【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、rootユーザーでしかできない操作を知りたいと思ったことはありますか?私はあります。 rootユーザーとは、AWSアカウントを作成した際に自動的に付与される最も権限の高いユーザーアカウントのことです。 rootユーザーには特別な権限があり、一般ユーザーアカウント(IAMユーザー)ではできない操作が可能です。 しかし、rootユーザーだと非常に強い権限を持っているので、基本的にAWSを利用する際はIAMユーザーを利用することがベストプラクティスとされています。 AWS アカウントのルートユーザーのベストプラクティス - AWS Identity and Access Management rootユーザーの認証情報が必要なタスクがある場合を除き、AWS アカウントのrootユーザーにはアクセスしないことを強くお勧めします。 また弊社AWS
疲弊しないAWSセキュリティ統制の考え方【資料公開】 #devio_osakaday1 | DevelopersIO
大阪オフィスの川原です。 クラスメソッドのシン・大阪オフィスでの初イベント DevelopersIO OSAKA Day One -re:union- にて 『疲弊しないAWSセキュリティ統制の考え方』 というメインセッションを話しました。 ご参加いただいたみなさま、ありがとうございます! 発表で使った資料を本ブログで公開します。 当日の発表では時間の都合上話せなかった部分もいくつかありますので、 気になった方はぜひ見てください。 参考になれば幸いです。 スライド 参考資料 責任共有モデル | AWS NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST NIST Cybersecurity Framework (CSF) 2.0 Reference Tool | NIST Cyber Defense Ma
VPCピアリングを作りながら学んでみた | DevelopersIO
おはようございます、加藤です。WWDC 2018でiPhone SE2が来るかと期待していましたが、見事に夢破れました。 VPCピアリングを使用する機会があったので、構築しながら勉強してみました。 概要 できること 異なるVPCを接続 当然ですね、VPCピアリングによって異なるVPCを接続することができます。VPC間で直接接続する為、インスタンスにパブリックIPアドレスが割り当てらている必要はありません。 また、IPv6アドレスでも利用することが可能です。 異なるAWSアカウントのVPCを接続 VPCピアリングはAWSアカウントに依存しません。異なるアカウント間でVPCピアリングを利用することができます。 異なるリージョンのVPCを接続 VPCピアリングはリージョンに依存しません。異なるリージョン間でVPCピアリングを利用することができます。 ただし、IPv6アドレスは非対応です。 複数の
突貫でおぼえるSPF、DKIM、DMARC | DevelopersIO
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
【書評】「プロジェクトマネジメントの基本が全部わかる本」の輪読会を開催していただいたので参加しました | DevelopersIO
コーヒーが好きな emi です。 7 月末~ 11 月末にかけて、私が所属しているチームのマネージャー 横田慎介 さん主導で「プロジェクトマネジメントの基本が全部わかる本」の輪読会を開催いただきました。おかげさまで一人では読み切れなかったであろう本が読み切れて嬉しいです。 本記事では開催いただいた輪読会の進め方と、私が「プロジェクトマネジメントの基本が全部わかる本」を読んだ感想を記載します。 既に書評ブログがありますので、詳細はこちらもご参照ください。 書籍タイトル : プロジェクトマネジメントの基本が全部わかる本 交渉・タスクマネジメント・計画立案から見積り・契約・要件定義・設計・テスト・保守改善まで 著者 : 橋本 将功 出版社 : 翔泳社 出版日 : 2022/11/08 出版社の書籍情報リンク:プロジェクトマネジメントの基本が全部わかる本 交渉・タスクマネジメント・計画立案から見積
Amazon RDS で100年有効な新しいCAが利用可能になりました | DevelopersIO
Amazon RDS で、セキュアなDB通信を行う際 に利用する認証局 (CA) として、 有効期限が40年弱(rds-ca-rsa2048-g1)、100年弱(rds-ca-rsa4096-g1, rds-ca-ecc384-g1) のCAが、2023年1月13日のアップデートで利用可能になりました。 Amazon RDS now supports new SSL/TLS certificates and certificate controls 今回、利用可能となった新しいCAを試す機会がありましたので、紹介させていただきます。 設定 DBエンジンバージョンは「MySQL 8.0.28」を利用しました。 認証機関として rds-ca-2019 (デフォルト) 以外の選択が可能になりました。 rds-ca-2019 (デフォルト) rds-ca-ecc384-g1 rds-ca-rsa4
