- 1. IAMのPassRoleとセキュリティの話
- 2. [小ネタ] AWS SAM を使わない方がいいかもしれないケース3選
- 3. Amazon Aurora PostgreSQLのチートシート
- 4. Aurora Serverless v2を試してみた
- 5. 【Amazon ElastiCache for Redis】3種の方法でログインしてみた
- 6. AWSのAPI GatewayでAPIキーを作成〜設定
- 7. リモート環境からソフトウェアVPN接続
- 8. Codepipeline クロスアカウント 対応 Ch.1
- 9. Amazon S3のセキュリティ対策(パブリック or Not)
- 10. AWS SysOpe対策 コスト管理ツール
- 11. AWS認定12冠達成しました
- 12. AWS Lambda でカスタムレイヤーを追加する方法
- 13. RDSのサブネットグループの変更時、「同一VPC内での変更は不可能」と言われる
- 14. 【初学者向け】CloudTrail + Athenaで監査レポートを作成する
- 15. 【Provisioned Concurrency】IoT CoreからのLambda実行でエラーが出たので解消してみた
- 16. Amazon OpenSearch Service はじめの一歩:S3からGlueでデータをいれて全文検索っぽいことをクイックにやる
- 17. Insight Database Testing でテスト用の SQL として Oracle の監査ログ(標準監査)を使用する
- 18. AWS DEAの問題集をClaude3に作らせてみた
- 19. AWS Route53とALBを用いた開発/本番環境の切り分けのやり方をまとめてみた
- 20. 【AWS】障害時の調査事項まとめ ~ELB・ECS・RDS~
IAMのPassRoleとセキュリティの話
# はじめに
IAMの**PassRole**、使ったことありますか?何がなんだかわからない方も、その名前からだいたい想像できると思います。IAMのPassRoleとはその名のとおりIAMロールをパス(Pass)することです。ただし、このパスの対象は人ではなくAWSのサービスです。
PassRoleによって認証情報をセキュアにAWSサービスに渡すことができますが、一方で丁寧に使用しないとセキュリティリスクに繋がってしまいます。本記事ではそんなIAMのパスロールとセキュリティについて解説したいと思います。
# IAMのPassRoleとは
IAMのPassRoleは、IAMポリシーの記述の中で **iam:PassRole** と表現するアクセス許可です。これは **ポリシーがアタッチされているプリンシパル(IAMユーザとIAMロール)** が、 **AWSのサービス(EC2やLambdaなど)** にロールを渡すことを意味しています。これにより、例えばEC2がS3のファイルを読み取れたり、LambdaがDynamoDBにデータを格納することができるようになります。以下は実
[小ネタ] AWS SAM を使わない方がいいかもしれないケース3選
## はじめに
AWS SAM 便利ですよねー.
テンプレートの記述量も少なく最小限の記述で、API Gateway + Lambda + DynamoDBといったようなサーバレスアーキテクチャを構築できるので私もサーバレスアーキテクチャを検証したい際には手軽に作れておすすめしたいです。しかし、いざ使ってみるといかのケースでは、合わなかったりとユースケースを間違えると手戻りなどが発生するため、今回はStack を使ってみてイマイチだったケースを3つ紹介します。
## [ケースその1] バージョン指定の問題について
SAMを利用している際、バージョンやエイリアスを設定するには[AutoPublishAlias](https://docs.aws.amazon.com/ja_jp/serverless-application-model/latest/developerguide/sam-specification-generated-resources-function.html#sam-specification-generated-resources-function-aut
Amazon Aurora PostgreSQLのチートシート
# 背景・目的
いつも、SQLやコマンドを忘れやすいのでメモしておきます。:::note info
PostgreSQLに特化し限定したものだけではなく、一般的なSQLも含めて記載しています。
::::::note info
気づいたタイミング、必要になったタイミングで更新します。
:::# まとめ
|分類|SQLまたはコマンド |備考|
|:–|:–|:–|
|スキーマ|[スキーマを作成する](https://qiita.com/zumax/items/a82fb20471832fbe5b6b#%E3%82%B9%E3%82%AD%E3%83%BC%E3%83%9E%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B)||
||[スキーマの一覧を確認する](https://qiita.com/zumax/items/a82fb20471832fbe5b6b#%E3%82%B9%E3%82%AD%E3%83%BC%E3%83%9E%E3%81%AE%E4%B8%80%E8%A6%A7%E3%82%92%E5%8F%82%E7%8
Aurora Serverless v2を試してみた
# 背景・目的
Aurora Serverlessについて、触ったことがあるものの特徴など理解していなかったので整理します。
また、簡単に動作確認します# まとめ
