こんにちは、エウレカ SRE チームの原田です。 今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。 旧来の踏み台サーバ 旧来の踏み台サーバエウレカで長く運用されていた踏み台サーバ (Gateway) は以下のようなものでした。 各開発者は、自分の秘密鍵を使って踏み台サーバへSSHを行う ( 踏み台サーバ上には各開発者の個別ユーザーおよび公開鍵が登録されている )踏み台上では、接続が許可されているSSH対象のサーバの秘密鍵がユーザー毎に配置されており、その鍵で各サーバにSSHするMySQL / Elasticsearch / Redis など、Private Subnet
SSH不要時代がくるか!?AWS Systems Manager セッションマネージャーがリリースされました! | DevelopersIO
はじめに おはようございます、加藤です。す...すごい機能がリリースされました!AWS Systems Mangerの新機能でセッションマネージャーという機能です。 一言で言えば、「EC2インスタンスにSSH・RDPで接続せずにブラウザ上からCLI操作ができる機能」です。ブラウザがSSHクライアントとして動作している訳でなく、制御はSSMによって実現されています。 セキュリティグループのインバウンド設定や踏み台ホストを作ること無く安全にEC2インスタンスへ接続できちゃいます!テンション高まる! やってみた 前提 SSMエージェントのバージョンが2.3.12以上である必要があります(2018/09/12 09:00 時点で起動したインスタンスはアップデート必要と思われます) 作成済みのインスタンスの場合はRun CommandのAWS-UpdateSSMAgentを使うなどしてバージョンアッ
こんにちは。 はてなインターン2019 システム基盤開発コースでやったことをお話していきます。 今年のシステム基盤開発コースでは、コードネームphoenixと題して、「毎日生まれ変わるセキュアな踏み台サーバ」の作成に取り組みました。 なぜつくったのか 踏み台サーバ なぜ毎日生まれ変わるのか なぜコンテナを使ったのか 踏み台サーバを更新する仕組み SSMセッションを用いたログイン CloudFormationによる自動デプロイ(未完) Terraformによる自動デプロイ 感想など なぜつくったのか まずはじめに、なぜこのような踏み台サーバの構築を行うことになったのかについて説明します。 多くの現場でもそうであると想像されるように、現状のはてなでは様々な社内サービスや、稼働中のサーバー・データベースにアクセスするために踏み台サーバを経由する必要があります。はてなには種々のサービスが存在してい
巡洋艦モスクワ撃沈の真相? 索敵に成功した驚きの理由を報じたウクライナ紙(JSF) - エキスパート - Yahoo!ニュース
2022年4月13日にウクライナ軍のネプチューン地対艦ミサイルによる攻撃を受けて翌日4月14日に沈んだロシア海軍の巡洋艦モスクワについて、ウクライナ紙「ウクラインスカ・プラウダ(Українська правда)」が目標を捉えた経緯の「真相」を記事にしています。 ウクラインスカ・プラウダはウクライナ軍関係者に数十回の取材を行い、真相を聞き出し、歴史的なネプチューン実戦発射時の写真を譲り受けて掲載しています。 2022年12月13日:ウクラインスカ・プラウダ「巡洋艦モスクワをどのように撃破したか」宇語:Потопити "Москву": невідомі деталі. Як український "Нептун" знищив флагман російського флоту ※全文版英語:It became known how exactly Russian cruiser Mo
Amazon Linux 2 のインスタンスを作成する時に必ずやっておきたい事 | DevelopersIO
はじめに こんばんは、菅野です。 Amazon Linux 2 への移行は終わりましたか? Amazon Linux 2 へ移行するには新しいインスタンスを作成する必要がありますが、その時におすすめしたい設定があります。 ※2020-07-08に「注意点 その2」を追記しました。 おすすめの設定 セッションマネージャーを利用できるようにすること メモリ使用率とディスク使用率を CloudWatch で見れるようにすること これらを設定しておくと、今後の運用が楽になります。 セッションマネージャーを使うメリット メリットとしては、SSH 接続をしなくても EC2 のコマンドが実行できるようになりますので、セキュリティグループで SSH を解放する必要が無くなりセキュリティの向上につながります。 この画像はマネジメントコンソールから EC2 にログインした時のものですが、AWS Systems