【小ネタ】ECRパブリックリポジトリでDockerクライアント認証がエラーになってしまう | DevelopersIO
こんにちは!コンサル部のinomaso(@inomasosan)です。 自分で作成したDockerイメージをECSで起動するために、AWSマネジメントコンソールにて東京リージョンでECRパブリックリポジトリを作成したのですが、Dockerクライアント認証でエラーとなったので原因を調べてみました。 環境 macOS Big Sur 11.6 AWS CLI 2.2.35 Docker Desktop 4.0.0 エラーメッセージ AWS CLIでデフォルトプロファイル以外を使用するため、--profileオプションを指定しています。 % aws ecr-public get-login-password --profile hogehoge --region ap-northeast-1 | docker login --username AWS --password-stdin publi
AWS FargateにおけるAmazon ECS クラスターの効果的な分け方を様々な観点で考えてみた | DevelopersIO
はじめに AWS Fargateを使用している際に、ECSクラスターをECSサービスごとやECSタスクごとにどのように分けるかに迷うことがありました。 そこで、個人的に複数の観点からクラスターの効果的な分け方を考えてみました。 なお、この記事ではECS on EC2ではなく、ECS on Fargateのみに焦点を当てています。 ECSについて ECSの構成について簡単に説明しますと以下の3つに分かれます クラスター タスクとサービスを実行する基盤です サービス ECSクラスター内で、タスクを実行し管理します タスク タスク定義に基づいてコンテナを起動します 今回は、タスクとサービスを実行する基盤であるクラスターをどのような単位で分けるべきかを考えてみました。 一般的 一般的には、システムや環境ごとにクラスターを作成すると良いでしょう。 理由としては、2点あります。 1. リソース作成の簡
JavaのZipOutputStreamで作成したZipファイルが開けなかった話 | DevelopersIO
こんにちは。サービスGの金谷です。 JavaでのZip圧縮はZipOutputStreamというクラスを使用すると実現可能ですが、 Springと組み合わせて使用した際に自分の使い方が悪く、上手くZipを作成できないことがあったのでそれについてまとめようと思います。 環境等 ❯ java -version openjdk version "1.8.0_282" OpenJDK Runtime Environment Corretto-8.282.08.1 (build 1.8.0_282-b08) OpenJDK 64-Bit Server VM Corretto-8.282.08.1 (build 25.282-b08, mixed mode) JavaでのZip圧縮の例 こちらの記事で解説されているとおりですが、以下のような形で動きます(相対パス指定だと動きません) public cl
[アップデート] Amazon LightsailがCloudFormationに対応したのでYAMLでWordPress環境を作ってみた | DevelopersIO
[アップデート] Amazon LightsailがCloudFormationに対応したのでYAMLでWordPress環境を作ってみた こんにちは。CX事業本部MAD事業部のYui(@MayForBlue)です。 下記のAWS公式ブログで紹介されているとおり、Amazon LightsailがCloudFormationに対応したので、早速CloudFormationテンプレートを使ってWordPress環境を作ってみました! Amazon Lightsail がインスタンス、ディスク、データベースの AWS CloudFormation をサポート Amazon Lightsail とは Amazon Lightsail(以下、Lightsail) とは、AWS が提供するVPSサービスです。 WordPress、Windows、LAMP、Nginx など、事前に組み込まれたOSやア
![[アップデート] Amazon LightsailがCloudFormationに対応したのでYAMLでWordPress環境を作ってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/33578b82d55e30019811e26fd28367d771cf1f19/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-lightsail.png)
ChatGPT APIと自動化ツールを組み合わせて記事の翻訳と要約をしてくれるワークフローを作ってみた | DevelopersIO
