AWS WAFで特定のリクエストヘッダーのみを許可するアクセス制限を試してみた | DevelopersIO
AWS WAFを使用したアクセス制限では以下のようなIPによる制限がよく使われるのですが、IPが固定ではない環境からアクセス制限をかけたい、というケースを想定して「リクエストヘッダーに特定の値が含まれていれば許可する」というパターンでアクセス制限を試してみました。 イメージは独自のリクエストヘッダーをあらかじめ付与した状態でアクセスすると、CloudFrontにアクセスでき、それ以外の人はWAFでブロックされるという感じです。 やってみる S3をオリジンとしたCloudFrontが構築積みの前提で進めます。S3にはテスト用のHTMLファイルを格納してあります。制限していない状態でCloudFrontへアクセスすると以下のようなテストページが表示されるようになっています。 Web ACL作成 AWSコンソールから WAF &Shield > Web ACLs > Create web ACL
【2024年】AWSアカウントの rootユーザーでしかできないことをまとめてみた | DevelopersIO
こんにちは!AWS事業本部のおつまみです。 みなさん、rootユーザーでしかできない操作を知りたいと思ったことはありますか?私はあります。 rootユーザーとは、AWSアカウントを作成した際に自動的に付与される最も権限の高いユーザーアカウントのことです。 rootユーザーには特別な権限があり、一般ユーザーアカウント(IAMユーザー)ではできない操作が可能です。 しかし、rootユーザーだと非常に強い権限を持っているので、基本的にAWSを利用する際はIAMユーザーを利用することがベストプラクティスとされています。 AWS アカウントのルートユーザーのベストプラクティス - AWS Identity and Access Management rootユーザーの認証情報が必要なタスクがある場合を除き、AWS アカウントのrootユーザーにはアクセスしないことを強くお勧めします。 また弊社AWS
CloudFrontのアクセスログ保存用S3バケットにはACL有効化が必要なので注意しよう | DevelopersIO
はじめに 清水です。先日、Amazon S3のACL無効化が推奨されたことで、S3のサーバアクセスログ記録保存用のS3バケットの権限設定においてもACLではなくバケットポリシーを使用するようになっていた、というブログを書きました。 ACL無効化が推奨されたことでS3のサーバアクセスログ記録のためのアクセス許可はどうなったのか!?確認してみた | DevelopersIO re:Invent 2021期間中に発表されたS3のACL無効化機能に伴う変更です。(【アップデート】S3でACLを無効化できるようになりました #reinvent | DevelopersIO)上記エントリではS3のサーバアクセスログ記録保存用となるS3バケットについて確認しましたが、CloudFrontのアクセスログ記録用となるS3バケットについて、ACL無効化の影響(ACLを無効にしたS3バケットをCloudFron
Gmailで問題が生じる神奈川県立高校ネット出願システムの被疑箇所を調査、改善策を検討してみた | DevelopersIO
神奈川県高校入試のネット出願システムの不具合影響を受けた利用者として、Gmailを扱えないメール環境について外部から調査しました。 出願システムで独自実装されたメールシステムの不完全な実装と、メール関連のDNSの設定不備が原因であった可能性が高いと推測します。 2024年の神奈川県立高校入試出願システムの不具合の影響を受け、@gmail.comのメールアドレス を利用出来なかった一利用者として、 インターネットから参照可能な範囲で、出願システムのメール環境について調査。 被疑箇所の推定と、状況を改善する対策について検討する機会がありましたので、紹介させて頂きます。 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について MX設定 「mail.shutsugankanagawa.jp」のMXレコードを確認しました。 1/18(21時) $ dig mx mail.shut
Auroraのパラメータグループの優先順位について実験してみた | DevelopersIO
2020/03/03 実験条件を見直し、加筆修正を行いました。 こんにちは。AWS事業本部のKyoです。 AuroraのDB パラメータグループおよび DB クラスターパラメータグループについて、どちらが優先されるのかイメージしづらかったので、実験してみました。 Auroraのパラメータグループとは Auroraのパラメータグループには以下の二種類が存在します。 DB クラスターパラメータグループ DB パラメータグループ 公式ドキュメントによる定義は以下です。 DB クラスターパラメータグループ DB クラスターパラメータグループのパラメータは、DB クラスター内のすべての DB インスタンスに適用されます。データは、Aurora 共有ストレージサブシステムに保存されます。このため、テーブルデータの物理レイアウトに関連するすべてのパラメータは、Aurora クラスター内のすべての DB
