sorta kinda...

主にAWS関連ですが、これに限らずいろいろ勉強したことや思ったことを書いていきます。

AWS

SSM マネージドインスタンスに出てきていない EC2 インスタンスはどれだ!?

とある作業で、Systems Manager(以下SSM)でたくさんある EC2 インスタンスを管理しようと思って準備していたら、どうも EC2 インスタンスの数と SSM のマネージドインスタンスの数が合わないことに気がつきました。 インスタンス数が少なければどれが正し…

Amazon WorkSpaces で多要素認証(MFA)を利用する場合でもユーザは AD だけで管理したい

久々に RADIUS を触りました、那須です。 今回の記事は、とあるお客様でこの Amazon WorkSpaces を使いたいというお話を伺って、多要素認証(以降、MFA)の部分での困りごとを解決した時のお話です。 MFA とは Multi-Factor Authentication の略称で、「記憶…

Windows Server に RDP 接続する時にパスワードを調べて入力したくないし文書にも書きたくない

ウォーキングと懸垂を継続した結果 8kg 痩せました、那須です。 Windows Server に RDP で接続する時、サーバ名や IP アドレス、ユーザ名、パスワードをそれぞれ入力しますよね。 たまにならいいんですが、毎日様々なお客様の環境を運用や構築をしているとロ…

AD ユーザの追加や削除を承認も含めてやってくれる仕組みを考えた

気がついたら Systems Manager Automation(以下 SSM Automation)ばっかりさわってました、那須です。 ある業務で AD ユーザの追加や削除が運用で発生するんですが、それを承認履歴や作業履歴を残しつつ人が承認された内容以外の作業をしないような仕組みを…

Elasticsearch Service の EBS ボリュームを自動拡張する仕組みを考えた

ひさびさに 1 週間毎朝 30 分ウォーキングしただけで股関節を痛めました、那須です。 ちょっとした運動は毎日継続することが大切だと気づきました。 自社業務とはまったく関係ないところで、Amazon Elasticsearch Service (以下 ES ) の運用をしています。 …

SSM Automation から AD オブジェクトを操作する際につまづいたこと

筋トレを続けただけで 3kg やせました、那須です。 ときどき AD のユーザを作成したり削除したりとユーザオブジェクトを操作することがあるのですが、手作業でしかも GUI で操作するのが面倒に思えてきました。 そこで思いついたのが PowerShell での AD オ…

IAM ロールにスイッチする際にユーザ名を伝えられるようになった

ワイドグリップチンニング 9 回まではなんとかできるようになりました、那須です。 2 ヶ月ほど前に、↓このような記事を書きました。 www.beex-inc.com 別アカウントからスイッチロールされると、誰がやったのかわかりませんでした。 また、誰だったのかを調…

AWS Client VPN の認証で Windows PC の証明書ストアにあるクライアント証明書を使いたい

ゴールデンウィークは出かけられない分、筋トレに励む予定です。那須です。 皆様、この状況の中で業務を継続するために様々なことを検討してアクションを起こされているかと思います。 特に突然在宅勤務が始まったお客様はその準備や運用でお忙しいことと思…

Ops JAWS Meetup#18 で監視運用について話しました

家に引きこもることに慣れてきました、那須です。 3/19(木)、Ops JAWS Meetup#18 でリモート登壇してきました。 その報告ブログです。 資料や概要も公開していますので、よかったら↓の会社ブログを見てください。 www.beex-inc.com

うちのアカウントにスイッチロールした人がいるけど誰?を調べる

約 1 ヶ月ぶりに記事を書きました。那須です。 久々に記事を書くとうまく文章を書けない経験があるので、今日はあまり無理せず気になっていたことを調べた結果をご紹介します。 www.beex-inc.com

Elasticsearch Service にアクセスできなくなった話

最近朝が苦手です、那須です。 過去にいくつか Elasticsearch Service についての記事を書きましたが、最近書いてなかったのでまた書いてみます。 何が起こったのか? 運用していた Elasticsearch Service に突然アクセスできなくなりました。 でもデータは…

S3 バケット内の不審なファイルは Barracuda CSG に隔離してもらおう

もうすぐ花粉症の季節ですね…那須です。 これまで、セキュリティ向上の記事を 2 つ書きました。 www.beex-inc.com www.beex-inc.com Dome9 は主にセキュリティルールの遵守をサポートしたり、SG や IAM ユーザを知らないうちに変更されることを防いだりして…

AWS アカウントを守るために最低限やるべきこと

やっと AWS のセキュリティについて少しずつわかってきました。那須です。 何度か AWS のセキュリティについて記事を書いてきましたが、最低限これだけはやったほうがいい内容についてもまとめておこうと思います。 すべて AWS のサービスを使うことで実現で…

様々な脆弱性からクラウド環境を守る Prisma Cloud

しばらくやってなかったウォーキングを再開しました。那須です。 先日、Dome9 を使ったセキュリティ向上の話を書きました。 www.beex-inc.com Dome9 は主にセキュリティルールの遵守をサポートしたり、SG や IAM ユーザを知らないうちに変更されることを防い…

Dome9 を利用して AWS をより安全に使いましょう

あけましておめでとうございます。那須です。 AWS に限らず、パブリッククラウドを使うとなると必ず出てくるのがセキュリティの話題ですよね。 もちろん AWS そのもののインフラは AWS さんが常時メンテナンスして守ってくれています。 OS 以上のレイヤのセ…