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS CLI、どこから使っていますか? ざっくり、以下4種類のどれかを使っている方が多数派ではないでしょうか。 ローカル端末 AWS内に構築した管理用EC2にSSHを利用して接続 AWS内に構築した管理用EC2にSSM(セッションマネージャ)を利用して接続 AWS CloudShell 一体どう違うのでしょうか。 状況によって良し悪しは異なる
従来アプリケーション側で必須だった機密情報の復号化が、マネージドな仕組みで実現できるようになりました。 これでついにあんな秘密やこんな秘密をコンテナに渡しやすくなりますね — ポジティブな Tori (@toricls) 2018年11月16日 先日のアップデートで、ECSコンテナ内への機密情報の受け渡しが非常に簡単になりました。 従来は機密情報の展開にアプリケーション側での処理が必要だったものが、マネージドな仕組みで実現可能となっているので、既存ECSユーザーには必見のアップデートとなっております。 参考:AWS Launches Secrets Support for Amazon Elastic Container Service あんなことやこんなこと!? ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ / 従来の方法の面倒くささ(自前で機密情報を展開していた
開発スタッフ・エンジニア募集-株式会社ライブドア
応募を考えているみなさまへ LINEヤフーは日常生活のあらゆるシーンで活躍する多種多様なサービスを作っています。 今までのキャリアを生かし、より便利なサービスを創りたいという意欲がある方、ぜひLINEヤフーでともに働きませんか。 まずは応募および応募検討のための方法・機会についての案内「応募ガイド」をご覧ください。 応募ガイドを見る
こんにちは、後藤です。今回はAWS構成における踏み台についての記事です。 データベースなどのインターネットに繋げたくないリソースに踏み台リソース経由でアクセスさせることは、セキュリティ設計としてよくある構成だと思います。 今回はその踏み台リソースに「ユーザーログイン有無を検知して自動停止する」ロジックを組み込んだ方法を共有します。 また、一般的によく用いられるのはEC2だと思いますが、今回はECS on Fargate(以降はFargateと略)を使います。しかも自動停止ロジックにLambdaを使いません!!コンテナの中で完結させます。 踏み台を設計する時に気になること そもそも踏み台について設計する際に何が気になるのでしょうか。それはOS管理負担と自動停止です。 踏み台にEC2を用いるとOSパッチ適用などの運用コストが発生します。業務系サーバでないのに心労が重なるのはなるべく避けたいとこ
Ansible使いの人はちょっと見逃せない。AWS Systems Managerで複雑な構成のAnsible-Playbookの実行が可能になりました | DevelopersIO
AWS事業本部 梶原@新福岡オフィスです。 数日前に、AWS Systems Manager で複雑な構成のAnsible-Playbookの実行がサポートされました。 https://aws.amazon.com/jp/about-aws/whats-new/2019/09/now-use-aws-systems-manager-to-execute-complex-ansible-playbooks/ 一瞬、以前からAnsible Playbookの実行はできてたじゃん。とスルーしそうになったんですが、Complexの文字が目にとまりました。 よくよく読んでみると、S3 or Github上のzip またはディレクトリ構造のPlaybookを実行できるとの記載があります。 そうです、AnsibleのBest Practicesに沿った構成のまま、EC2上でAnsible-Playboo
SREチームの長田です。 KAYAC Advent Calendar 2022の11日目の記事です。 アプリケーションから何かしらの外部サービスを利用するとき、そのサービスを利用するためのAPI Keyなり秘密鍵なりの秘密情報を保持することになります。 暗号化したものをファイルとしてアプリケーションに持たせたり、 Amazon Web Services(AWS)ならAWS Secrets Managerや AWS Systems ManagerのParameter Store(SSM Paramater Store)に保存したものを実行時に読み込んだりするでしょう。 これらの秘密情報、どこから来たのかわかりますか? どこから来た秘密情報なのか 秘密情報を使って出どころを調べられるのであれば問題はないでしょう。 # 例えばAWSのIAM User Credenntialsとか $ AWS_A