下記に特徴を整理します|特徴 | 説明|
|:–|:–|
|概要 |・Auroraのオンデマンドのオートスケーリング設定を指す
・キャパシティは、自動で調整される
DBクラスタが消費するリソースに対してのみ課金される|
|ユースケース|様々なワークロードに役立つ。特に下記のユースケースに有効である
・変動するワークロード
・マルチテナントアプリケーション
・新規アプリケーション
・複合用途アプリケーション
・キャパシティプランニング
・開発とテスト|
|メリット|・プロビジョニングよりも簡単な容量管理
・高アクティビティ時のスケーリングを高速かつ簡単に実行
・アクティビティの少ない期間の費用対効果が高い
・プロビジョニングと同等以上の機能
・Aurora Serverless v1 より高速、詳細で、中断が少ないスケーリング|# 概要
【Amazon ElastiCache for Redis】3種の方法でログインしてみた
# サマリ
## この記事で得られること
* Amazon ElastiCache for Redis(以下、ElastiCache)のログイン方法を理解できる
* 特にIAM認証のログイン方法がわかる(本記事公開時点でほかの記事があまりない)## 読むのにかかる時間
10分# ElastiCacheのログイン方法
※本章は[ElastiCacheの認証と認可ページ](https://docs.aws.amazon.com/ja_jp/AmazonElastiCache/latest/red-ug/auth-redis.html)のサマリ## ログイン方法1:Redis AUTHによる認証
ユーザという概念なしに、パスワードのみでElastiCacheへログインする方法。
詳細は[Redis AUTH コマンドによる認証](https://docs.aws.amazon.com/ja_jp/AmazonElastiCache/latest/red-ug/auth.html)、[redis AUTH](https://redis.io/commands/auth/)を参照。
AWSのAPI GatewayでAPIキーを作成〜設定
# はじめに
こんにちは、ユーゴです!
今回は、API GatewayでAPIキーを設定したく、方法をネットで調べていました。しかし、なかなか見つからず、少し苦労しました。最終的には、試行錯誤しているうちに、とても簡単な方法で実現できました。
この記事で、同じことで悩んでいる方が時間を浪費せず済むようになれば幸いです。# 課題
AWSのAPI GatewayでAPIキーの作成〜設定がわからない。# 解決
## 1. LambdaとAPI GatewayでAPIを作成, 設定
### 1-1. 作成
こちらについては、できる前提でお話しします。
なので、自作APIの実装手順がわからない方は、こちらの記事をご覧ください。[API超入門!最速で使えるAPIを実装する](https://qiita.com/mu5dvlp/items/276cf24095b78126a37f)
### 1-2. APIキーを必須化
APIキーを必須化します。
リソースページから、「メソッドリクエスト」タブの「編集」ボタンをクリックしてください。また、シリーズものなので以下の内容についてもよろしければチェックのほどお願いします!
– Codepipeline クロスリージョン対応 Ch.2
– Codepipeline マルチアカウント & マルチリージョン対応 Ch.3## シナリオ
今回は以下のシナリオで実行したいと思います。
### アカウントについて
アカウントは、以下2つのアカウントを用意。それぞれの役割
Amazon S3のセキュリティ対策(パブリック or Not)
Amazon Simple Storage Service(Amazon S3)は、AWSが提供する耐久性とスケーラビリティに優れたオブジェクトストレージサービスです。データのバックアップ、アーカイブ、ウェブサイトのコンテンツなど、さまざまな用途で利用されています。
## S3バケットのパブリックアクセス
S3バケットをパブリックに設定することで、ウェブサイトのホスティングやファイル共有などに利用することができます。しかし、機密情報を含むバケットを誤ってパブリックに設定すると、データ漏洩のリスクがあります。
### パブリックアクセスの制御
– **パブリックアクセスブロック**: S3ダッシュボードからパブリックアクセスブロック設定を有効にすることで、バケットのパブリックアクセスを防ぐことができます。
– **バケットポリシー**: バケットポリシーを使用して、特定のIPアドレスやAWSアカウントからのアクセスのみを許可するように設定することができます。## IAMとアクセスポリシーによるセキュリティ強化
AWSのIAM(Identity and Access Mana
AWS SysOpe対策 コスト管理ツール
# はじめに
AWS試験の中の一つであるSysOpsアドミニストレーター アソシエイトには様々な
コスト管理ツールが出てきます。
– AWS Budgets
– AWS Cost and Usage Report
– AWS Cost Explorerこれらのサービスの主な特徴についてまとめました。
# AWS Budgets
AWS Budgets は、AWS のリソース使用量とコストを管理するためのツールです。– カスタム予算設定
月や年単位特定の時間枠で予算を設定可能です。また、タグを使用して特定のプロジェクトやチームごとの予算作成もできます。
– アラート通知
