カミナシのエンジニアリング組織では、チームメンバーの AWS アカウント環境への定常的なアクセス権限として「センシティブな情報を除いた全リソースへの ReadOnly Access」を付与しており、一方で書き込み権限については必要に応じてメンバーが一時的に権限を獲得できる仕組みとシステムを開発し、運用を行っています。 本記事では、そういった仕組みを開発するに至った経緯や仕様、そしてこれを数ヶ月ほど運用した結果と今後の展望について紹介します。 このシステムは『ハマヤン』という名前で呼ばれていますが、あまねくユーザーに愛される素敵な名称であり、Sec Eng チーム内でも大人気です。開発者が濱野さんだからハマヤンにしたのでは？と社内で言われることがありますが、真相は不明です。 ハマヤンを開発した理由 ハマヤン開発前の2022年頃、カミナシではソフトウェアエンジニア全員が Administrat

TL;DR: A world first reverse engineering analysis of AWS Session Tokens. Prior to our research these tokens were a complete black box. Today, we are making it more of glass box, by sharing code and tools to programmatically analyze and modify AWS Session Tokens. Using this code we were able to take a seminal deep look into the contents of AWS Session Tokens, expose unknown facts about AWS cryptogr

はじめに はじめまして！サイバーセキュリティチームの笠井です。 普段は、CSIRT/SOC業務を中心に、脆弱性管理運用やクラウドサービス評価対応等の業務に従事しております。 本記事では、AWSセキュリティ成熟度モデルを用いて、自社サービスの基盤プラットフォームであるAWS環境のセキュリティ対策状況を評価した際の取り組みを記載します。 対象読者 本記事では以下の方を対象読者として記載しております。 自社AWS環境のセキュリティ対策を担当されている方 AWS環境のセキュリティ対策状況を全般的に評価したいと考えている方 AWSセキュリティ成熟度モデルは聞いたことがあるが、使い方がイマイチ分からない方 なぜAWS環境の評価が必要だったのか？ さて、そもそもなぜAWS環境のセキュリティ対策状況の評価が必要だったかというと、以下のような課題感があったためです。 AWS環境へのセキュリティ対策は都度検討

STORES 技術基盤グループの id:atpons です。普段は STORES 全体のパブリッククラウドや開発で利用している SaaS の管理をしています。今回は STORES で管理している AWS Organizations のメンバーアカウントのルートユーザーを全部削除したので、進め方について書いていきます。 この記事は STORES Product Blog Advent Calendar 2024 11日目 の記事です。 はじめに STORES では、プロダクトの開発や運用に AWS を採用しています。その上で、AWS Organizations を導入しており、各アカウントへのログインは IAM Identity Center と Okta を経由した SSO により、IAM ユーザーを利用しない方針で運用しています。STORES における AWS Organizations

はじめに AWS LambdaのPythonコーダーの皆さんに、朗報です！ 2024年11月にコールドスタート対策の有効な手段であるLambda SnapStartがPythonにも対応しました！（.NETにも） 今回はSnapStartの基本的な機能の復習と、SnapStart利用時の注意点についてまとめます。 SnapStart復習 それでは、SnapStartの概要とそもそもSnapStartが登場した背景をご紹介します。 SnapStart以前(～2019年) ～コールドスタートとの戦い～ 2014年にリリースされたサーバーレスコンピューティングサービスであるAWS Lambdaですが、当初からコールドスタートという問題がありました。 コールドスタートとは、Lambdaサービスが実行環境の準備、コードのセットアップのセットアップに時間がかかってしまう問題を指します。 上記のコールド

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

はじめに カミナシでID管理・認証基盤を開発しているmanatyです。ラスベガスで開催されているAWS re:Invent 2024に初めて参加しています。今回はワークショップセッションとして開催された「Scaling multi-tenant SaaS with a cell-based architecture」に参加したレポートをお届けします。 Cell-based Architectureとは Cell-based architectureはスケーラビリティと耐障害性を高めるために考えられたシステムアーキテクチャです。一般にマルチテナントアーキテクチャはインスタンスやコンテナが複数存在するとしても論理的には単一のアプリケーションとデータベースで構成されています。したがって、本質的にアプリケーションやデータベースはそれぞれが論理的な単位での単一障害点となるほか、特定のテナントの過度な

AWS Lambda デプロイツール lambroll - fujiwara-ware advent calendar 2024 day 3 この記事は fujiwara-ware advent calendar 2024 の3日目です。 lambroll とは lambroll は、AWS Lambda の関数(function)をコードで管理し、デプロイするためのツールです。「ラムロール」と読みます。 昨日紹介した ecspresso の Lambda 版、ともいえます。開発開始は2019年10月、リリースして5年が経ちました。ecspressoと並んでfujiwara-wareの代表的なツールです。 なぜ作ったのか lambroll を開発した動機は、当時の AWS Lambda をデプロイするのに使っていた Apex (github.com/apex/apex) の開発が停止し、メ