TimeTree の SRE が海外展開においてやったこと&やってないこと by【TimeTree × みてね勉強会】 グローバル対応への挑戦 〜SRE/インフラ編〜
AWS Systems Manager セッションマネージャーでSSH・SCPできるようになりました | DevelopersIO
AWS Systems Manager セッションマネージャーに待望の機能(のひとつ)がやってきました! Session Manager launches tunneling support for SSH and SCP サーバーにSSHしたり、ローカル・リモート間での SCP 越しのファイルの送受信も可能になりました。 更には SSH セッション越しにポート転送もできます。 ということで、さっそく試してみましょう! リモートの準備 SSM エージェントをインストール SSH先サーバーに 2.3.672.0 以上の SSM エージェントがインストールされている必要があります。 古いエージェントがインストールされている場合、アップデートしてください。 Manually Install SSM Agent on Amazon EC2 Linux Instances - AWS Systems
AWS System Managerセッションマネージャーがリモートホストのポートフォワードに対応しました | DevelopersIO
AWS System Managerセッションマネージャーはポートフォワードに対応しており、セキュリティグループで特定のポートをあけることなく、プライベートサブネットのWindowsサーバーにRDPするといったことが可能です。 従来は、セッション接続先のEC2インスタンス内で LISTEN しているポートしかフォワードできませんでしたが、今回のアップデートにより、リモートホストのポートも転送できるようになりました。 より具体的には、EC2インスタンスを踏み台に、VPC内のリソース、例えばRDSのホスト・ポートを転送するといったことが可能になりました。 やってみた SSM エージェントバージョンを確認 AWS Systems Managerは操作対象のインスタンスにエージェントをインストールします。 Session Managerを利用したリモートホスト・ポートフォワードの場合、バージョン
[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた | DevelopersIO
[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた SSMと連携してパッチ適用を数クリックでできるようになりました!メチャ嬉しい!脆弱性管理ツールであるFutureVulsは発見した脆弱性をその場で判断して優先度付けやタスク化できていましたが、これで全てのオペレーションがFutureVuls上で完了します。 こんにちは、臼田です。 全世界のサーバ管理をしている皆様、朗報です。 脆弱性管理ツールのFutureVulsがAWS Systems Manager(SSM)と連携する機能を発表しました! 具体的には下記2つの機能を提供しています。 SSM連携パッケージアップデート FutureVulsの画面上からパッケージのアップデートを行うことができます。 SSM連携スキャン実行 FutureVulsの画面上からサーバのスキャンを
![[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/415c1fe8d9a5dca822acdf7d92bdfdb86eae498a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F06%2Ffuturevuls_1200_630.png)
セッションマネージャー越しにSSHアクセスする構成のメリットについて考えてみました。 なにそれ? 公式ドキュメントでいうと以下内容のことです。 Step 8: (Optional) Enable SSH connections through Session Manager もう少し詳しく まず、クライアントはセッションマネージャーを使ってアクセスしたいインスタンスにアクセスします。 もう少しこの部分を具体的に説明すると、クライアントがアクセスしているのはインスタンスではなく、SSM(Systems Manager)のエンドポイントです。 そして、アクセス先インスタンス内のSSM Agentがポーリングアクセスしていて、こちらを通じてアクセスしています。 そして、この接続の先で、SSH接続し直しているイメージになります。これが今回扱う「セッションマネージャー越しにSSHアクセス」です。 わ
「癒しのヒトラーおじさん」℃-ute中島早貴の発言にネット紛糾!
