Kyash TechTalk #4 の登壇資料です。 登壇時の動画は YouTube から閲覧できます。

Amazon Web Services（AWS）は、悪意のある動作を検出する「Amazon GuardDuty」の新機能として、マルウェアの検出機能に対応したことを、7月26日、27日に開催したイベント「AWS re:Inforce 2022」で発表しました。 Amazon GuardDutyはこれまで、ワークロードを監視して悪意のある動作を検出する機能を提供してきました。新たに追加されたマルウェア検出機能は、EC2インスタンスまたはEC2上で動作するコンテナワークロードのいずれかで疑わしい動作をGuardDutyが検出したときに関連するAmazon EBSのスナップショットがとられ、ワークロードの動作を阻害することなくAmazon GuardDutyによるマルウェアスキャンが開始されるようになっています。 スキャンの対象はWindowsおよびLinuxの実行ファイル、PDFファイル、アー

[神アップデート]GuardDutyがEC2やECSのマルウェア検知時のスキャンに対応したので実際にスキャンさせてみた #reinforce 神機能が提供されました。EC2やコンテナでマルウェア感染の挙動を検知したら、GuardDutyがマルウェアスキャンを実施できるようになりました。ユーザーが頑張ることが1つ減りました。控えめに言って最高ですね。 こんにちは、臼田です。 みなさん、AWSで脅威検知してますか？(挨拶 神機能がリリースされました！現在開催されているAWSのセキュリティカンファレンスre:InforceにてEC2やECS/EKSなどのコンテナワークロード上でマルウェアを検知した際にスキャンする機能が発表されました！ New for Amazon GuardDuty – Malware Detection for Amazon EBS Volumes | AWS News Bl

こんにちは！コンサル部のinomaso(@inomasosan)です。 SSMセッションマネージャーを使用すれば、プライベートサブネットにあるEC2 Linuxに、SSHなしで簡単に接続することができます。 もし、業務上の要件でローカル端末からEC2に直接ファイル送受信したい場合、SSH接続を検討する必要があります。 SSMセッションマネージャーでは、SSHありでも接続可能です。 Windows端末の場合はOpenSSHを使用して頂くのが一番手取り早いです。 ただ、Tera Termを利用したいケースもあるかと思いますので、今回は基本的な接続方法を試してみました。 SSMセッションマネージャーの準備 以下のブログを参考に準備しました。 上記ブログはAWS CLIのバージョンが古いため、最新のバージョン2をインストールしています。 尚、SSHのconfigは今回の検証では設定不要です。 もし

はじめまして。freee の SRE チームに所属している nkgw （Twitter） です。 普段はエンジニアリングマネージャーをしつつ、開発チームの新規プロダクトリリースサポートをやっています。 我々のチームは大部分のプロダクトのコンピューティングリソース (CPU / Memory など) を Amazon Elastic Kubernetes Service (EKS) で実行できるようにインフラ基盤移行 (EC2 → EKS) を進めてきました。 移行プロジェクトの大部分は 2021 年 7 月に無事終わったのですが、移行スケジュールを最優先としたため割り当てている各リソースはかなり保守的 & 過剰でした。 (移行後の性能劣化が怖かったため、EC2 時代と比較し、1.5 倍のバッファを積むなど... etc) コスト増大したグラフ その結果、 去年と比較して、コストが倍以上に跳

CloudWatchアラーム設定祭りから開放される こんにちは、のんピ(@non____97)です。 皆さんはEC2インスタンスに設定するAuto Recoveryの設定面倒だなと思ったことはありますか? 私はあります。 Auto Recoveryは物理ホストの電源やネットワーク接続喪失などAWSの基盤の問題で、EC2インスタンスがダウンしたとき自動的にインスタンスの復旧をしてくれる機能です。 復旧されたEC2インスタンスはインスタンスIDやIPアドレス、すべてのインスタンスメタデータを含め、元のインスタンスと同じものという優れものです。 しかし、従来はAuto Recoveryをするためには、EC2インスタンス毎にCloudWatchアラームで復旧アクションを定義してあげる必要がありました。 AWS CLIを使えば多少は楽ですが、EC2インスタンス一つ一つにAuto Recoveryの設