この記事は fujiwara-ware advent calendar 2024 の2日目です。 ecspresso とは ecspresso は、Amazon ECS のタスク定義やサービス定義を管理し、デプロイするためのツールです。 開発開始は2017年11月、リリースして7年が経ちました。fujiwara-wareの代表的なツールです。 おかげさまで、大変多くの皆様に利用されています。[1][2] (ご利用中で🌟をしていない方がいればぜひ！) 当初はタスク定義を登録してECSサービスをデプロイする機能のみのごくシンプルなツールとして誕生しましたが、ECSの機能拡張に継続的に追従した結果、現在では多くの機能を持つツールとなりました。「ECSのスイスアーミーナイフ」と呼ばれることもあります。 ecspresso handbook ecspresso の使い方や設定方法は、ecspres

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? AWS Lambdaを利用していて、コールドスタートに苦しめられた事はありませんか？ 私はWebアプリケーションのバックエンドの開発をする場合、Amazon API Gateway と AWS Lambda(Python) の構成でシステムを構築する事がほとんどなのですが、開発終盤で期待していたようなパフォーマンスが出ない事に気付き、仕方なくProvisioned Concurrencyの設定を追加した経験があります。 その時はLambdaのメモリを増強することでパフォーマンスの改善を試みたのですが、期待通りにパフォーマンスが改善したケ

こんにちは。Feature2 Unitのうなすけです。我々のチームの担当範囲のひとつには「データの入出力」というものがあり、お客様からAPI呼び出しやファイルアップロードなどで受け取ったデータを適切に処理するコンポーネントの運用・開発をしています。 AWS Lambdaの処理が失敗するようになった 皆さん、AWS Lambdaはお使いでしょうか。我々も様々な処理にAWS Lambdaを活用しています。一例として、ユーザーからアップロードされたCSVファイルのバリデーションを行うLambda functionをAWS Step Functionsの一部として実行しています。 ある日、機能追加として日本語を含む1CSVファイルのアップロードを許可したのですが、CSVファイルのバリデーション処理でエラーが発生するようになりました。日本語も受け入れるようにしたタイミングと同時にRuby runti

サーバレスSwiftサーバーサイドへようこそ さて、みなさん、サーバーサイドを書くときは何の言語で書いてますか？ Go?Node.js?Python?Ruby?Java? 今日はSwiftでサーバレスなサーバーサイド書いていきましょう。 Appleが開発した言語で、軽量で読みやすいのが特徴です。 使うもの SwiftをAWS Lambdaでデプロイするのに使用するパッケージは以下がおすすめです。 このパッケージをより使いやすくするためのVSCode拡張もあります。今日はこちらを使っていきます。 やること 1. 必要ツールのインストール 以下のツールが必要になるので事前に入れていきましょう。Macユーザーならasdfで全部入ります。 Docker AWS CLI AWS SAM CLI 2. VSCode拡張のインストール VSCode AWS Lambda Swiftと入れて一番上の拡張を

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 内容 Lambda が新たに FIS と連携。これにより、開発者はコードを変更せずに、Lambda 関数に対して以下のような障害シナリオをシミュレーション可能 遅延 aws:lambda:invocation-add-delay エラー aws:lambda:invocation-error http統合の応答 aws:lambda:invocation-http-integration-response これらの機能を活用することで、アプリケーションのパフォーマンスや回復性を向上させるためのテストが容易になります。 開発者はコードを変

2023/09/02　AWS Startup Day 2023 https://aws-startup-community.connpass.com/event/289498/ AWS AppConfig で低リスク・低ストレスなロールアウトを実現した話 佐藤 丈生 Software Engineer

はじめに AWS AppConfigは、AWSの設定情報を安全にデプロイするためのマネージドサービスだ。 アプリケーションの設定変更をカナリアリリースすることができ、デプロイ中の異常に対してワンクリックでの迅速なロールバックを提供することもできる。 今回は、AWS AppConfigによる簡単な設定情報をTerraformで自動構築できるようにし、カナリアリリースにおける運用を考察する。 前提となる知識は、以下があれば良い。 カタログレベルでのAWS AppConfigの知識 Terraformの基礎知識 Pythonの基礎知識(AWS AppConfigを呼び出すアプリケーションをPythonで作成) AWS AppConfigの構成要素 AWS AppConfigは、以下の構成要素から構築される。 構成要素 説明

2024年10月からIVRyで働いている @abnoumaru です。 10といえば...TVアニメ「SHIROBAKO」10周年おめでとうございます！🍩😭🌙🎉🐻👏 はじめに IVRyのメンバー数は、ここ1年で急激に増加しています。人数増加に伴い、コーポレートエンジニアによるEntra IDを利用したユーザ管理が迅速に進んでいます。また、エンジニアメンバーについても例外なく増えており、Q毎の人数の推移は以下のようになっています。 エンジニアが増えるということは、各種XaaSへアクセスするメンバーも増えてきていて、アカウントやユーザの管理、オンボーディング等が煩雑になります。このため、仕組みによる解決やルールの整備が求められます。 これらの課題を解決すべく自分はEntra IDとIAM Identity Centerを用いたAWSへのSSOや権限管理の整備を、Entra ID導入