4日深夜放送の『よろセン!』(テレビ東京)に出演したアイドルグループ℃-ute・中島早貴の発言が波紋を広げている。 中島は『よろセン!』内の世界の偉人を紹介するコーナー「なっきぃ的 世界偉人DEN!!」にて、ナチス・ドイツの独裁者アドルフ・ヒトラーを”偉人”として取り上げ、「ヒトラーおじさん」「癒しの演説」などと紹介。かわいらしいイラストや空想上のモノマネを披露するなどした。また、他の出演者もこのモノマネを唱和するなど、番組は和やかな雰囲気で進行した。 この放送中から、ネット上では番組に対する批判が噴出。 「親しみを込めてヒトラーおじさんと連呼するとは……」「いくらなんでも無知すぎる」「欧米だったら大問題になるぞ」など、中島の見識を疑う意見が多く書き込まれた他、「マネージャーはなぜこの発言を許したのか」「生放送ならまだしも、録画でこの企画はありえない」など、℃-uteの周辺スタッフや番組制
背景 AWSのEC2にSSH接続する際、EC2のSSHキー(pemファイル)を使用して接続することが多ですが、SSHキーの管理が面倒だったり、セキュリティ的にもSSHキーを使用するのは避けたい場合があります。 この記事ではOS別、IDE別にSSHキーを使用せずにEC2に接続する方法を紹介します。 前提条件 Session Managerが有効化されているEC2インスタンスがあること OpenSSHがインストールされていること OpenSSHのインストール方法: Windows: Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*' 管理者権限でPowerShellを起動することが必要です。詳細はこちら Mac/Linux: brew install openssh 事前準備 - Remote拡張機能のセットアッ
任意のパラメータを格納できる EC2 Systems Manager「パラメータストア」を試したら便利だった - kakakakakku blog
re:Invent 2016 で発表されたけど,オンプレ関連だと勝手に思い込んでいて,今まで試していなかった Amazon EC2 Systems Manager の中に「パラメータストア」というサービスがあり,試してみたらこれが非常に便利だった.簡単に言うと,任意のパラメータをパラメータストアに格納することができて,アプリケーションと環境変数を完全に切り離すことができてしまうというもの.The Twelve-Factor App を実現できるぞ! Amazon EC2 Systems Manager (Amazon EC2 とオンプレミスシステムの設定と管理) | AWS パラメータストアとは? 任意のパラメータをパラメータストアに格納することができる データタイプは3種類ある String String List Secure String (パラメータを KMS で暗号化して格納する
DynamoDB + Lambda + SSM でテストサーバーをポコポコつくる仕組み - KAYAC engineers' blog
はじめまして。カヤック技術部の杉山です。 主にクライアントワークでサービスを開発しています。 今回は、クライアントワークで運用している、テストサイトの仕組みに関して書きます。 「テストサイト」の概要 クライアントワークでは、日々たくさんの案件を開発しています。 それぞれの案件では、多くの場合、Webサイトもしくは、WebAPIを公開するためのサーバーが必要になります。 実際の公開時には、案件ごとに専用のクラウドコンピューティングサービスを契約し、セットアップすることになりますが、 利用して良いサービスの確認が必要であったり、サービスの契約まで時間がかかったりするため、すぐには決まらない場合があります。そのため、開発時や検証時には、カヤック側でテストサイトを用意し、確認やプレビューを行っています。 さらに以下のような要望にも対応する必要があります。 出来るだけ時間をかけず開発環境を用意したい
AWS Systems Manager(SSM) の数多い機能群を攻略するための図を書いてみた 2021 | DevelopersIO
まずまとめ できた図がこちら AWS Systems Manager(SSM) を理解しようとする上で厄介なのは、 「インスタンス管理(左部分)」で使う機能群、それぞれに関連性があること だと思っています。 なので以降の説明は、 図の左半分 インスタンス管理 の説明が大半です。 さっそく インスタンス管理で使える機能を上から舐めていきましょう。 #1 なにはともあれマネージドインスタンス なにはともあれ EC2インスタンスを マネージドインスタンス 化するところから始まります。 マネージドインスタンスにするために、ざっくりいうと 3つの作業が必要です。 SSM エージェント をインストールすること 適切なIAMインスタンスプロファイル※ をアタッチしていること SSM関連エンドポイント※ へのアウトバウンド方向の通信ができること ※ 詳細は以下参照 EC2 インスタンスが AWS Syst