予算の設定に対して、特定の閾値を超えるとアラート通知を受け取ることが可能です。さらに閾値を超えた時、アラート通知以外にもIAMポリシーの適用や特定のEC2インスタンスの停止といったアクションなども実行できます。# AWS Cost and Usage Report
AWS Cost and Usage Report は、AWS アカウントのコストと使用状況に関する詳細な情報を提供するレポートです。
AWS認定12冠達成しました
# はじめに
昨年、AWS認定資格をすべて取得し、晴れて12冠を達成しました。AWSに出会って3年半と、少し時間をかけすぎた感はありますが、振り返ってみます。~~全冠してから半年以上経ってますが。~~
# AWSに出会う前のスペック
当時は社会人3年目。
今ほど資格コレクターではなく、基本情報処理技術者くらいしか持っていませんでした。IT知識も一般的な用語を「聞いたことがある」レベルで、技術者と呼ぶにはあまりにも知識が不足していました。今振り返れば、AWSに出会っていなければ大した努力もせず、つまらない社会人人生になっていたと思います。# なぜ12冠を目指そうと思ったか
直接的なきっかけは、SAP(ソリューションアーキテクトプロフェッショナル)取得後、当時の職場の先輩に「SOA(SysOp
AWS Lambda でカスタムレイヤーを追加する方法
# 概要
– Lambdaで何かしらの処理を行いたい時、デフォルトだとインストールされていないパッケージを使う場合は、レイヤーをアタッチする必要がある
– Lambdaを使うとき、基本的に必要になる作業なので、自分のやり方を備忘として残す# 手順
## 1. ローカルで必要なパッケージをまとめる
– レイヤーに含めたいパッケージを仮想環境にインストール
“`shell-session
python3 -m venv venv
source venv/bin/activate
pip install package-name
“`– 「__pythonという名前__」のディレクトリにパッケージを詰めてzipファイルにする
– __pythonという名前である必要がある__(任意ではないことに注意)
– 仮想環境の具体的なpathはそのときのローカルの状況次第
“`shell-session
mkdir -p layer/python
cp -r venv/lib/python3.10/site-packages/* layer/python/
cd laye
RDSのサブネットグループの変更時、「同一VPC内での変更は不可能」と言われる
# はじめに
こんにちは、ユーゴです。今回は、AWSで遊んでいたときに直面した課題を紹介します。
ネットを調べていると、似たような質問で「後からVPCの変更はできません」という回答が多く、そうすると「VPCが変更できず、同一VPCのサブネットグループを指定できないなら、サブネットグループも変更できないのでは…?作り直すのが面倒だ…」と半ば諦めていました。しかし、色々と試しているうちに、簡単にサブネットグループの変更ができたので、ご紹介します。# やりたかったこと
最初にRDSでDBインスタンスを作成したとき、サブネットグループを指定し忘れました。defaultのサブネットグループが生成されてしまい、パブリックサブネットや違う用途のサブネットもアタッチされてしまいました。# 課題
作成したRDSのDBインスタンスについて、以下のようなエラーが出る。> You cannot move DB instance {インスタンス名} to subnet group {サブネットグループ名}. The specified DB subnet group and DB insta
【初学者向け】CloudTrail + Athenaで監査レポートを作成する
# ■初めに
クエリにほとんど触った事がなかったので、同じように初学者の方の役に立てばと思いつつ書いてみます。
ちなみに以下のサイトを参考に進めていましたが、ほぼ経験がなく上手くいかなかった部分があったのでもう少し噛み砕いてやってみたという雰囲気です。参考URL
https://dev.classmethod.jp/articles/cloudtrail-audit-report-by-amazon-athena/
https://dev.classmethod.jp/articles/get_s3data_by_athena/# ■準備するもの
・CloudTrailのログがS3に出力されるようにしておく
・クエリ結果を保存するS3の準備# ■手順
### 1.まずはAWSコンソールから「Athena」のサービスページへ移行
Amazon Athena
https://ap-northeast-1.console.aws.amazon.com/athena/home?region=ap-northeast-1### 2.クエリエディタを起動
特に何もいじっ
【Provisioned Concurrency】IoT CoreからのLambda実行でエラーが出たので解消してみた
## 経緯
IoT CoreからIoTルールアクションでLambdaを実行していたが、コールドスタートが気になりSAMテンプレートでProvisioned Concurrencyを適用。## Provisioned Concurrency適用時の設定
### IoTルールのSQLステートメントとSAMテンプレート
“`ruby:SQLステートメント
SELECT
aws_lambda(“arn:aws:lambda:ap-northeast-1:111111111111:function:hoge-func:Live”, {“payload”: *})
FROM
‘topic/subtopic’
“`
“`ruby:SAMテンプレート(Lambda部分)
hogeFunction:
Type: AWS::Serverless::Function
