AWS関連のことを調べてみた

AWS / Terraform – ALB + S3 のエラー – InvalidConfigurationRequest: Access Denied for bucket: example-bucket. Please check S3bucket permission

# 問題

ALBアクセスログをS3に記録しようとするが、
TerraformでもAWSのマネージメントコンソールでも「S3の権限が足りない」というエラーが起こる

“`
InvalidConfigurationRequest: Access Denied for bucket: example-bucket.
Please check S3bucket permission
“`

パケットポリシーを公式説明どおりに設定してもエラーが続いていた

# 解決

S3バケットの暗号化設定を SSE-S3 に変えることで解決した


## 既存バケットはKMSでも動き続けている

既存バケットはKMS設定のままで正常に動作し続けていた

おそらく既存環境に配慮した対応だと思われる

![CleanShot 2024-09-13 at 14 02

lambdaでエラーログファイルをs3へ書き込む

# やりたいこと
lambdaでエラーログファイルをs3へ書き込む
・S3バケット作成
・IAMポリシーとIAMロール作成
・Lambda関数作成

# ①S3作成

全部デフォルト設定でよい
（ACL 無効 (推奨)）
（パブリックアクセスをすべて ブロック　にチェック）
（バケットのバージョニングを無効）

# ②IAMポリシーとIAMロール作成
先にポリシーを作成

“`
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“s3:PutObject”
],
“Resource”:

Azure マネージド ID と AWS IAM ロールの比較

長期的に利用可能なシークレット情報（Azure のサービスプリンシパルや AWS の IAM ユーザーなど）を使用してリソースアクセスを行うと、シークレット情報の漏洩時に深刻な問題が発生するリスクがあります。
このリスクを軽減するため、Azure マネージド ID と AWS IAM ロールは、それぞれのクラウドプラットフォームにおいて、長期的なシークレット情報を使用せずにセキュアなリソースアクセスを実現するための重要な機能です。

## 概要

### Azure マネージド ID

Azure マネージド ID は、Azure リソースに対して安全に権限を付与する仕組みです。
Azure リソース上で動作しているアプリケーション以外がマネージド ID を利用して権限を得ることはできません。
下記の 2 種類が存在します。

– **システム割り当てマネージド ID：** 1 つのリソースに 1 つだけ作成できるマネージド ID で、リソースと共に作成、削除されます
– **ユーザー割り当てマネージド ID：** リソースとは独立して用意するもので、複数の Azure リソースで共用

サーバーが落ちた時にターゲットグループを切り替える

こんにちは。ねこしまです。
今回は、ELBにリスナーとして登録されているEC2①が落ちてしまった際にEC2②のターゲットグループにリスナーを切り替えるという作業を行う機会があったのでその内容を共有したいと思います。

## はじめに
### 全体の流れ
ELBにリスナーとして登録されているターゲットグループのEC2がUnHealthyになった際にCloudWatchアラームで検知し、SNSに流します。
SNSではメール送信と共にLambdaのトリガーとします。
LambdaではEC2①のターゲットグループをリスナーから外し、EC2②のターゲットグループを新たにリスナーとして登録をします。

### 前提条件
　・VPCやサブネット・ELB・EC2が作成済みであること
　・今回の対象外事項
　・ターゲットグル

AWS試験に受かったときのバイブス

# お蔵入りにしてた記事 『AWS Database Specialtyに合格したのでAuroraについてまとめた + RDSの思わぬ欠点について』

もったいないので放出します。2023年の9/29合格なので、約一年前ですね。そのまま出します。当時のライブ感が残っていて懐かしい。思えばこれがSAP,DOP,MLSなどの合格の発端となりました。