踏み台サーバー、SSMセッションマネージャー、EC2 Instance Connect Endpoint サービスを使用したEC2インスタンスへの接続方法と特徴を比較してみた - NRIネットコムBlog
はじめに 踏み台サーバー経由で接続する方法 ①セキュリティグループを作成する ②パブリックサブネットに踏み台サーバを作成する ③プライベートサブネットにEC2インスタンスを作成する ④踏み台サーバーにプライベートサブネットに配置されたEC2インスタンスのキーペアをコピーする ⑤踏み台サーバーにアクセスする ⑥踏み台サーバーからプライベートサブネットにあるEC2インスタンスにアクセスする SSMセッションマネージャー経由で接続する方法 VPCエンドポイントを使用した方法 ①セキュリティグループとIAMロールを作成する ②プライベートサブネットにEC2インスタンスを作成する ③VPCエンドポイントを作成する ④SSMセッションマネージャー経由でEC2インスタンスに接続する NATゲートウェイを使用した方法 ①IAMロールを作成する ②プライベートサブネットにEC2インスタンスを作成する ③NA
過去1年の間にEC2インスタンスにシェルアクセスするAWSサービスが3つもリリースされました。 AWS Systems Manager Session Manager(2018/09/11) EC2 Instance Connect(2019/06/27) AWS Systems Manager Session Manager(SSHトンネリング対応)(2019/07/09) 機能が似通っていており、違いがわかりにくいため、ざっと整理しました。 シェルアクセスの比較表 サービス 素のSSH Systems Manager Session Manager Systems Manager Session Manager(SSH) EC2 Instance Connect
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか?比較 - Qiita
AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか?比較AWSSecurityIAMSSM AWSのアクセスキー/シークレットアクセスキーのコード書き込みは危険 GitHubにAccess Key/Secret Access Keyを含むコードをPushしてしまい、 公開されたキーで犯罪者にAWS環境へのアクセスを許してしまい、 ハイスペックインスタンスタイプ(料金が高い)のインスタンスを 仮想通貨マイニング等に利用されてしまい、 請求書を見て青ざめる、 というインシデントが定期的に発生しています。 今年の2月にその危険性を検証された方がおられ、 「git pushから13分でご利用開始」とのこと。 GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー! - Qiita GitHubからアクセスキーを抽出するスクレ
歴史・年表でみるAWSサービス(AWS Systems Manager編) -機能一覧・概要・アップデートのまとめ・SSM入門- - NRIネットコムBlog
小西秀和です。 前回は「歴史・年表でみるAWSサービス(Amazon S3編) -単なるストレージではない機能・役割と料金の変遷-」の記事でAmazon S3の歴史や料金の変遷などを紹介しました。 今回は数年の間に名称変更や様々な機能が統合されてきたAWS Systems Manager(SSM)について歴史年表を作成してみました。 ただ、前回とは異なり、今回は料金の変遷や細かいアップデートは省略してSSMの主要な機能だけに着目しています。 また、本記事執筆時点の「現在のAWS Systems Managerの機能一覧と概要」もまとめました。 今回の記事の内容は次のような構成になっています。 AWS Systems Manager歴史年表の作成経緯と方法 AWS Systems Manager歴史年表(2014年10月29日~2021年12月31日までのアップデート) AWS System
PCI DSS対応 AWS 上の踏み台サーバーでの操作ログ取得、MFA、アイドルタイムアウトを実現 | DevelopersIO
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
待望!Amazon ECSのコンテナにログインできるAmazon ECS Execを試してみた - SMARTCAMP Engineer Blog