Properties:
FunctionName: !Sub hoge-func
CodeUri: src/handler
Role: !GetAtt LambdaH
Amazon OpenSearch Service はじめの一歩:S3からGlueでデータをいれて全文検索っぽいことをクイックにやる
# はじめに
AWS上に既にある、またはこれから構築するデータ基盤でクイックに全文検索をしたい場合の選択として、[Amazon OpenSearch Service](https://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/what-is.html) を利用するのはありなのか、実際に動かして試しながら確認したときの記録を、いつかの思い出し用として記載しておこうと思います。
スクショをベースにしておいて、後でこんな感じのサービスだったというのを思い出せるようにしています。# 前提
– 2024/3/4に試した内容です。
– OpenSearchはサーバーレス版の[Amazon OpenSearch Serverless](https://docs.aws.amazon.com/ja_jp/opensearch-service/latest/developerguide/serverless.html)が選択できますが、AWS Glueからはサーバーレス版は接続ができないようです。サーバー
Insight Database Testing でテスト用の SQL として Oracle の監査ログ(標準監査)を使用する
こんにちは。インサイトテクノロジーの松尾です!
本投稿では、SQL テストツール Insight Database Testing で RDS for Oracle の監査ログを使用する方法を紹介します!
本投稿自体はノウハウ的なものの紹介になりますので、Insight Database Testing そのものが何をするツールかについては以下の投稿などを参照いただければと思います。https://qiita.com/takumats/items/980948d6d4d9cf3bec43
## はじめに
Insight Database Testing で Oracle のバージョンアップ検証や、Oracle から他の RDBMS へ移行することを検証したい場合に現行の Oracle 環境で実行されている SQL 情報を取得します。現在、Insight Database Testing で Oracle の SQL を扱いたい場合には、監査製品 PISO を使って SQL を取り込むことになります。
PISO を使って取り込む場合には以下のような特徴があります。* 利点
AWS DEAの問題集をClaude3に作らせてみた
# はじめに
皆さんご存じの通り3月上旬頃、AWS認定 Data Engineer Associateの試験が正式に公開されました。
https://aws.amazon.com/jp/certification/certified-data-engineer-associate/
Xを観測すると続々と受験者が増えているように見えますが、さすがに試験問題集の書籍は未だ発売されていないようです。筆者もそろそろ受験しようかなと考えているので、LLMに問題集を作ってもらいました。(書籍は未出版ですがUdemyには模擬問題集が既にありました)
[公式試験ガイド](https://d1.awsstatic.com/ja_JP/training-and-certification/docs-data-engineer-associate/AWS-Certified-Data-Engineer-Associate_Exam-Guide.pdf)に記載の対象知識・対象スキルが166件ありますが、そのうち50件を対象にそれぞれ約3問ずつで136問作成しました。全て載せるとあまりにも長くなるのでこ
AWS Route53とALBを用いた開発/本番環境の切り分けのやり方をまとめてみた
# AWS Route53を用いた【開発環境/本番環境】dev.example.comの構築
本記事ではAWS Route53とALBを用いた開発/本番環境の切り分けのやり方をまとめていきます。
いきなり結論ですが最終的には以下のような画像のような状態になります。### Route53におけるexample.comの設定
### Route53におけるdev.example.comの設定
それでは早速具体的にどのようにや
【AWS】障害時の調査事項まとめ ~ELB・ECS・RDS~
# はじめに
現在はAWSで構築されたシステムの運用保守業務に携わっており、その一環として障害調査を行うことが多々あります。
少しは経験値が上がったため、障害が発生した際に初動で確認する事項をまとめてみました。
インフラ基盤観点で障害調査を行うさいの参考になれば幸いです。# 前提条件
当システムの構成は以下となっているため、それに即した調査項目となっています。
* ALB/NLB・ECS・RDSを利用している
* ECSはEC2上で実行している(Fargateでは利用していない)
* ECSクラスター(以下クラスター)の自動スケーリング設定をしている
* ECS サービス(以下サービス)の自動スケーリング設定をしている
* RDSはAuroraを利用しているまた、障害は**予期せぬコンテナの停止**を想定しています。
# NLB/ALBの調査事項
### メトリクス
初めにロードバランサーのメトリクスからターゲットの状態を確認します。扱っているシステムでは、HealthyHostCountメトリクスを利用してターゲットであるコンテナの死活監視をしています。
Health
