Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供
Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber
分割の基準を2つに絞っても、9パターンもありました。各構成を1つずつ見ていきましょう。 1. 単一のAWSアカウントを使う この構成パターンは、一見単純です。しかし、すべてのシステムを1つのAWSアカウントの中に構築するため、アカウント内の環境はかなり複雑になります。 1-1. 単一のAWSアカウント、単一のVPC default VPC以外のVPCを1つ明示的に作り、その中に複数のシステム、複数の環境を混在させる構成です 1-2. システムの種類と環境の用途でVPCを分割 システムの種類でVPCを分け、さらに本番用と開発用など環境の用途によってもVPCを分ける構成です 1-3. システムの種類でVPCを分割 システムの種類によってVPCを分けますが、開発環境や本番環境を1つのVPC内に構築する構成です 1-4. 環境の用途でVPCを分割 環境の用途によってVPCを分けますが、複数の異なる
ツイ鳥「ジョージ=コクム」(森に入ったのですが怪物もおらず、ツイ鳥だけがいました。赤字貿易経営者! @_596_ ツイ鳥は丸く青く、羽のない巨大な鳥の姿をした鳥です。ツイ鳥は多くの目でずっと遠くまで見渡すことができ、侵入者を捜して森を守っていました。ある日、誰かが尋ねました。『もし夜に怪物が来たらどうしよう?』ツイ鳥「ジョージ=コクム」巷では「毒の鳥」と言われている方いましたがきっと別の鳥です。輸出入業経営者の貿易業者兼ライター。 ツイ鳥「ジョージ=コクム」(森に入ったのですが怪物もおらず、ツイ鳥だけがいました。赤字貿易経営者! @_596_ ちょっと参考になる商品の選び方でも。amazonで商品を選ぶサクラレビューよりも「タイトル先頭にブランド名かメーカー名が入っているものがおすすめ。」です。理由はそもそもタイトル先頭にブランド名、メーカー名を入れることは【必須】で破っているやつは規約違
【速報】AWS向けの新ディストリビューション Amazon Linux 2 を発表! | DevelopersIO
ウィスキー、シガー、パイプをこよなく愛する大栗です。 先程Amazon Web Services向けに最適化されたLinuxディストリビューションであるAmazon Linuxの次世代版であるAmazon Linux 2が発表されましたのでご紹介します。 Amazon Linux 2 Announcement: Amazon Linux 2 LTS Release Candidate Available Introducing Amazon Linux 2 Amazon Linux 2は一般公開になり正式な5年サポートのLTS版が公開されています [速報]5年長期サポートのAmazon Linux 2が一般公開されました Amazon Linux 2 Amazon Linux 2の特徴をまとめてみます。 AWSとのインテグレーション:AWS CLIなどの多数のツールやcloud-initが
Amazon Linux AMI 2018.03 がリリースされました! | DevelopersIO
はじめに Amazon Linux AMI 2018.03が 2018年4月23日に正式にリリースされました! Amazon Linux AMI 2018.03 Release Notes ということで早速触ってみました! 起動してみた EC2 インスタンス作成画面、クイックスタートで表示されるAmazonLinuxのバージョンが「2018.03」となりました。 仮想化方式や、利用するストレージに応じたAMIは、コミュニティAMIを選択。OSとして「Amazon Linux」を指定。検索フォームに「2018.03」にて検索可能です。 変更点 1世代前の Amazon Linux(2017.09)との大きな違いは Linux カーネルだけです。 2017.09 では 4.9 系カーネルが採用されていましたが、2018.03 では 最新の長期サポート(LTS)である 4.14 です。 なお、正
AWS上でLinuxを使うなら、Amazon Linuxの方が何かと便利な事があるのかなーと考えて、普段使いのOSを変えてみようと思っては見たものの、UbuntuやDebian、CentOSであれば公開されているようなEOL情報が見つかりません。 実際、どの程度の期間にわたって、利用可能なのかを調べてみたので、結果を記録しておきます。 [追記] 2017/12/13 Amazon Linux 2発表 https://aws.amazon.com/jp/about-aws/whats-new/2017/12/introducing-amazon-linux-2/ https://forums.aws.amazon.com/ann.jspa?annID=5288 これならバージョンを固定したい環境でも安心して使えそう OSのcore部分は 5年間のLong Term Support 最新のパッ
AWS REST リクエストの署名についてメモ
