m-okawa

AWSに関する技術noteです。

m-okawa

AWSに関する技術noteです。

AWS環境のセキュリティ強化 発見的統制系サービスについて

はじめに勉強会で30分ほど発表をしましたが、音声が悪かったので内容をテキストベースでまとめています。目次に記載している各項目の時間帯は目安です。 自己紹介 1:25〜2:23動画にて自分の経歴を簡単に記載したスライドを写してますので、そちらを参照ください。 アジェンダ 2:24〜3:14昨今のセキュリティインシデントの状況とこれからにについて AWSの主要なセキュリティサービスについて AWS Configルールを使ってみた 終わりに 本日のゴール 3:15〜5

m-okawa

    • JSON ログイベントに対するメトリクスフィルターとプロパティセレクタについて

      はじめにECS on FargateやLambdaのログをCloudWatch Logsに発行し、そのロググループにメトリクスフィルターを設定。語句の一致をトリガーにAmazon SNS等を使用し、アラートを通知する仕組みを実装するケースがあるかと思います。その際、条件設定をする対象のログがJSONである場合、かつプロパティセレクタを使用している場合の注意点について記載しています。 今回、JSONログはAWSドキュメントのサンプルを編集したものを使用します。 { "

      m-okawa

      • AWS windowsサーバ2019へのRDPログをCloudWatchLogsに配信する

        AWSでwindowsサーバ(ver2019)を立ち上げ、RDPした事を示すログをCloudWatchLogsに配信する設定です。CloudWatch エージェントを使用しています。 CloudWatchFullAccess、AmazonSSMManagedInstanceCoreのIAMポリシーをアタッチしたIAMロールを付与したwindowsサーバ(ver2019)を立ち上げた状態からスタート。 SSMのRun Command→コマンドを実行する。 AWS-Conf

        m-okawa

        • TerraformでLambda@edgeを書いてみた

          TerraformでLambda@edgeを作ってみたのでその備忘録です。 これらのサイトを参考にしました。ありがとうございます。 Devフォルダ内にlambdaフォルダ-sampleフォルダにip_restriction.pyファイルを格納、Devフォルダ内にmain.tfファイルを格納。 上記のpyファイルにIP制限用のコードを記載。コードは上記の1番目のサイトを参照。 main.tfファイルにIAMロール、ポリシーとLambdaを作成するコードを記載。(下記サン

          m-okawa

        AWS環境のセキュリティ強化 発見的統制系サービスについて

        m-okawa

        • JSON ログイベントに対するメトリクスフィルターとプロパティセレクタについて

          m-okawa

        • AWS windowsサーバ2019へのRDPログをCloudWatchLogsに配信する

          m-okawa

        • TerraformでLambda@edgeを書いてみた

          m-okawa

          スナップショットの大量削除メモ

          諸事情により自動取得で大量に作成されたスナップショットの削除が必要になりました。色々と対応方法があると思いますが、パッと出来た一例をメモとして残します。(エクセルでの加工という手作業を挟んでしまうので、このあたりもスクリプトで代替できればいいのですが。。) 削除対象のスナップショットのIDをピックアップする。 今回のフィルターの条件としてはNameタグにHOSTMEIとつき説明にAutoと記載され、そこからクエリで11/29より前に作成されたスナップショットのIDを取得す

          m-okawa

          スナップショットの大量削除メモ

          m-okawa

          RDS(SQL Server)の照合順序の変更について

          ざっくりとした内容になりますが、久々記載します。 RDSを作成する時、My SQLやOracleなどデータベースエンジンを指定しますが、今回の対象はSQL Serverです。 SQL Serverを指定した場合、設定項目に日本語という項目が出るかと思います。ここは照合順序なるものを指定するところで、何も指定せずRDSを作成するとデフォルト値となります。→SQL_Latin1_General_CP1_CI_AS 日本語?じゃないですね。以下がSQL Serverの照合順序