目次 はじめに 事前準備 SES制限緩和申請 SES作成 EC2ロールにSESポリシーをアタッチ バウンス、苦情対策 DMARC設定 DNS登録 ログ出力設定 参考情報 1.はじめに 皆さんこんにちは、奥平です。 今回はSES環境を構築したいと思います。 SES環境構築を書いた理由につきましては、2022年になってSESのWEB画面（UI）が大きく変更があり、英語だらけになってしまい、構築しづらいと思ったのでナレッジ残しとして記事にしました。 ※今回はSES構築を中心としますので、IAMロール作成やSNS作成、その他リソース作成につきましては省略致します。 ※本当はCLI等で構築出来るようになった方が良いのですが、それはまたの機会に致します。 2.事前準備 テスト用DNSサービスをRoute53に登録しておいてください。 今回は下記テスト用ドメインを用意しました。 SESテスト用ドメイン：

[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた GuardDutyがEC2から搾取されたクレデンシャルを別AWSアカウントで利用しても検知してくれるようになりました。実際にインシデントが発生した場合の対処方法も合わせて解説しています。 こんにちは、臼田です。 みなさん、GuardDuty使ってますか？(挨拶 今日は素晴らしいアップデートが来ました。EC2から搾取されたクレデンシャルが別AWSアカウントで利用されたときにAmazon GuardDutyで検知することが出来るようになりました！ Amazon GuardDuty now detects EC2 instance credentials used from another AWS account

こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか？(挨拶 社内で行っているAWSトレンドチェック勉強会の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopersIOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 12月はre:Invent 2021が先月から続いていてめちゃくちゃ記事があります。というわけで今年も2回に分割します。 ちなみにAWSの最新情報をキャッチアップするだけなら週刊AWSがおすすめですが、Developer

こんにちは。サービスグループの武田です。このエントリは、2018年から公開しているAWS全サービスまとめの2022年版です。 こんにちは。サービスグループの武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2022年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの？」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2021年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 223個 です。 まとめるにあ

SREチームの安達(@adachin0817)です。今回WordPressサーバーであるEC2からECS/Fargateに移行しましたが、紆余曲折を得て、苦労したところ、技術的な部分、最終的には複数のリポジトリを一つにまとめたことなどを紹介したいと思います。まずはプロジェクトとサーバーの構成から説明していきましょう。 ランサーズのWordPressとECS時代のサーバー構成 https://engineer.blog.lancers.jp https://info.lancers.jp https://l-ap.jp https://connect.lohai.jp https://lohai.jp https://tips.lancers.jp https://www.lancers.co.jp https://www.lancers.jp/assistant/cases https:/

Steven J. Vaughan-Nichols （ZDNET.com） 翻訳校正： 編集部 2021-11-25 11:55 パブリッククラウドのほとんどではLinuxが稼働していると言ってよいだろう。「Microsoft Azure」の顧客も含め、ほとんどのユーザーはクラウドでLinuxを実行している。 Amazon Web Services（AWS）の場合、ユーザーはさまざまなLinuxディストリビューションだけでなく、AWSが独自に開発した「Amazon Linux 2」（AL2）を選択できる。そして同社は米国時間11月22日、次期ディストリビューション「Amazon Linux 2022」（AL2022）のプレビュー版をリリースしたと発表した。Red Hatが支援するコミュニティーLinux「Fedora」がベースになっている。 AWSは以前から、「Amazon Linux」に

こんにちは。CX事業本部MAD事業部のきんじょー(@joe_king_sh)です。 AWSでインフラを構築する際に必ず書くもの、 AWS構成図 皆さんはどうやって描いていますか？ 初めからきっちり決めて作ることもあれば、試行錯誤した後、最後に残すドキュメントとして描くもあり、できることならなるべく楽して作成したいですよね。 そこで今回は、CDKで構築したAWS環境の構成図を自動生成するツール「CDK-Dia」が、実際どれくらい使えるのか検証してみました。 CDK-Diaの使い方 環境 macOS Big Sur 11.5.1 node v14.17.6 cdk 1.131.0 cdk-dia 0.3.0 インストール CDK-Diaと構成図の描写に使用するGraphvizをインストールします。 $ npm install cdk-dia $ brew install graphviz 使い