当時の合格時のヴァイブスは以下です。



対象読者は、
・DBSの範囲の問題を多少解いてSAAなど他試験の解像度をあげたい方

爆速でPDFを全世界にS3で公開する方法

# はじめに
#### 爆速でPDFを全世界に公開したい時ありますよね？
そんな迷える初心者/一人情シスのみなさんにこちらの
S3を使った爆速公開術を授けます。

# 必要なもの
・AWSアカウント
・アップロードするPDF
・あきらめない心

## S3の設定
AWSマネジメントコンソールにログインし、S3サービスに移動します。
リージョンを選択したら「バケットを作成」ボタンをクリックします。
バケット名を入力します。（例：tonikakupdf001）

「パブリックアクセスをすべてブロック」のチェックを外します。
警告が表示されますが、今回はパブリックアクセスを許可する必要があるため大丈夫です！
その他の設定はデフォルトのままで、「バケットを作成」をクリックします。

## PDFファイルのアップロード

作成したバケットを開いて「アップロード」ボタンをクリックします。PDFファイルをドラッグ＆ドロップするか、「ファイルを追加」をクリックして選択し、「アップロード」をクリックしてファイルをアップロードします。

## PDFファイルの公開設定

アップロードしたPDFファイルを選

IAMクロスアカウントロールアクセス

## IAMクロスアカウントロールアクセス

AWS AppSyncとGraphQLの入門ガイド

## はじめに
AWS AppSyncは、GraphQLを使用してアプリケーションのバックエンドを構築するためのマネージドサービスです。
この記事では、AppSyncを使用してGraphQL APIを作成し、DynamoDBと連携させる基本的な手順及び簡単なGraphQLの使用例について紹介します。

## AppSync、GraphQL API、DynamoDBの作成

下記のドキュメントに従ってAppSyncとDynamoDBを作成します。

https://docs.aws.amazon.com/ja_jp/appsync/latest/devguide/schema-launch-start.html

まずAppSyncからAPIを作成を選択します。

ステップ1におけるAPIタイプはGraphQL APIs、データソースはDesign from scratchを選択します。

![スクリーンショット 2024-09-12 17.04.10.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/487

AWSインフラ構築時のエラー対処備忘録

AWSインフラ構築時のエラー対処備忘録

ECSコンテナサービスを作成中、バックエンド（Rails、Nginx）のサービス作成時に発生したエラーについて記録します。具体的には、NginxのCloudWatchログに以下のエラーが発生しました。

“`
connect() to unix:///app/tmp/sockets/puma.sock failed (111: Connection refused) while connecting to upstream, client: 10.0.3.73, server: localhost, request: “GET /api/v1/health_check HTTP/1.1”, upstream: “http://unix:///app/tmp/sockets/puma.sock:/api/v1/health_check”, host: “10.0.4.4”
“`

使用技術

・フロントエンド
　　UIフレームワーク：Nuxt.js(Vue.js), Vuetify
　　HTTP通信：axios
　　コード整形：ESLint/

【AWS】インターネットゲートウェイを作成して、サブネットをインターネットに接続する

# はじめに
この記事では、インターネットゲートウェイを作成して、サブネットをインターネットに接続する手順を記載します。

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

:::note
以後の画面キャプチャは 2024年8月時点のものです。
:::

# インターネットゲートウェイを作成する
まずはインターネットゲートウェイを作成します。

## インターネットゲートウェイ作成画面へアクセスする
VPC ダッシュボードで「Internet gateways」をクリックします。


インターネットゲートウェイ一覧画面が表示されます。この画面で「Create Internet gateway」をクリックします。

![image.png](htt

『実践Terraform』でterraform applyするとUnsupportedCertificateとエラーが出る

## はじめに

Terraform初学者です。

『[実践Terraform](https://www.amazon.co.jp/dp/4844378139)』という書籍で勉強しています。

書籍のコードをそのまま記述するとエラーとなってしまう箇所があったため、備忘録としてまとめます。

この記事におけるバージョンは次のとおりです。

– Terraform: 1.9.5
– terraform-provider-aws: 5.65.0

## 問題

`第8章 ロードバランサーとDNS`のサンプルコードが対象です。

HTTPSリスナーを定義する箇所で次のコードが定義されていました。

“`terraform:lb.tf
resource “aws_lb_listener” “https” {
load_balancer_arn = aws_lb.example.arn
port = “443”
protocol = “HTTPS”
certificate_arn = aws_acm_certificate.example.arn
ssl_policy = “