          m-okawa

          RDS(SQL Server)の照合順序の変更について

          m-okawa

          EC2インスタンスにソフトをインストールする時に考えている事など

          EC2はAWSの中で最も使用されるサービスの一つかと思います。その際、最初にAMIを選択し、インスタンスタイプやストレージなどを設定していきます。作成後、例えば、選択したAMIがwindows serverで、OSやネットワークの設定を変更したい、あるソフトウェアをインストールしたいという事があるかと思います。(EC2インスタンスの使用用途(ex.webサーバやapサーバ、dbサーバ)によってソフトの種類や設定値は変わるかと思います。) その場合、一つの方法として、EC2(イ

          m-okawa

          EC2インスタンスにソフトをインストールする時に考えている事など

          m-okawa

          RDSのMicrosoft SQL Server DB インスタンスのSSL接続有無とクライアント側の証明書の有無確認

          連日のRDSとSSLについてです。 Microsft SQL Serverの接続にSSL通信を使っているかの確認方法などについてはAWSのドキュメントがあります。 まず、DB インスタンスへのすべての接続に SSL の使用を強制する方法があり、それはRDSの対象DBインスタンスのオプショングループのrds.force_ssl パラメーターをtrueとする。 特定のクライアントコンピュータからこのDBインスタンスへの接続にSSLを使う場合、クライアントコンピュータの Mi

          m-okawa

          RDSのMicrosoft SQL Server DB インスタンスのSSL接続有無とクライアント側の証明書の有無確認

          m-okawa

          RDSのSSL/TLS 証明書の更新-Amazon RDS for Oracleの場合、SSLを使用していなければ再起動は起きない

          AWSから通知が来ているRDSの認証機関更新に関してです。 1月に入ってからですが、認証機関未更新のRDSが存在すると、データベースを押下した後に「認証機関更新してください」的ポップアップが出始めてビックリされたかたもいらっしゃるかと思います。 そんな認証機関更新ですが、元々コンソール画面上から更新をかける場合、再起動が走るとの事でした。(ちなみに更新時間は最長でも2分以内で終わるとAWS上のドキュメントで読んだような。。有識者のブログや自分が実施した感じ、どのDBのタイ

          m-okawa

          RDSのSSL/TLS 証明書の更新-Amazon RDS for Oracleの場合、SSLを使用していなければ再起動は起きない

          m-okawa

          RDSのメンテナンスウィンドウの設定時間を変更するのに再起動は伴うのか

          結論、2つの条件を満たさない限り再起動は起きません。 詳細↓ そもそもメンテナンスウィンドウの時間を変更する事自体がそうそう無いのかな、と思います。基本的にRDSを構築するタイミングで設定して、それ以降触る事はほぼないと思います。 ただ、構築時に適当に時間を決めてしまい、いざAWSからDB インスタンスの再起動を伴うメンテナンスの通知がきた時、この時間は避けたい、となる事が場合によってはあるかと思います。(AWSからのメンテナンスはものによってはRDSのDBインスタンス

          m-okawa

          RDSのメンテナンスウィンドウの設定時間を変更するのに再起動は伴うのか

          m-okawa

          上限緩和申請について

          個人開発やインフラの勉強としてAWSを使ってる場合、使う事は無いかなぁと思う機能についてです。 その機能は上限緩和申請です。例えば、以下の画面を見てください。 トップ画面からEC2を選択し制限を押下すると以下の画面に遷移します。 Name列にサービス名、そして現在の制限に上限緩和申請をした事がなければデフォルトの上限数が表示されます。この制限数に達すると新規でサービスを作成出来ません。例えば、サブネットを作成するためにIPや名前を設定し完了ボタンを押すと、サービスが作成

          m-okawa

          上限緩和申請について

          m-okawa

          サブネットがどのインスタンスにアタッチされているかを確認する方法

          実際の業務で少し戸惑ったことです。 特定のサブネットがどのインスタンスにアタッチされているorどのインスタンスにもアタッチされていない事を確認したかった。 確認方法 検索窓にサブネット名を入力したら、そのサブネットのサブネットIDが表示される。(一意のはず。) これをコピーし、EC2へ。 検索窓をクリックしたら黒いのがブヤッと出てくる。(語彙力) ←上のキャプチャにはのってません。 その中のリリース属性のサブネットIDをクリックし、コピーしてきたサブネットIDを貼

          m-okawa

          サブネットがどのインスタンスにアタッチされているかを確認する方法

          m-okawa