関連キーワード Amazon Web Services | Oracle（オラクル） | 富士通 | IaaS IaaS（Infrastructure as a Service）に関するスキルを身に付けたいと思ったら、クラウドベンダーの無料サービスを利用するのも一つの手だ。クラウドサービスの認定試験や学習教材の無料提供開始、クラウドサービス導入事例など、クラウドに関する主要なニュースを6つ紹介する。 併せて読みたいお薦め記事 OCIについて詳しく Oracleが「1コア1時間1セント」のArmインスタンス提供開始 常に無料のOCI「Always Free」の基礎　何が使える？　AWS無料プランとの違いは？ AWSではなく「Azure」「GCP」「IBM Cloud」「OCI」を選びたくなる強みとは？ 福井銀行が顧客情報管理システムをクラウド移行　その理由とは オンプレミスインフラで稼働させ

最小権限のIAM Policyを作成するのって地味に面倒ですよね。以前私は、Route53ホストゾーンにDNSレコード作成するのに必要な最小権限のPolicyを作るため、権限ゼロの状態から始めて、権限不足エラーが出るたびに権限を足していくという力技でPolicyを作ったことがあります。 Route53ホストゾーンにDNSレコードをTerraformで作成するのに必要な最小権限 | DevelopersIO もうちょっとスマートなやり方が、CloudFormation(CFn)のコマンドを使うとできる場合があることを学んだのでレポートします。 aws cloudformation describe-type そのコマンドが、 aws cloudformation describe-typeです。--typeオプションでRESOURCEを指定して、 --type-nameでCFnのリソースタイ

クラウドの運用者に焦点を当てた、技術者向けの新しいテックイベント「Cloud Operator Days Tokyo 」。ここで株式会社カサレアルの新津氏が「これやったの誰？」をテーマに登壇。自動化したオペレーションに対して生じた疑問と学びについて紹介します。 自己紹介と今回のテーマ 新津佐内氏（以下、新津）：みなさん、こんにちは。株式会社カサレアルの新津佐内と言います。本日は「これやったの誰？」というタイトルのお話をします。 「これやったの誰？」についてですが、DevOpsと合わせて自動化を進めていく中で、自動化したオペレーションに対しても生じたこの疑問に、実業務の中であらためて向き合ってみました。上記事例の詳細と現時点での我々の答えを紹介します。 まず本日お話しする内容ですが、スライドに書かれているような基盤の運用担当者のユースケースに関わるお話になります。どのようなユースケースかとい

コンバンハ、千葉（幸）です。 リザーブドインスタンス（以下「RI」）と Savings Plans （以下「SP」）は、どちらも一定期間の使用をコミットすることでディスカウントを受けられる仕組みです。 両者で共通する点もあれば、異なる点もあります。どちらを選択するべきか迷う機会が多いのではないでしょうか。両者の特性を理解し最適な選択をするために、比較表を作成してみましたのでぜひご参考ください。 なお、RI および SP の対象となる AWS サービスはいくつかありますが、今回は Amazon EC2 を対象にしたもののみを考えます。 RI と SP の要素の全体像 比較表を確認する前に、基本的な要素について押さえておきましょう。 RI の要素の全体像 スコープと提供クラスという考え方があることを押さえてください。購入の方法により割引率が異なる部分については「割引率 高」などのマークで表して

AWSにおけるコンテナをホストする手段は、格段に進化を続けています。ECSからはじまり、EKS、Fargate、App Runner、Proton，Lambdaコンテナー。このセッションでは、それら手段を比較し、今あなたが、コンテナをAWS環境にホストするにあたり必要なものを選択するための羅針盤となる情…

こんにちは、エウレカ SRE チームの原田です。 今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。 旧来の踏み台サーバ 旧来の踏み台サーバエウレカで長く運用されていた踏み台サーバ (Gateway) は以下のようなものでした。 各開発者は、自分の秘密鍵を使って踏み台サーバへSSHを行う ( 踏み台サーバ上には各開発者の個別ユーザーおよび公開鍵が登録されている )踏み台上では、接続が許可されているSSH対象のサーバの秘密鍵がユーザー毎に配置されており、その鍵で各サーバにSSHするMySQL / Elasticsearch / Redis など、Private Subnet

こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 SSM Change Calendar にサードパーティのカレンダーをインポート可能になりました。 執筆日時点で以下のカレンダーから ics 形式でインポートできます。 Google Calendars Microsoft Outlook Calendars Apple iCloud Calendars SSM Change Calendar とは Systems Manager で Automation や RunCommand を実行する際に、実行する日しない日をカレンダーで指定できるサービスです。 例えば、開発検証環境の EC2 を平日業務時間帯だけ自動起動停止するといった使い方をします。 従来だと自分で日本の祝日を登録しなけ