AWS の REST API のリクエストでは署名(signature)を使って、API のセキュリティチェックを行っている。 サービス開始時に Version 1(いまは使われていない) が公開されたあと、2, 3, 4 という合計4種類が存在する。 この署名の仕様をメモ。 version 1 最も古い Version 1 ?Action=CreateQueue &QueueName=queue2 &AWSAccessKeyId=AKIAIOSFODNN7EXAMPLE &SignatureVersion=1 &Expires=2007-01-12T12:00:00Z &Version=2006-04-01 というような PARAM=VALUE がずらずらと並んだ GET リクエストを考える。 STEP1 パラメーターを大文字/小文字を無視して辞書順にソート。 ?Action=Creat
AWS Shield – DDoS攻撃からアプリケーションを保護 | Amazon Web Services
Amazon Web Services ブログ AWS Shield – DDoS攻撃からアプリケーションを保護 オンラインの世界は時として不愉快な場所です!あなたがウェブサイトを公開するや否や、問題を起こしたり、サイトを停止させようとする多くの種類の攻撃の標的にされます。DDoS (分散型サービス妨害) 攻撃は非常に一般的な問題の一つです。攻撃者はウェブ上のあらゆる侵害されたリソースを利用し、活動を特定の標的に集中させます。 DDoS攻撃には一般的に3つの種類があります。 アプリケーション層攻撃 はアプリケーションのリソースを消費するように設計された、整形式かつ悪意のあるリクエスト(HTTP GETやDNSクエリが一般的)からなります。たとえば複数のHTTP接続を開き、数秒または数分かけてレスポンスを読むことで、過剰にメモリが消費され、正当なリクエストが処理されなくなります。 State
こんにちは、梶です。 今日はAWSにおいてIPアドレス設計(ネットワークアドレス設計)で数年後ハマらないようにするために、ポイントを共有したいと思います。 特に、オンプレミスとAWS間を直接ネットワーク接続する際も、プライベートアドレスについて確認が必要です。 内容としてすごく地味だと思いますが、まとまった資料が無かったので作成してみました。 背景 「ネットワークアドレスを設計するときにはこのへんを考慮しておくと後々困らない」という内容があるといいよね。 と社内で声が上がりましたので作成してみました。 プライベートネットワークアドレス AWS VPCは作成開始時に決定したプライベートネットワークアドレスは、後から変更はできないため注意すること。 インスタンスへの固定IPアドレスの利用は避けること。 CloudFormationにおいてIPアドレスを固定することにより、メンテナンス上の問題が
Amazon VPCを使ったミニマム構成のサーバ環境を構築する | DevelopersIO
よく訓練されたアップル信者、都元です。AWSにおいては、ネットワーク環境をあまり気にせず、数クリックで簡単にサーバを構築できるのは一つのメリットだと言えます。しかし、本格的に運用するシステムに関しては、ネットワーク環境をコントロールする需要も出てきます。AWS Virtual Private Cloud (VPC)を使えば、AWS上に仮想ネットワークを定義し、その上に各種サーバを配置することができます。 深く考えずに非VPC環境に構築してしまったAWSサーバ環境は、簡単にはVPC環境に移行することはできません。従って弊社では、小さなシステムであっても、最初からVPC環境にシステムを構築することを推奨しています。「非VPCが許されるのは小学生までだよねー」とボスが申しておりました。かといって、ネットワークの構成をゼロから考えて構築するのもひと苦労であるため、本エントリーでは、システムの初期段
はじめに こんにちは、川原です。 AWSのIAMサービスでは、各AWSサービスへの操作をアクセス制御するために「ポリシー」という概念があります。 AWSのドキュメントを読んでいると、ポリシーにはいくつか種類があることに気付くかと思います。本ブログではそれらのポリシーについて整理してみたいと思います。 ポリシーの基本 ポリシーは基本的に、「誰が」「どのAWSサービスの」「どのリソースに対して」「どんな操作を」「許可する(許可しない)」、といったことをJSON形式で記述します。 記述したポリシーをユーザー(IAMユーザー、IAMグループ、IAMロール)や、AWSリソースに関連づけることで、アクセス制御を実現しています。 例えば、以下のJSONはAWS側で用意しているAmazonS3ReadOnlyAccessという名前のポリシーです(後述するユーザーベースポリシーのAWS管理ポリシーに該当)。