スマートキャンプ、エンジニアの入山です。 前回のブログにも書きましたが、弊社では昨年末から既存のEC2からECS/Fargateへのインフラ移行作業を実施しています。 EC2からECSへ移行する上では、特に運用面が大きく変わります。利便性やメンバーへの教育コストを考慮すると、今までEC2でやっていた運用をECSでどう上手く代替するかが力の入れ所だと思います。 一ヶ月前に弊社インターンの関口が書いた以下の記事も、既存運用の置き換えやデバッグ時の利便性向上を目的とした手段の1つで、この記事を執筆した時点ではECS/Fargate上のコンテナに対するAWS公式のログイン手段はありませんでした。 tech.smartcamp.co.jp 弊社のECS移行も稼働直前の佳境を迎えている最中ですが、この度Amazon ECS Execがリリースされ、待ち望んでいたECS/Fargate上のコンテナに対す
タスクIAMロールとパラメータストアを利用したAmazon ECSアプリケーションの秘密情報管理 | Amazon Web Services ブログ
Amazon Web Services ブログ タスクIAMロールとパラメータストアを利用したAmazon ECSアプリケーションの秘密情報管理 同僚のStas Vonholskyが、Amazon ECSアプリケーションの秘密情報管理に関する素晴らしいブログを寄稿してくれました。 —– コンテナ化されたアプリケーションとマイクロサービス指向のアーキテクチャが普及するにつれて、アプリケーションデータベースにアクセスするためのパスワードなどの秘密情報を管理することは、より困難かつ重要になっています。 いくつか課題の例を挙げます: dev、test、prodなどのさまざまなアクセスパターンをコンテナ環境全体でサポートしたい ホストレベルではなくコンテナ/アプリケーションレベルで秘密情報へのアクセスを隔離したい サービスとしても、他サービスのクライアントとしても、アクセスが必要である疎結合なサービ
[アップデート] 実行中のコンテナに乗り込んでコマンドを実行できる「ECS Exec」が公開されました | DevelopersIO
もう、コンテナ調査のためにEC2に乗り込む必要は無い! もう、Fargateだからコンテナの状況が見れないと悩むこともない! ECS開発者待望の機能がリリースされました! みなさん、こんにちは! AWS事業本部の青柳@福岡オフィスです。 Amazon Elastic Container Service (ECS) において、実行中のコンテナに乗り込んでコマンドを実行できる機能「ECS Exec」が公開されました。 Amazon ECS now allows you to execute commands in a container running on Amazon EC2 or AWS Fargate どんなものなのか、早速使ってみたいと思います。 これまでの方法 デバッグやトラブルシューティングを行うために、実行中のコンテナに乗り込んでコマンドを実行したいという時があると思います。
![[アップデート] 実行中のコンテナに乗り込んでコマンドを実行できる「ECS Exec」が公開されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f10e4b6d55aa4fe987e9584f7b2febd50e43f158/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-elastic-container-service.png)
どうも。小林です。 みなさん、自動化してますか? 私の課では特定の顧客のシステムを多数運用しています。 かなり多くのシステムがあり、顧客側の担当者も異なるため、弊社側でも複数のチームを組んで手分けしてシステムを担当しています。 チームも顧客担当者も異なるとなれば、当然運用のやり方はシステムごとに変わってきます。その一方で統一できる部分は統一しておかないと全体の統制は効きづらくなってしまいます。 そこで「標準化チーム」を発足し、チーム間で共用するシステムのアカウント管理やその申請ルール、顧客報告やメンバーの勤怠管理といったものの標準化を進めています。 標準化の恩恵のひとつとして、「作業が単純化できて自動化しやすくなる」という点が挙げられます。 例えばアカウント発行の申請フォーマットを統一すると、「フォーマットにしたがって記載されたテキストをバッチに読み込ませてアカウントを自動的に発行する」と
セキュリティグループのSSH全開放をAWS Configで自動修復したら3分くらいで直ったからみんな使ってほしい件 | DevelopersIO
こんにちは、臼田です。 皆さん、自動化してますか?(挨拶 先日AWS Config Rulesでコンプライアンスに非準拠となった時に自動修復ができるようになりました。 もともとはLambdaを経由して自動修復が可能でしたが、今回はConfig Rulesで違反を検知してそのままSSM Automationを実行できるのでよりスマートに、より適切になった感じです。詳細は下記をご確認下さい。 [アップデート] AWS Config Rule 非準拠リソースを自動修復する機能が追加になりました! で、今回はこの機能を利用してSSHを0.0.0.0/0で全開放してしまったセキュリティグループを自動的に修復するという事をやってみました! タイトルに結論を書きましたが、3分くらいで自動的に修復されましたのでぜひ活用してほしいです。 SSHを全開放することは万死に値するので、もうすべてのAWSユーザはこ
