GMO Research Tech Conference 2023 で発表しました。

Amazon Aurora ☘️ はじめに 本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。 最新の情報については、AWS 公式ドキュメントをご参照ください。 👀 Contents Aurora について知るには Aurora について知るには(その他) Amazon Aurora とは サポートされているデータベースエンジン Aurora の基本的な構成 SLA 可用性 単一構成 レプリカ構成 レプリカの昇格 インスタンスタイプ スケールアップ/ダウン ストレージの自動スケーリング Aurora のログ Serverless Global Database Blue/Green Deployments(New: 2022-11-27) 📖 まとめ Aurora につい

もう2度とググりたくない こんにちは！AWS事業本部のおつまみです。 皆さん「VPCエンドポイントとAWS PrivateLinkの違い」を自分の言葉で説明できますか？私は時折、記憶喪失になり違いを忘れてしまいます。 もう2度とググりたくないという思いがあり、今回は違いをまとめました。 実際にハンズオンできるよう初心者向けの内容となっているため、VPCエンドポイントやPrivateLinkの知識が全くない方のお役に立てればと思います！ 結論 VPCエンドポイント VPCと他サービス間でプライベートな接続を提供するコンポーネント サービス利用側のVPC内で作成 AWS PrivateLink プライベート接続を介したサービスを提供するためのサービス 以下の2つがセットとなり、AWS PrivateLinkが提供されている。 - VPCエンドポイント（サービス利用側のVPC内で作成） - VP

はじめに IAMのPassRole、使ったことありますか？何がなんだかわからない方も、その名前からだいたい想像できると思います。 IAMのPassRoleとはその名のとおりIAMロールをパス(Pass)することです。ただし、このパスの対象は人ではなくAWSのサービスです。 PassRoleによって認証情報をセキュアにAWSサービスに渡すことができますが、一方で丁寧に使用しないとセキュリティリスクに繋がってしまいます。本記事ではそんなIAMのパスロールとセキュリティについて解説したいと思います。 IAMのPassRoleとは IAMのPassRoleは、IAMポリシーの記述の中で iam:PassRole と表現するアクセス許可です。これは ポリシーがアタッチされているプリンシパル(IAMユーザとIAMロール) が、 AWSのサービス(EC2やLambdaなど) にロールを渡すことを意味して

Amazon Web Services(AWS)ではCloudWatchでさまざまな監視をすることができます。この記事ではCloudWatchでS3を監視する手順を詳しく紹介します。また、無料かつ簡単にS3をはじめとするAWSの監視を始める方法も紹介しますので参考にしてみてください。 S3を監視する理由 AWSのS3は、さまざまなデータを保存できるオブジェクトストレージサービスです。ウェブサイト、モバイルアプリケーション、バックアップ、ログの保管、IoT デバイス、ビッグデータ分析などの様々な用途に使うことができます。 S3は容量を使った分だけ料金がかかる従量課金制で、基本的に容量無制限で利用できます。しかし、安価だからといってデータを入れたまま放っておいたり、間違った設定をしていると意図せず料金がかかってしまいます。 また、S3への正常なアクセス状態を監視し、異常があれば早期発見して調査

全てのユーザーはデフォルトで Public ロールに属しています。 ¥l データベースの一覧 「xx00」「xy00」が自分で作成したデータベースです。これらは Public ロールによるアクセスを制限しています。 masterdb=> \l データベース一覧 名前 | 所有者 | エンコーディング | 照合順序 | Ctype(変換演算子) | アクセス権限 -----------+------------+------------------+-------------+-------------------+--------------------------- masterdb | masteruser | UTF8 | en_US.UTF-8 | en_US.UTF-8 | masteruser=CTc/masteruser postgres | masteruser | UTF

コンバンハ、千葉（幸）です。 KMS 向けの VPC エンドポイント（インタフェース）がエンドポイントポリシーの設定に対応しました！ AWS Key Management Service (AWS KMS) now supports VPC Endpoint Policies より細かいアクセス制御を行うことができるようになりましたね！（でもその分、全体の設計はややこしくなるぞ！） 目次 VPC エンドポイントとは ゲートウェイ型の場合 インタフェース型の場合 VPC エンドポイントポリシー とは ドキュメントを確認してみる パターン1. 特定のユーザーが特定のキーに対して特定のアクションを可能 パターン2. 外部アカウントのプリンシパルによるアクションを拒否 やってみた カスタマー管理 CMK の準備 VPC エンドポイントポリシーを設定しないで試してみる VPC エンドポイントポリシー

