するために一般的に1次保存先としてCloudWatch Logsを選択して2次保存先としてS3を選択するケースが多いです。(費用を削減する方法として、ロググループの保存期間の
AWS CodePipline 指定リポジトリのmasterブランチにpushされたら動くように設定する
## 概要
指定のGithubのリポジトリのmasterブランチにpushイベントが発生したらCodePiplineが動作するように設定を行う。
本記事は完全な手順紹介の記事ではなく、体験記的な側面が強い。したがって一部の設定内容はご自身の環境に読み替えて頂く必要がある。## 前提
– Githubのアカウントが存在し、今回作業するブラウザでGithubにログインできていること。
## 基本的な設定項目
先に決定しておいたほうが良い内容を下記に記載しておく。
| 項目 | 制約や選択や内容 | 備考 |
| — | — | — |
| パイプライン名 | 100文字以下
有効文字は`A-Za-z0-9.@-_`のみ| パイプライン作成後に変更できない |
| パイプラインタイプ | 「V1」 or 「V2」から選択 | それぞれで機能と価格が異なる
V1: 作成時にコスト発生、標準のパイプライン(「masterブランチが更新されたらパイプライン動作開始」)
V2: アクション実行1分あたりコストが発生、パラメーター化されたパイプラインが使え
【AWS】SecurityHubをTerraformを利用して展開する
# 1.はじめに
こんにちは。
今回はAWS SecurityHubをTerraformを利用して展開する方法について記事にしていきたいと思います。SecurityHubとは、AWS Configと連携して、セキュリティ業界標準およびベストプラクティスに照らしたAWS環境評価を行うのに有効なサービスです。
参考:[AWS Security Hubとは?](https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/what-is-securityhub.html)SecurityHubの使用を開始すると、ベストプラクティスに沿ったConfigルールが自動的に作成されますが、不要なルールがあった場合は一つずつルールを無効化させる必要があり、かなり手間になってしまいます。
そこでSecurityHubの使用の開始、不要ルールの無効化などを一度に展開できるTerraformコードを作成しましたので共有します。# 2.構成
[前回の記事](https://qiita.com/risa_someya/items/b0
AWS CLIで多要素認証を楽にする仕組みを紹介する
この記事は検索エンジンプロダクトを一緒に開発してた同窓会 Advent Calendar 2023の14日目の記事です。
2段階認証(Multi-Factor Authentication)が必要な環境において、AWS clientを「[公式の手順](https://repost.aws/ja/knowledge-center/authenticate-mfa-cli)」よりも楽に使用する方法を紹介します。
# TL;DR
– MFA認証/Assume Role必須の環境でAWS CLIを(割と簡単に)使用する方法を記載
– 作業毎にMFA Codeを入力するのが面倒くさいと思う方向け
– MFA Codeを最初の1回入力が必要であるが、一定期間入力が不要になり快適になる# 前提条件
– python, pipがインストールされている
– 使用するIAMユーザのaccess keyが発行されている# 参考資料
https://qiita.com/ogady/items/c17ffe8f7c8e15b15f77# 設定手順
手順の概要は以下の通りです。
Amazon EKSをWAFで防御する
この記事は[NTTコムウェア Advent Calendar 2023](https://qiita.com/advent-calendar/2023/nttcomware) 14日目の記事です。
こんにちは。NTTコムウェアの東です。
みなさん、Kubernetes(k8s)使ってますかー?AWSが提供するマネージドk8sである[Amazon Elastic Kubernetes Service](https://aws.amazon.com/jp/eks/)(以降EKSと呼びます)は、AWSの様々なマネージドサービスと連携することができます。[AWS WAF](https://aws.amazon.com/jp/waf/)もその1つです。
EKSとAWS WAFの連携はけっこう簡単なので、手軽にEKS上のアプリケーションのセキュリティを向上させることができます。そこで、本稿ではEKS上のAWS Load Balancer Controllerアドオンを用いたIngressの前段にAWS WAFを配置し、Ingressの背後のアプリケーションを保護するための具体的な手順を紹
Japan AWS Jr. Champion活動記録 Vol.7
## はじめに
11月は、Jr.Champions有志による自主勉強会とJr.Champions Deep Racer Cupが開催されました。今回はその2つについて書いていきます。これからも活動に関して、定期的にアウトプットしていきます!↓ 前回の記事はこちら ↓
https://qiita.com/am_i-12/items/27fa0d19c5b73e5d092f
また、この記事はJapan AWS Jr. Champions Advent Calendar 2023に参加しています。
他の記事もぜひチェックお願いします🙌https://qiita.com/advent-calendar/2023/jr-champions
## Japan AWS Jr. Champion Partner Programとは
> [「Japan AWS Jr. Champion Partner Program」](https://aws.amazon.com/jp/blogs/psa/2023-aws-jr-champions/)とは、AWS Partner Network (AP
AWSでApplication Load Balancerの作成
このチュートリアルでは、一歩一歩、**AWS**で**ロードバランサーアプリケーション**を作成する方法を説明します。
:::note warn
ここでは、オートスケーリングについては触れません。別のチュートリアルでオートスケーリングの導入方法について説明します。通常、これらすべては**Terraform**、**CloudFormation**、**AWS CLI**、または**AWS CDK**などのツールを使用して自動的に行われるはずです。いつかそのやり方をお見せします。
:::# EC2インスタンスを作成
EC2ダッシュボードにアクセスしてください。ここに「**インスタンスを起動**」をクリックしてください。
EC2インスタンスを作成する画面に移動します:
閉域通信でAWS VPCで名前解決をする場合のチェックリスト
AWS VPCのDNSでオンプレミス環境への通信を名前解決する場合に、
オンプレミス環境側の担当者と聞き取りや調整をする際のポイントは以下の内容が必要であると、
42歳は学びました。。ネットワークのことは学生時代の情報処理試験で少しかじった程度であったので、
大汗をかきました。(ToT;### 1. ネットワーク構成とアーキテクチャ
– オンプレミス環境のネットワークトポロジと構成
– ファイアウォールとセキュリティ設定
– オンプレミス環境で使用されているIPアドレス範囲
– オンプレミスとAWS VPC間の通信方法(VPN、Direct Connectなど)### 2. DNS設定とドメイン
– オンプレミス側のDNSサーバの情報
– 必要なドメイン名とその設定
– サブドメインや特定のホスト名の扱い### 3. セキュリティとアクセス制御
– セキュリティポリシーとアクセス制御リスト
– オンプレミス側でのアクセス制限や許可設定
– SSL/TLS証明書や暗号化の要件### 4. 名前解決のテストとバリデーション
– 名前解決のテスト計画
– どのよ