[アップデート] Amazon Aurora MySQL でリードレプリカの書き込み転送機能がサポートされたので使ってみた | DevelopersIO
[アップデート] Amazon Aurora MySQL でリードレプリカの書き込み転送機能がサポートされたので使ってみた いわさです。 Aurora グローバルデータベースでは書き込み転送機能があります。 リーダーエンドポイントのみのセカンダリリージョンで書き込み操作を行うと、プライマリリージョンへ書き込みを転送してくれる機能です。 このグローバルデータベースでサポートされていた機能が単一リージョンの Aurora クラスターでも利用できるようになりました。 この機能を有効化することで、クライアントからリードレプリカに対して書き込み操作を行った場合に、リーダーインスタンスがライターインスタンスに書き込み操作を転送してくれます。 従来リードレプリカを導入する場合はクライアントアプリケーション側でライターエンドポイントとリーダーエンドポイントを管理しなければいけませんでした。 いくつか制限事
![[アップデート] Amazon Aurora MySQL でリードレプリカの書き込み転送機能がサポートされたので使ってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0daaf3649414b6f27679779d9a4b12e219c67548/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-aurora.png)
バージニア北部リージョンで障害が発生するとヒヤヒヤする理由 | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 日本時間 2023年06月14日 午前4時18分~午前7時42分 にバージニア北部リージョン(us-east-1)の複数のサービスにおいてエラーレートの上昇および遅延が発生していました。 AWS Health Dashboard に記載されたいた情報は以下の通りです。 Jun 13 3:42 PM PDT Between 11:49 AM PDT and 3:37 PM PDT, we experienced increased error rates and latencies for multiple AWS Services in the US-EAST-1 Region. Our engineering teams were immediately
[アップデート]パブリック IP アドレスなしで、EC2インスタンスにSSH接続できる EC2 Instance Connect Endpointがリリースしました | DevelopersIO
EIC エンドポイント作成 EIC エンドポイントを作成します。 VPCエンドポイントの作成から、サービスカテゴリでEC2 Instance Connect Endpointを選択します。 サブネットは、プライベートサブネットを選択します。 Preserve Client IPには、チェックを入れずに、エンドポイントを作成します Preserve Client IPとは Preserve Client IP チェックをいれると、EIC エンドポイントは、ユーザーのクライアントIPを保持できます。 クライアントIPを保持すると、EC2に接続時、ユーザーのクライアントの IP アドレスがソースとして使用されます クライアントIPを保持しない場合、EC2に接続時、プライベートサブネットにあるEC2 Instance Connect エンドポイントのElastic Network Interfac
![[アップデート]パブリック IP アドレスなしで、EC2インスタンスにSSH接続できる EC2 Instance Connect Endpointがリリースしました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b78e1b00fb2da19e9cae6ca64621e34b0d3796b7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-ec2.png)
[アップデート]AWS Lambdaでストリーミングな応答が可能になりました | DevelopersIO
初めに 昨日のアップデートでAWS Lambdaは実行結果の返却値を一括の応答ではなくストリーミングな徐々に応答するようなことが可能となりました。 いざ日本語に直そうとすると微妙に難しいタイトルで実際の公式の翻訳がどうなるか次第では少しタイトルを調整するかもしれません。 これまでの方式ではLambdaの機能としては処理完了まで返却値を返すことができず、そういった機能が必要な場合はWebSocket等別の手段をユーザ側で実装する必要がありました。 今回のアップデートではTransfer-Encoding: chunked形式による返却に対応しHTTP/1.1の仕様の範囲内で徐々に値を返却できるようになりました。 またこの方式は応答サイズの上限が従来の6MBではなく20MBまでの対応となるためより大きなレスポンスを返すことができるようです。 Configuring a Lambda funct