検証・本番環境を考慮した EC2インスタンスへのパッチ適用環境を作ってみる【SSMステートマネージャ編】 | DevelopersIO
設計まとめ 改めて 実現したい環境と、その解決案をまとめます 原則、全インスタンスを 重要パッチを適用させている状態 としたい (ASGインスタンスも含む) → State Manager 関連付けを活用 定期的にパッチが当たるようにしたい → State Manager 関連付けを活用 事前にどのようなパッチが当たるかを判断するために、「スキャンのみ」も実施できるようにしたい → SCAN用関連付け、INSTALL用関連付けを作成。 PatchAssociationTask タグで分類できるようにする 検証環境/本番環境でパッチ適用タイミングをずらいしたい → STG用ベースライン、PRD用ベースラインを作成。 Patch Group タグで分類できるようにする 構築 Patch Manager ベースライン 以下のような CloudFormation テンプレートを作成して、展開しまし
【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO
想定シナリオ 想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。 新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して 脆弱性診断ツールが導入されました。 そして、脆弱性診断で指摘された重要度CRITICAL の指摘事項は 必ず対応しないといけないと定められています。 ある日 特定のEC2インスタンスに対して 重要度CRITICAL の脆弱性 (CVE-XXXX-XXXX ※)が検出されました。 セキュリティエンジニアであるあなたは、脆弱性が検知された EC2インスタンスに対して セキュリティパッチを当てる責任があります。 まずは検証環境のEC2インスタンスを使って、 効率よくセキュリティパッチを当てる方法を探しはじめました。 ※C
AWS Startup Tech Meetup Online #3 の登壇資料です。 ※映像はこちら 【p3】CodeZine の記事 https://codezine.jp/article/detail/12714 【p12】SSM セッションマネージャーのデモ https://www.youtube.com/watch?v=cc7jLW0FzzI 【p22】IAM 権限の設定例 https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/getting-started-restrict-access-examples.html 【p22】AWS CLI プラグイン https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-
Lambdaを使ってS3にアップロードされたファイルを自動的にEC2(Windows)内にダウンロード(同期)してみる | DevelopersIO
どうも!大阪オフィスの西村祐二です。 S3にアップロードされたファイルをEC2内に自動的にダウンロードしたいと思うことはよくあると思います。 自動化する方法はいろいろあると思いますが、 今回はLambdaとSSM、AWS CLIを使って自動化してみたいと思います。 さっそくやってみましょう。 構成図 今回、想定する構成が下記の図になります。 S3にファイルがアップロードされたら、LambdaからSSMを実行し、 EC2(Windows)にてAWSCLIのS3 Syncコマンドを実行します。 この構成の利点 私が思うこの構成の利点としては、 ・EC2側はAWS CLI設定とSSM Agentのインストールだけで済み、今後の運用不可が軽減されそう ・Lambdaの実装がSSMを実行する部分のみになる はじめはEC2にFTPサーバをたてて、LambdaでS3からファイルを取得し、EC2にコピーし
AWS上のパスワードちゃんと管理できてますか?AWSパラメータストアで秘密情報を安全に管理する方法
エンジニアの@macs_6です。 AWS上で稼働中のサービスをスケールアウトする際に、DBのパスワード等のセキュアな設定をどこに保存しておくか困ったことはありませんか? HerokuやKubernetesであれば以下の機能があります。 Heroku: Config Vars Kubernetes: Secrets AWSではどこで管理すればいいのでしょうか? KubernetesをAWS上に構築するサンプルを見てみるとSecretsの裏側にはパラメータストアが利用されています。 そこでこのブログではAWS ECS上でのRedash構築を例にして、パラメータストアとKMSを使った秘密情報を含んだ環境変数の管理方法について紹介します。 現在のECS環境については、“会社の本番環境をDocker(ECS)に置き換えるために準備したこと気づいたこと”で紹介しているので、そちらを参照して下さい。 目