ChatGPTの初学者、prismatix 事業部の中村です。 自動化ツールの Make と ChatGPT API が簡単に連携できるようになっていたので試してみました。 Make について Make Make(旧:Integromat) は世の中の様々なSaaSを簡単に繋ぎ合わせることができる自動化ツールです。 ブラウザ上でワークフローを構築することができ、コーディングはほぼ不要です。 Make にはSaaSと簡単に繋げるためのモジュールが沢山用意されており、LINE や Slack, Gmail 等と繋ぎ合わせることができます。 ChatGPT API と繋ぐモジュールも追加されたようなので、今回はそれを使ってみます。 細かい設定は弊社の記事を参考にしてください。 ノーコードツール(Make:旧Integromat)を使ってユーザー登録用のLINE botを作ってみた 試したシナリオ
ユニットテストをGitHub CopilotとChatGPT使って書いてみたらやばかったです | DevelopersIO
GitHub Copilotとの単体テストがやばい。ChatGPTが書いてくれるテストもすごい。もうこれらがない時代には戻れないような気がします。 こんにちは。AWS事業本部コンサルティング部に所属している今泉(@bun76235104)です。 みなさんユニットテスト書いてますか? 昨今AIがダミーデータを書いてくれたり、ユニットテストそのものを書いてくれたりと技術の進歩がすごいですね。 私はリファクタリングが好きですが、リファクタリングをする前に絶対に必要なもの。 そうテストですね。 今回私がテストを後回しにしてしまった以下のOSSについてGitHub CopilotとChatGPTのそれぞれの力を借りながら、テストを書いてみました ※ これは以前私が始めたプロジェクトであり、OSSとして公開されているので学習に使われても問題のないコードです。 なお、GitHub Copilotの料金や
子供にマインクラフト使ったPythonプログラミングを教えようとしたらChatGPT使ったプログラミング不要な世界を体験させちゃった | DevelopersIO
子供にマインクラフト使ったPythonプログラミングを教えようとしたらChatGPT使ったプログラミング不要な世界を体験させちゃった こんにちは、会社ではCX事業本部モダンオフショア推進担当、家庭では3児の父親の藤村です。 IT業界で働く親として、子供には幼い頃からプログラミングに親しんでもらいたいと思い、時々Scratchを使った簡単なプログラミングなどを教えていたのですが、ちょっとすると「友達とゲームする時間だから止めるね!」といって、友達とのNintendo Switch使ったオンラインゲーム(FortniteやMinecraftなど)をやり始めてしまい、親としては少し残念な気持ちになっていました。 そんな時に、『マインクラフトでわくわく学ぶ!Pythonプログラミング入門』という書籍が最近発売されたことを知りました。 マインクラフトでPythonを学ぶ!これは息子にドンピシャの内容
ChatGPTに要件定義をお願いしたらハンパなかった | DevelopersIO
架空の営業管理システムを作ってもらう前提で、ChatGPTに要件定義をお願いしてみました。 実験として軽く試すレベルで始めてみたのですが、予想を超えるクオリティでしたので、一部始終を皆様にもご紹介します。 ChatGPTとのやりとり まず、ざっくりと必要な機能の洗い出しをお願いしてみました。 あっという間に必要な機能を網羅的にリストアップしてくれまた。私自身、SFA/CRMをいくつか触った経験がありますが、適切な内容だと思います。 中には、「データのインポート・エクスポート機能」のように、検討初期段階ではつい忘れそうな機能も含まれています。さらに頼んでもいないのにオススメの検討プロセスまで教えてくれました。気が利いてます。 機能ベースだと要件の妥当性が判断しにくく思ったので、画面ベースで要件定義してもらことにしました。 「図で教えて」とできないことをお願いしたところ、やんわり断りつつ、意図
AWS RDSを7日以上停止する、とても簡単な方法 | DevelopersIO
データアナリティクス事業本部の武田です。今日は、AWS RDSを7日以上停止するためのとても簡単な設定方法をご紹介します。 検証用に作ったAWS RDSを7日間以上停止したい AWS RDSは稼働時間によって課金されるシステムです。使わないのであれば停止しておきたいところですが、AWSの設定で、停止後7日間で自動的に起動されてしまいます。 この設定のため、私は毎週金曜夕方にAWSコンソールにログインして手動で停止するという面倒なことをしておりました。うっかり忘れると課金されてしまいます。 (注)今回停止させるのは検証用です。パッチ等のことは考えなくていい環境なので、長期間停止させますが、本番環境の長期間停止はパッチ適用ができなくなってしまうので、ご注意ください。 AWS RDSを7日間以上停止する手順(王道版) AWS公式サイトでは、下記のような手順で停止する方法を解説していました。 AW