Webhook URL を暗号化して AWS SAM で使うために頑張ったこと

今年もいろいろ頑張りました。来年もいろいろ頑張ります。那須です。 セキュリティの観点からアクセスキー等のバレたらまずい情報って誰にも見られない場所に保存するか、もしくは最低でも暗号化して保存しますよね? かつ、アプリのデプロイや環境の構築は…

SAP on AWS のビルダーズセッションに参加してきました

今週は re:Invent 2019 に参加しています、那須です。 はじめに SAP Advent Calendar 2019 - Adventar の12/6の記事です。 totu さんが前日に SAPGUI for Windows を PowerShell から起動&いきなりトランザクションコードを指定して画面を開く技を書いてい…

Slack からアクション実行したい? Lambda と chatbot があればできるよ!

ここ数日の怒涛のアップデートについていこうと思ったけど無理でした、那須です。 本日、Slack から AWS CLI っぽいコマンドを実行できるようになったとアナウンスがありました! aws.amazon.com 今年の夏に chatbot の記事を書いたんですが、その時の願いが…

CloudFormation でリソースを管理していこう!

最近ちょいちょい東京に出没しております、那須です。 先日、CloudFormation の既存リソースのインポート機能が追加されましたね! aws.amazon.com このインポート機能を使って実際に既存の API Gateway を CloudFormation にインポートしてみました。 会社…

EC2インスタンスのステータスチェックが1/2の場合でもAutoRecoveryしたい!

最近の趣味は懸垂です、那須です。 CloudWatch alarmでひっかかったのをトリガーにEventBridgeのルールでアクションを起こすことができるようになりました! aws.amazon.com これを使ってEC2インスタンスのステータスチェックが1/2の場合でもAutoRecovery的…

Datadogで異常検知時に簡単にAWS内で後続処理を実行する方法

AWS Loft Osaka、なかなか快適です。那須です。 AWS外からのイベントをトリガーになにか処理をしたい時ってありますよね? ちょっと前だとAPI Gateway等を通じてLambdaに流したりしていたのですが、ふとEventBridgeの存在を思い出しました。 今回はEventBrid…

API Gatewayのカスタムドメイン化がちょっとだけややこしかった話

朝起きたらめちゃ寒かったので皆さん風邪などひかぬよう気をつけましょう、那須です。 最近 API Gateway をよく触ります。 触れば触るほどいろんな仕組みが作れることに気がついて面白いですね。 今回は API のカスタムドメイン化に挑戦しました。 今となっ…

API Gateway の API キーを理解した(気になった

気づけば 1 ヶ月もブログ書いてませんでした、那須です。 前回は完全に思いつきで AWS API オープンなるものを作ってみました。 nasrinjp1.hatenablog.com で、せっかく作ったのでちょっと Facebook に投稿して感触どーかなーと思ってたら、河村先生からあり…

SAP 回線オープンを見習って雑な AWS API オープンを作ってみた

日々の懸垂で姿勢がよくなってる気がします、那須です。 SAP の運用に携わっている方はご存知だと思いますが、SAP 社からリモートサポートを受ける際には回線オープンという手続きをしてからサポートを受けます。 流れとしては、 SAP システムでなんか不具合…

セッションマネージャで踏み台いらず

毎日汗だくですが元気です、那須です。 先週、セッションマネージャでポートフォワーディングができるようになったとアナウンスがありましたね。 aws.amazon.com ざっくりですが、↓こんなことができるようになっています。 時々インターネット経由で VPC 内…

VPC のサブネット設計の基本(だと思ってること

お盆でちょっと太った気がします、那須です。 昨日、2 年前に書いた記事がはてブされたのがきっかけでこの内容を思い出しました。 nasrinjp1.hatenablog.com 本当に基本的なことですが、とても大事なことなので再度視点を変えて書いておきます。 サブネット…

Slack に通知したい? Lambda 使わなくても Chatbot で簡単にできるよ

Slack 推してきてよかったと思いました。那須です。 ちょっと前に、AWS Chatbot という新サービスがリリースされましたね。 aws.amazon.com アラーム情報を Chime や Slack に通知してくれるサービスです。 今までは Lambda で Slack に Webhook を投げるよ…

S3 ライフサイクルの有効期限設定で軽く悩んだ話

最近ハマる時はだいたい S3 関連です。那須です。 今回は S3 のプレフィックスがどういうものかを体験できた話です。 知ってても知らなくても実害は少ないですが、知っていれば安心できるネタですね。 www.beex-inc.com

AWS Certified Security - Specialty に合格しました

最近セキュリティに関する仕事が増えてきました、那須です。 約半年ぶりに AWS 認定試験を受験したので、その感想とかを書いてみますね。 AWS Certified Security - Specialty とは? aws.amazon.com ↑ここにかいてる通りです。 結果 こんな結果でした。 ス…

インフラ運用ツールもアプリと同じようにデプロイできないの?

最近になっていろんなソースコードが読めるようになってきました、那須です。 インフラ運用をしているうちに、運用ツールやスクリプトの更新や新規配置作業が大変になってきました。 わざわざ各インスタンスにログインしてスクリプト等を配置するでもいいで…