「柔らかな」システム思考のすすめ
[1] SSMとは [1-1] SSMに関心が集まっているわけ 最近、SSMについて質問されることが多くなりました。2003年11月に来日したSSMの提唱者 ピーター・チェックランド(Peter Checkland)教授の講演がその引き金になっているようです。SSMとはSoft System Methodologyの頭文字で、Soft(柔軟)にシステム思考(システムズアプローチ)をすることで問題の解決を図ろうとする方法論のことです。 システムエンジニアがSSMに関心を寄せる理由は大きく2つ考えられます。 1つは、最近のソフトウェア開発現場では、モデル指向の開発プロセスが採用されるようになってきているため、上流工程でSSMを適用してそのモデルを後続のシステム開発工程のモデルと連動させられないかという期待が持たれているためです。もう1つは、ソフトウェアを開発するにあたって、ビジネスゴール(進む
EC2 Systems Manager のパラメータストアを利用したアプリケーション環境設定の管理 | DevelopersIO
こんにちは、藤本です。 AWS re:Invent 2016 で EC2 Systems Manager がリリースされ、EC2 の運用がより便利になりました。今回はその一機能のパラメータストアで実際の開発現場を想定して、アプリケーションの環境設定を管理する方法を考えてみました。 アプリケーションの環境設定管理 アプリケーションが動作する上で環境に依存する設定は多くの場合、存在します。例えば、Web アプリケーションであれば、データベース、キャッシュシステム、マイクロサービス化が増えてきている昨今では他マイクロサービスコンポーネントなど、多くの他システムとの接続情報があります。データベースへ接続するにはデータベースのエンドポイント、ポート番号、ユーザ名、パスワード、データベース名、キャッシュシステムへ接続するにはエンドポイントの情報が必要となります。これらはアプリケーションが動作する環境に
AWS Systems Manager と VS Code Remote SSH を組み合わせて快適なリモート開発環境を作る方法 | DevelopersIO
AWS Systems Manager と VS Code Remote SSH を組み合わせて快適なリモート開発環境を作る方法 しばたです。 前回の記事で.NET on AWSの開発環境には「EC2でVS Code Remote Developmentを使う」のがベストと言いました。 本記事ではその具体的な手順を解説します。 VS Code Remote概要 Visual Studio Code(VS Code)はそれ自身がサーバーとして動作し、クライアントからリモート上にあるVS Codeを使ったリモート開発が可能です。 VS Code Remote Development VS Codeのリモート接続は大別して以下の三種の方式があります。 Dev Containers : ホストからコンテナ環境へ接続 Remote SSH : クライアントからリモート環境へSSH接続 Remote
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
踏み台EC2を廃止してSession Manager接続に置き換えました
毎日生まれ変わるセキュアな踏み台サーバ - Hatena Developer Blog
AWSのCLI作業はどこで行う? 安全に管理するパターンとメリデメ集 | DevelopersIO
ECSでごっつ簡単に機密情報を環境変数に展開できるようになりました! | DevelopersIO
踏み台にはECSコンテナを。~ログイン有無を検知して自動停止させる~ - NRIネットコムBlog
秘密情報には出どころも書いてくれ!頼む! - KAYAC engineers' blog
1日でSSHをやめることができた話 #jawsdays
セッションマネージャー越しにSSHアクセスすると何が嬉しいのか | DevelopersIO
SSHキーを使わずにVSCode/Jetbrains系IDEからEC2に接続する方法
EC2インスタンスへのシェルアクセスサービスを雑にまとめてみた | DevelopersIO
AWS Black Belt Online Seminar 2016 Amazon EC2 Container Service
SSMって20種類あんねん 〜Run Commandで定期バッチを起動する〜 - NRIネットコムBlog
AWS Systems Manager で実現する SSH レスでセキュアなクラウド運用