ゲーミングPCが買えないのでAWSで動画編集してみる

# 結論だけ読みたい方へ
* 自宅のPCのグラボ性能が貧弱過ぎて、動画編集の度にフラストレーションが溜まっていた。
* そこで、AWSで高性能GPUのEC2インスタンスを使用して、リモートデスクトップ接続での動画編集とエンコードに挑戦してみた。本記事はその過程や所感を記録したものである。
* エンコードが思ったより遅かった。GPUを全然使ってないので動画編集ソフトの問題？と睨んでいる。
* 予算は、作業時間20hで約2500円程度。利用時間が予定よりやや延びた為請求額も増えたが、計画段階でのコスト試算は妥当なラインだったと思う。
* NVIDIAの高性能なGPUリソースをクラウド経由で誰でも手軽に使えるのは便利！

# ターゲットの読者層
**本記事はクラウド初心者向けを想定している。**
「EC2インスタンス起動などもあまり慣れてないし・・・」とか「セキュリティ設定わからん」「設定間違えて高額課金になったら怖い・・・」というような初心者の方でも、私と同じように趣味などのきっかけを通してクラウドを気軽に使ってみて欲しいという意図の記事になる。故に仕事で日常的にAWSを触っているような方

AWS デフォルトタイムアウト

| AWSサービス | デフォルトタイムアウト |
|——————————————-|——————————————————————————–|
| AWS Lambda | 3秒（最大15分まで設定可能） |
| Amazon API Gateway | 29秒 |
| Amazon RDS

Mermaidでアーキテクチャ図が書けるようになったらしい

株式会社Schooの[@hiroto_1220](https://x.com/hiroto__1220)です！
新卒研修でMermaidを使って以来、簡単な図はMermaidで書くようになりました！推しツールの1つになってきています🫶
そんなMermaidでアーキテクチャ図を書けるようになったと聞いたので、実際に試してみました！

## Mermaidとは
https://mermaid.js.org/

シーケンス図、クラス図、状態遷移図などをテキストベースで作ることができるツールです。

### Mermaidを書くときに使うと便利なツール
**Mermaid Live Editor**
(2024/09/12現在、Mermaid v11.1.0以上に対応していないためアーキテクチャ図は見られないです)

ブラウザでMermaid記法を試すことができます。

AWS SignerとLambdaによるコード検証

## AWS Signer
**コードをデジタル署名と照合して検証**し、コードが変更されていないこと、信頼できるパブリッシャーからのものであることを確認できる**完全マネージド型のコード署名サービス**。

## AWS Singnerの料金
AWS Singnerの料金は**無料**。

## AWS SignerとLambdaの併用
AWS Signer を AWS Lambda と併用して、AWS 環境へのデプロイ前に機能やレイヤーが変更されていないことを確認することで、**悪意のある攻撃者から組織を保護できる**。
つまり、信頼できるコードのみを Lambda 関数で実行するようにできる。

署名付きコードパッケージを関数にデプロイすると、Lambda によって以下のの検証チェックが実行される。
| 検証内容 | 詳細 |
|:———–:|:————|
| 整合性 | コードパッケージが、署名されてから変更されていないことを検証する|
| 有効期限 | コードパッケージの署名が有効期限切れになっていないことを検証する |
| 不一致 | 署名

AWS備忘録

VPCをまたがってリソースを使う方法
1.VPCピアリング
　2つの教室間にドアを作るイメージ
2.AWS Transit Gateway
　複数のVPCをまとめてつなぐハブのようなもの
3.VPCエンドポイント・プライベートリンク
　独自のサービスなどの限定的なものをインターネットを介さずに直接使用できる
4.VPN接続・AWS Dirct Connect
　自分の家や会社とAWSを安全に接続する