![[アップデート]AWS Lambdaでストリーミングな応答が可能になりました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/4ea229c5864909168e5ad0a78416f2ea552c21f1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-lambda.png)
オンプレミスからAWSへ移行した後の『次の一歩』がよくわかる「AWSコスト最適化ガイドブック」 | DevelopersIO
また1冊、この世に名著が生まれました。AWSを運用中のすべてのユーザー企業の方に読んでいただきたいです。 みなさん、こんにちは。 明るい笑顔がトレードマークの芦沢(@ashi_ssan)です。 『AWSコスト最適化ガイドブック』と題するもはやタイトルだけで万人が読みたくなりそうな本が出版されていたので、購入して即読了しました。 興奮のあまり勢いだけで書評を書いたので、購入を検討している方の参考になればと思いブログ化してみました。 書籍の概要と著者について まずは出版元のKADOKAWAのWebサイトから概要を確認していきます。 利用費用の削減から体制整備・運用プロセス構築までAWSがすべて公開! 本書は、DXを効率的で持続可能にするためのクラウド最適化の勘所をお伝えすることを目的としています。AWSの個々のサービスの特徴やクラウド利用費用の削減アプローチ、AWS コスト管理に係るサービスの
【初心者必見】ChatGPTで知っておくと役立つ便利な使い方5選を紹介 | DevelopersIO
ChatGPTを使うときに「これ知っておくと便利じゃね?」という知識をまとめてみました。 特にITが苦手という初心者の方にも「ChatGPTってこういう使い方もできるんだ!!」と知っていただけると幸いです。 創造力が必要な質問も答えてくれる 最近、とある内容で話をしようと思い、そのタイトルづけで悩んでいた私。 「内容は決まっているのだが、タイトルは決まっていない。何かキャッチーな内容で考えてほしいな。」と思い、ChatGPTに聞くと以下の返事が返ってきました。 このようにクリエイティブ性が求められる答えも瞬時に答えてくれるのがChatGPTです。 「自分の代わりに考えてくれる機能である」というのを前提知識として持っておくと、使い方の幅も広がりやすいのかなと感じてます。 出してくれた答えにアレンジを加えることが可能 一度提示された回答に追加で指示をすることで"より精度の高い回答を出させる"と
Amazon RDS で100年有効な新しいCAが利用可能になりました | DevelopersIO
Amazon RDS で、セキュアなDB通信を行う際 に利用する認証局 (CA) として、 有効期限が40年弱(rds-ca-rsa2048-g1)、100年弱(rds-ca-rsa4096-g1, rds-ca-ecc384-g1) のCAが、2023年1月13日のアップデートで利用可能になりました。 Amazon RDS now supports new SSL/TLS certificates and certificate controls 今回、利用可能となった新しいCAを試す機会がありましたので、紹介させていただきます。 設定 DBエンジンバージョンは「MySQL 8.0.28」を利用しました。 認証機関として rds-ca-2019 (デフォルト) 以外の選択が可能になりました。 rds-ca-2019 (デフォルト) rds-ca-ecc384-g1 rds-ca-rsa4
【衝撃】AWSのRDSがデータを失わないBlue/Greenデプロイに対応しました #reinvent | DevelopersIO
「最近は、データベースもB/Gデプロイできるらしいよ?」 「そりゃそうやろ。B/Gデプロイなんて、最近当たり前……… へ?DBが?無理でしょ?ほぇ?どういうこと?」 最初アップデートのタイトルを見たときの、ハマコーの率直な感想です。 Blue/Greenデプロイは、現行バージョンのトラフィックを活かしたまま新バージョンを動作確認し、問題なければ新バージョンをリリースするという、最近の安全なデプロイの概念において無くてはならないものです。 同時に新旧バージョンを稼働させるため、基本的にはステートレスなアプリケーション・サーバーにおいて利用するものという固定概念があったのですが、それをデータベースに対して既存のAWSの技術を組み合わせつつAWSらしいマネージドな仕組みで解決しようという、意欲的なリリースです。制約事項もそれなりにあるので、皆さんの運用ワークロードに当てはまるかは、事前の検証が必
[新機能] リージョン・サービスを横断してリソースを検索できる AWS Resource Explorer が使えるようになっていました | DevelopersIO
コンバンハ、千葉(幸)です。 何か見慣れないサービスが使えるようになっていました!!! ちなみにドキュメントはこちら。 What is AWS Resource Explorer? - AWS Resource Explorer 2022/11/7 にドキュメントがリリースされたようで、ホヤホヤです。速報性重視で触ってみます。 2022/11/9 追記 アップデートのアナウンスが出ました。 Announcing AWS Resource Explorer AWS Blog にもなっていますね。 AWS Resource Explorer の有効化 冒頭の画面からオンを押下すると、セットアップの画面に移ります。 高速セットアップか高度なセットアップが選択できますが、今回は高速セットアップを選択します。 「アグリゲータインデックス」をどのリージョンに作成するかを選択します。「アグリゲータインデ