CloudWatch Logs を文字列検知してログ内容をメールを送信してみた サブスクリプションフィルター版 | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 アプリケーションや OS のログファイルから特定の文字列をマッチし メール等で担当者へ通知する運用はクラウドにおいても必要です。 今回は CloudWatch Logs に出力しているログファイルから サブスクリプションを使用して特定文字列マッチを行い、SNS で通知する方法を試してみます。 2021年4月13日 更新 Lambda 関数の Python コードを修正しました。 以前のコードですと複数回イベントが発生した際に初回イベントしか通知されないと問題がありました。 ループ処理を加えることより複数回のイベントを取得できるように修正しました。 以前のコードをご利用頂いている方は大変お手数ですがコード修正をお願いします。 構成 ログの流れは以下の通りです
CloudFrontでマルチオリジンとCache Behavior設定してみた | DevelopersIO
はじめに 愛用の黒ぶちメガネのブランドは金子眼鏡の清水です。 CloudFrontにはオリジンを複数持ち、パスによって振り先を変えるマルチオリジン機能や、 パスによってキャッシュの動作を変えるCache Behavior機能があります。 具体的なイメージとして、AWS Black Belt Tech シリーズ 2016の資料を引用します。 この機能自体はわりと昔からあるものですが、 *1 今回このマルチオリジン、Cache Behaviorの機能を使用する機会がありましたので、 実際にManagement Consoleでの設定内容などをまとめてみたいと思います。 今回やってみた内容と構成 本エントリで実際にやってみたことは、以下の2つになります。 マルチオリジンでのパスによるオリジンの振り分け設定 同一オリジンでパスによる異なるキャッシュ設定の振り分け 構成と、各オリジンサーバでのファイ
奇妙なバケットポリシーからチラ見するIAMの裏側 | DevelopersIO
こんにちは。AWS事業本部のKyoです。 何をやっているのかよくわからないバケットポリシーってモヤっとしますよね。 不要ならば削除してしまいたいと思いつつ、アクセス制御に関わる部分なので触る際にはちょっと慎重になってしまうものだと思います。 最近CloudFrontのオリジンとなっていたS3バケットから奇妙なバケットポリシーを見つけました。 一見、よくあるOrigin Access Identity(以下、OAI)のアクセス許可を行ったバケットポリシーかと思いきやハイライトしてあるPrincipalの部分が見慣れてない形になっています。 復習をしておくと、OAIとは特別なCloudFrontのユーザーで、これを利用することでS3 バケットから直接ではなく、CloudFront 経由でのみファイルにアクセスできるようになります。 オリジンアクセスアイデンティティを使用して Amazon S3
CloudFormation で OAI を使った CloudFront + S3 の静的コンテンツ配信インフラを作る | DevelopersIO
よく訓練されたアップル信者、都元です。年末に Fitbit Alta HR を買いました。 睡眠や心拍がほぼ24時間体制でトラッキングされるって面白いですね。え? アップルウォッうわなにをする はじめに さて、S3 + CloudFront で静的コンテンツ配信をしよう、というのはもう今さら言うまでもない鉄板構成だと思います。かつてAWSにおける静的コンテンツ配信パターンカタログ(アンチパターン含む)でご紹介した「横綱」パターンですね。 公開サイトとして、この構成を雑に作る場合 CloudFront を介して配信するということは基本的に公開サイトとして配信するユースケースが多いと思います。 つまり、原則としてはみんな CloudFront を介してコンテンツにアクセスして欲しいのですが、最悪 S3 に直接アクセスしてコンテンツを読まれたとしてもセキュリティ上は問題ない、ということです。 こ
CodePipelineでアカウントをまたいだパイプラインを作成してみる | DevelopersIO
こんにちは。かたいなかです。 最近CodePipelineを使用していて、ステージング環境と本番環境をまたいだパイプラインなどで、アカウントをまたいだパイプラインを構築したくなることがありました。 そこで、今回はそのときに試したアカウントをまたいだパイプラインを構築する方法をご紹介します。 今回の構成 今回は以下のような構成を構築します 開発環境用のアカウントにあるCodeCommitのリポジトリでの変更を契機に本番アカウントでパイプラインを実行する構成です。CodeCommitだけ別アカウントで少し変な構成に見えますが、devブランチは開発環境にデプロイ、masterブランチは本番環境にデプロイされるようなケースの本番環境へのデプロイの部分をイメージした構成です。 CodePipeline/CodeBuildはS3に暗号化されたファイルを置くことでアーティファクトをやり取りしています。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