まだまだ使ったことの無いAWSサービスが多い菅野です。 今回はサービスではないのですが、AssumeRoleという機能を初めて使ったのでまとめてみました。 案件としては別AWSアカウントに存在するS3バケットにファイルを保存する事が目的なのですが、 保存するだけでしたらバケットポリシーで別アカウントのIDを許可するという方法があります。 ただ、その方法だとファイルの所有者が「ファイルをアップロードしたAWSアカウント」になってしまいますので、 トラブルにならないように、AssuemRoleを使うことでファイルの所有者がS3バケットを持つアカウントとなるようにします。 今回の目標 別アカウントのS3バケットにファイルを保存する AssumeRoleにより権限の委譲を行い、S3バケットへの保存許可を得る 作業が完了した時には、以下のようなイメージになります 大まかな作業の流れ 【S3バケットを
当エントリはDevelopers.IOで弊社AWSチームによる『AWS サービス別 再入門アドベントカレンダー 2015』の22日目のエントリです。昨日21日目のエントリは半瀬の『AWS Trusted Advisor』でした。 このアドベントカレンダーの企画は、普段AWSサービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 本日22日目のテーマは『IAM (AWS Identity and Access Management)』です。 もし、IAMがなかったら1つのAWSアカウントを複数人で共有し、誰が何のリソースに、どのような操作をしたかを把握することは不可能です。IAMは、AWS マネジメントコンソールや API によって素早く低コストでセキュリテ
ども、大瀧です。 データベースやクラウドストレージにアクセスするために、DockerコンテナでパスワードやAPIトークンキーなどのいわゆるクレデンシャル(資格)情報を扱うことがあります。これらの情報の扱い方についていくつかパターンを挙げ、考察してみたいと思います。 TL;DR(要点) DockerイメージやDockerfileに埋め込むのはアンチパターン コンテナ実行時に環境変数で渡すのがメジャー。しかしクレデンシャル管理が不要になるわけではない コンテナ実行時に外部から動的取得するのがおすすめ。クラウドのメタデータサーバーの利用がお手軽 クレデンシャル情報とは クレデンシャルは、コンテナから外部のデータソースにアクセスするための資格情報を指します。典型的なクレデンシャルとして以下があります。 DBユーザー名とDBパスワード : dbuser/dbpass WebサービスにアクセスするAP
はじめに AWSチームのすずきです。 クラウドサービスのAWS、有効なクレジットカードと電話番号があれば、10分ほどでその利用が開始できます。 AWS アカウント作成の流れ この様に簡単に取得できるAWSのアカウントですが、その管理が不適切な場合、意図せぬ事故の原因となることがあります。 今回、AWSを安全に安心して利用するため、AWSアカウントを開設後に実施すべき設定についてまとめてみました。 AWS環境が、弊社クラスメソッドメンバーズを初めとする請求代行サービスを利用されている場合、一部当てはまらない項目もありますのでご注意ください。 目次 ルートアカウントの保護 MFA(多要素認証)の導入 アクセスキーとシークレットキーの確認 IAM(Identity and Access Management)設定 IAMグループ作成 IAMユーザ作成 IAMユーザの認証設定 IAMのパスワードポ
よく訓練されたアップル信者、都元です。前回(昨日)はAWSのクレデンシャルとプリンシパルを整理し、「開発運用スタッフ」が利用するクレデンシャルについてプラクティスを整理しました。今回はAWS上で稼働する「システム」が利用するクレデンシャルについてのプラクティスを整理しましょう。 システムが利用するクレデンシャル システムが利用するとはどういうことかといいますと、要するに「ユーザがアップロードしたファイルをS3に保存する」だとか「S3バケットに保存されたファイル一覧を取得して表示する」だとか、そういう操作をするシステムを作ることです。このようなシステムでは、APIキーを利用しますね。 AWSのAPIキーには、これもまた大きく分けて2種類があります。 long lived credentials (永続キー) short lived session credentials (一時キー) 皆さん
よく訓練されたアップル信者、都元です。AWSにはIAMという権限管理のサービスがあります。AWSを専門としている我々にとっては当たり前の知識なのですが、皆さんはこの機能を上手く使えているでしょうか。 AWSにおけるクレデンシャルとプリンシパル まず、AWSにおけるクレデンシャルは大きく2種類 *1に分かれます。 Sign-In Credential:Management Consoleログインのためのクレデンシャル(要するにパスワード) Access Credentials:APIアクセスのためのクレデンシャル(要するにAPIキー) また、プリンシパル(ログインする主体、ユーザ名等)にも大きく2種類 *2があります。 AWSアカウント IAMユーザ これらの組み合わせとして「AWSアカウントのパスワード」「AWSアカウントのAPIキー」「IAMユーザのパスワード」「IAMユーザのAPIキー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