こんにちは、平野です。 先日利用可能となりました、Data API for Redshift（以下DataAPI）、 みなさん使いこなしていらっしゃるでしょうか？ [アップデート] API で非同期な SQL クエリが実行できる！Amazon Redshift で Data API が利用可能になりました 今回Lambda関数からDataAPIを利用する機会があり、挑戦してみました。 ちょっとハマったポイントもありつつ、うまくクエリを流すことができたので流れをご紹介します。 検証用Redshift まずは検証用にRedshiftを新しく立てました。 ノードタイプはdc2.largeです。一部のノードタイプではDataAPIに非対応なので、注意が必要です。 DataAPIでは、AWSのIAMによる認証でクラスタにクエリを投げられるというのがウリなので、 出来るだけ外からは接続できない場所にク

初めに Aurora を使う機会があったので自分なりに触ってみたことのメモです。 データベースの作成 マネジメントコンソールから「データベースの作成」をクリックし、作成方法とエンジンのタイプを選択します。エディションは PostgreSQL 互換を選択します。 エンジンバージョンは最新の 13.6 を選択します。検証用なのでテンプレートは「開発/テスト」を選択します。 以下、必要な情報を入力します。認証情報はログイン時に必要になります。 検証用のため、汎用の小さいインスタンスタイプを選択します。 VPC などは適切なものを選択します。 以下はデフォルトのまま進めます。 データベース名はデフォルトで作成されるデータベースです。空欄にすると作成されません。ログイン後、手動で作成するので空欄にします。 検証用ため、暗号化や Perfomance Insight や無効化しておきます。 メンテナン

勉強前イメージ これ で勉強したからやってみる。 パスワードとかを格納したらいいのかね。 まず AWS Secrets Manager とは サービス、環境、アプリケーションに接続するためのパスワードなどの機密情報を管理するためのサービスです。 詳細は こちら で見てください さっそくやってみる 構成 EC2を立てて、RDSへ接続する簡単な構成。 接続情報はSecrets Managerを使用するって感じで設定していきたいと思います EC2 instanceを作成 いつものことなので詳細は省きますが、 こちら を参考にしていい感じにEC2 instance作ってください。 以下のように適当にインスタンス作りました。 aws configure コマンドで設定も終わらせます。 jqコマンドが必要なので、今のうちに入れておいてください RDSを作成 こちらも適当にRDSを作ります。 全然違う記

こちらの記事では、AWS Systems Managerの一部の機能であるSession Managerを利用して、EC2インスタンスへキーペアなしでアクセスするまでの方法を解説します。 どうしてセッションマネージャーでEC2アクセスするのか？ Session Managerを使用することで、セキュリティグループのSSH接続用の22番ポートの開放が必要なくなり、アクセス履歴をCloud Trailへ保存できるようになるなどのメリットがあり、セキュリティ面においてより堅牢に運用することが可能です。 AWSが公開しているEC2インスタンスにアクセスするベストプラクティスとしても、Session Managerについて触れられています。 AWS公式 AWS Systems Managerとは AWS Systems Managerとは、EC2を中心とするAWS環境の運用や、オンプレミス環境の運用

はじめに AWSが提供する代表的なDBサービスには、クラウド前提で設計されたRDBのAmazon Aurora、 データ分析特化型RDBのAmazon Redshift、ワイドカラム型DB(NoSQL)のAmazon DynamoDB1があります。AWSの各DBサービスの使い分けについては、一般的には概ね業務系システムのDBにはAuroraやDynamoDB、分析系システムのDBにはRedshiftを利用すれば良いとされていますが2、その根拠について定量的に確かめてみたいと思ったので、実際にOLTP/OLAPワークロード別の負荷をかけて各DBサービスの性能特性の違いについて確認してみました。 ※実際のシステム性能は様々な条件により変動します。あくまでも参考情報の一つとして捉えていただきますようお願いします。 前提知識 まず前提となる考え方として、OLTP/OLAPワークロードについて概説し

2015/2/23、「書き込み後の読み込み」整合性について更新しました。 Amazon S3 の使いどころ 前回の記事では、Amazon S3 でホームページが作れるという記事を書きましたが、それならファイルのステータスを使ってトランザクション処理にも使えるのでは？と思う方が１００人中２人ぐらいいらっしゃるのではないでしょうか。 答えから言いますと、Amazon S3 ではトランザクションの制御はできません。トランザクションを実現するためには、SimpleDBを使う必要があります。（正確には、SimpleDBであるモードに設定する） それでは、Amazon S3 はどのような考え方でインターネットストレージを実現しているのか解説します。 読み取り一貫性 Amazon S3 の特性を理解するために、読み取り一貫性についてご紹介します。読み取り一貫性は、データベースのトランザクション管理を行う