スケジュールドリザーブドインスタンス
　週一回金曜日などの定期的な使用を行うとき

AWS System Manager
　大量のリソース（DBやコンピュータ）を一括管理してくれる。

AWS ダッシュボード
　AWSのすべてのサービスに直接アクセスしてリソースを作成・管理

【AWSクラウドプラクティショナー】絶対に覚えておくべき暗記事項まとめ

# はじめに
時折、認定資格試験は丸暗記に頼り過ぎるのはよくないと言われます。
確かにしっかり理解し、実務で活用できる状態であることが望ましいです。

ただ、認定資格を取得するという観点で考えるとどうしても丸暗記が必要になってきます。
実務ではある程度調べながら取り組むことができるのに対し、認定資格は記憶のみの勝負になるためです。

今回は AWS 認定クラウドプラクティショナー試験で丸暗記しておくべき事項をまとめました。
試験の学習、受験前の最終確認などに役立てていただけますと幸いです。

# 暗記推奨事項

### AWS クラウドを利用する 6 つのメリット

| | メリット | 説明 |
|:————:|:———–|:———–|
| 1 | 数分で世界中にデプロイできる | わずか数クリックで世界中にリソースを構築できる |
| 2 | キャパシティ予測が不要になる | 必要なときにスケーリングできる |
| 3 | 固定費が柔軟な変動費に変わる | 基本的に使った分だけ支払うという形式で初期投資も少ない |
| 4 | スケー

IAM Identity Centerマルチアカウントのアクセス許可どこ？

# 概要
この記事は、IAM Identity Center管理のユーザーのアクセス管理について調べると許可セットがその役割を担っていると[公式サイト](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)から読み取るも、前回の自分の記事

https://qiita.com/kota-done/items/c740e3180133608893c1

だと、そもそも許可セット作成するための**マルチアカウントのアクセス許可**が見当たらなかった。
その解決に取り組むも、時間がかなりかかったので、記事にしてしまおうという経緯である。

## 結論
リージョンを変えてIdentity Centerを作成しなおした。
us-east-1→ap-northeast-1

:::note warn
どのリージョンなら問題ないのかは検証していません。
:::

## 前回の状況
左の欄に「マルチアカウントのアクセス許可」ないがな！

![スクリー

AWS VPCフローログを試しに使用してみたかった

ぼーっとしていたら、ふとVPCフローログを使ってみたい！と思いましたので、やったことを記録しておきます。

# VPCフローログ？（2024/09/12 Geminiに聞いてみた）

VPCフローログって何ですか？

## VPCフローログとは？

**VPCフローログ**は、Amazon Virtual Private Cloud（VPC）内のネットワークインターフェイスとの間でやり取りされるIPトラフィックに関する情報を記録する機能です。いわば、VPC内のネットワーク通信の履歴書のようなものですね。

### なぜVPCフローログが必要なの？

* **セキュリティ監査:** 不審なネットワークアクティビティを検知し、セキュリティ侵害のリスクを軽減できます。
* **トラブルシューティング:** ネットワークの問題発生時に、原因究明のための貴重な情報源となります。
* **コスト最適化:** 不要なネットワークトラフィックを特定し、コスト削減に貢献します。
* **コンプライアンス:** さまざまな規制に対応するために、ネット

CloudWatch Metric StreamsでAWSとNew Relicを簡単に連携して統合監視しよう！

**CloudWatch Metric Streams**を使ってNew RelicとAWSを連携し、CloudWatchのメトリクスを取り込み、**マルチアカウント、マルチリージョンの情報を簡単に統合監視**することができます。

**↓↓↓ 公式ガイドはこちら**

https://docs.newrelic.com/docs/infrastructure/amazon-integrations/get-started/introduction-aws-integrations/

# 2種類の連携方法
### Metric Streams
CloudWatch Metric Streamsと連携し、ストリーミング方式でCloudWatchのメトリクスをNew Relicに送信する方法です。AWSからNew RelicへCloudWatchのメトリクスが2分未満でストリーミングされるためデータ取り込みの遅延が少ないのと、すべてのAWSリソースのCloudWatchのメトリクスを取り込むことができるため、**New Relicが推奨する連携方式**になります。

### API Po