![[新機能] リージョン・サービスを横断してリソースを検索できる AWS Resource Explorer が使えるようになっていました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/46ad933779d759146e85686aa64fe5635983d564/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-management-console.png)
Amazon S3のイベント通知は「稀に失われる」から「少なくとも1回配信」になっていました | DevelopersIO
こんにちは。サービス部の武田です。Amazon S3 イベント通知は、以前は「稀に失われる」と書かれていましたが現在は「少なくとも1回配信」となっています。ドキュメントの更新履歴を追ってみました。 こんにちは。サービス部の武田です。 AWSではサービスのアップデートなどによって、それまでの常識やベストプラクティスは日々変化します。Amazon S3には イベント通知 という機能があり、オブジェクト作成や削除などをトリガーとして、Lambda関数などを実行できます。 さてこのイベント通知ですが、「たまに抜けることがある」という仕様上の注意がかつて存在しており、頭を抱えた開発者も多いのではないでしょうか。とはいえそれが常識でした。「かつて」と書いたように、実は現在の仕様ではその部分は削除され、代わりに At least once(少なくとも1回配信) となっています。 最近まで知らなかったので
くらめその情シス:会社のMacをjamfでリモート管理してみた | DevelopersIO
はじめに こんにちは。 情シス担当、アノテーションの畠山です。 これまで、jamfの導入や設定について書いてきましたが、今回はそれらの運用についても書いてみたいと思います。 運用と一口に言っても、会社で使用するMacには必要なことが色々とあります。 特にセキュリティに関しては、ウィルス対策ソフトや資産管理、使用するデバイスの使用期間等さまざまです。 今回当社で導入したjamfはそれらの情報の一部を管理して、現在どのような状態で使用されているかを管理することが可能です。 もちろん、MDM(Mobile Device Management)として、リモートからのワイプ(完全消去)も可能となっています。 jamfを導入した運用について、もう少し詳しく書いていきます。 できること jamfは、macOSおよびiOSデバイスをリモートで管理するためのクラウドサービスです。 なお、Apple製品を導入
CloudFrontとS3で作成する静的サイト構成の私的まとめ | DevelopersIO
しばたです。 以前の記事でも触れた様にCloudFrontとS3を使って静的サイトを作る構成に対する理解にあいまいな部分があったので改めてまとめてみました。 特に目新しい話も無く知っている人には当たり前の内容かもしれませんが、まあ、自分自身の理解を整理するために記事にしていきます。 1. S3静的ウェブサイトを使うパターン はじめの構成は「S3静的ウェブサイト」を使ったパターンです。 S3にはバケットの内容を静的ウェブサイトとしてホストできる静的ウェブサイトホスティングの機能があります。 この機能ではHTTPのみ利用可能なためHTTPSを使う場合はCloudFrontと組み合わせる必要があります。 S3静的ウェブサイトを使うにはバケット内のコンテンツを公開する必要があり、S3バケットはパブリックアクセス可能にする必要があります。 また、必ずHTTPのWEBサイトが公開されることになるためユ
AWSのマルチアカウント戦略が難しい! | DevelopersIO
今日(2022/07/07)は弊社、Classmethodの創立記念日ということで、 AWSのマルチアカウント戦略で思ったこと をそのまま書き殴ってみました。 共感するところや他に苦労しているところ思いついた方は Twitter 等で共有いただけると嬉しいです! 思いつく限り書いた結果の目次がこちらです。 「アカウントをどう分割するのか」問題 「AWS Control Tower を活用したほうがいいのか」問題 「ユーザー管理どうするのか」問題 「最小権限とは言っても」問題 「管理アカウントでの作業が怖い」問題 「OU/SCP周りの更新が怖い」問題 「セキュリティをどう向上するか」問題 「アカウント数のスケールにどう対応するのか」問題 「ベースラインの構築/管理をどうするか」問題 「ログ集約するのか/しないのか」問題 「どのアカウントかぱっと見て分からない」問題 「Security Hub
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS コストの最適化を検討する時、最初にチェックしたい定番の項目をまとめてみた(2023年夏版) | DevelopersIO
DevelopersIOブログ基盤を北米に移設して, AWSコストを33%削減してみた | DevelopersIO