困っていた内容 AWS のアカウント内で、複数のサービス（EC2やRDS、S3等）や複数リージョンにまたがったリソースの中から、特定のタグが設定されたリソースの一覧を取得したい。どうすればよいですか？ どう対応すればいいの？ 「タグエディター（Tag Editor）」を利用して、特定のタグが付いたリソースを検索できます。 マネジメントコンソールでの操作 マネジメントコンソールにログインし「Resource Groups & Tag Editor」のコンソール画面を開きます。 左側メニューの「Tag Editor」へ移動し、検索したいリソースの条件を入力して「リソースを検索」をクリックします。 今回は例として「タグキー：Envionment タグ値：Production」が付与されたリソースを、全リージョン・全AWSサービスを横断して検索したいため、以下のように入力しました。 該当するリソー

どうも。小林です。 3度目の投稿にして初めて技術的なことを書こうとしています。 以前書いたAWS認定 セキュリティの対策本にて踏み台サーバ構成の話を書きました。 「インターネットに公開するEC2インスタンスの数は最小にしようね」というお話だったんですが、 今はSSM（AWS Systems Manager）のSession Managerを使えば踏み台サーバがなくとも 直接プライベートサブネット含む各インスタンスのシェル環境を使えるようになってきています。 ということは踏み台サーバへSession Managerで接続するようにすれば、踏み台サーバをインターネットに公開しなくて良いのでは？と思い、 いろいろ考えてみたことを書いておきたいと思います。 なお、計画と検証の記録が主な話で、最初の目論みどおりにはならなかったことをお断りしておきます。 この内容がどなたかの参考になれば幸いです。 そ

目的 今までインスタンスに接続するのにレガシーにTeratermでssh接続していたが、心を入れ替えて、セキュアにSesson Managerを使うように変えていこうかなと思い、使い方を確認する。 AWS Systems Manager Session Manager とは（自分の理解） AWS Systems Managerの中の一機能で、sshをせずに、AWSの機能としてLinuxにシェルアクセス(WindowsにはPowerShell)できる。 やったこと 以下の環境のEC2インスタンス(Amazon linux 2)へSession Managerを用いて接続できることを確認する。 インターネット接続あり(IGW/EIP, NatGateway) インターネット接続なし(VPCエンドポイント) 接続のログが取れることを確認する。 構成図 予習 公式ドキュメント等を見て、Sessio

はじめに AWSのネットワーク周りの知識があやふやなことが判明したため復習。間違ってたらご指摘お願いします。 VPC AWS内の利用者専用の仮想プライベートネットワーク リージョンの中に作成する CIDRブロックは/16〜/28の範囲で作成できる (例：10.0.0.0/16) 可能な限り大きなサイズ(/16)で作成する アドレス不足を防ぐため サブネット VPCをさらに小さなネットワークに区切った単位 CIDRブロックは/16〜/28の範囲で作成できる VPCよりも小さな範囲を指定する (例：10.0.1.0/24) インターネットと通信するサブネット（パブリックサブネット）、通信しないサブネット（プライベートサブネット）など、役割・ルーティングによって分割する 同一の役割を持ったサブネット、リソース群を複数のAZに作成することで、耐障害性の向上に繋がる（マルチAZ） ルートテーブル パ

こんにちは！ スカイアーチHRソリューションズのRyojiです。 いつも、業務でIAMのスイッチロールを使用して作業しているのですが、その設定を修正する機会があり、少々手間取ってしまいました。 そこで、改めてスイッチロールとは？というところから調べなおしてみたので、整理して記事としてまとめてみたいと思います。 スイッチロールとは スイッチロールとは、アクセス権限の切り替えを行うことができる、AWS IAMが提供する機能の一つです。 AWSマネジメントコンソールでのアクセス権限があるユーザーは、スイッチロールを使用することで、異なるAWSアカウント、または異なるIAMユーザーにスイッチすることができます。 これにより、複数のAWSアカウントやIAMユーザーを切り替えることなく、異なるアカウントやユーザーの操作を行うことができるようになります。 スイッチロールの作成 スイッチロールを使用するに

はじめに IAMのロール作成時に聞かれる「信頼されたエンティティ」って何となったので調べて分かった事を備忘録としてを残す 信頼されたエンティティとは IAMで作成したロールはユーザだけでなくサービス（s3とかLambdaとか）にも付与することができるが、その付与可能なサービスを設定しているのが「信頼されたエンティティ」の部分 この「信頼されたエンティティ」にないサービスにはロールをアタッチできない 具体的に見ていく ロール作成 ロールをIAMで作成すると以下のような画面が出てくるが、ここで選択したサービスを「信頼されたエンティティ（＝今作成中のロールをアタッチできる対象として許可する）」とみなすようになる 作成したロールの信頼関係（どのサービスならこのロールをアタッチできるか？） 「信頼されたエンティティ」の所にlambda.amazonaws.comと書かれている通り、Lambdaであれ