サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
今年の「かわいい」
dev.classmethod.jp
マルチアカウント環境における全アカウント・全リージョンのSecurity Hubセキュリティ基準を一括集計して確認してみた はじめに マルチアカウント環境において、全アカウント・全リージョンのSecurity Hubセキュリティ基準の有効化状況を一括で集計し、確認する方法をご紹介します。 マルチアカウント環境では、アカウントごとに有効化するセキュリティ基準が異なる場合、各アカウントで意図したセキュリティ基準が正しく有効化されているかを確認したり、 Security Hubの中央設定を利用していない場合、全アカウントで特定のセキュリティ基準が有効化されているかを確認したいケースがあります。 このような場合、効率的に全アカウントのセキュリティ基準の有効化状況を確認するには、管理アカウントから一括で情報を収集し、集計する方法が有効です。本記事では、その具体的な手順を解説します。 実施手順の概要は
2024/11/27にTerraformのVersion 1.10がGAになりました! 1.10より Ephemeral valuesという機能が利用可能になりました。この新機能の詳細を見ていきましょう。 概要 ざっくりとは、機密情報をTerraformで扱う際に利用する機能です。 例えばデータベースインスタンスをTerraformで管理しようとした場合、そのパスワード(=機密情報)の値は他のattributeと同様TerraformのStateファイルに保存されます。また terraform planコマンドに -out オプションをつけると生成されるplanファイルにも保存されます。 これらStateファイルやplanファイルが万が一外部に漏洩した場合、それはデータベースパスワードが漏洩したことになり、大きなセキュリティリスクです。 そのため従来はこのリスクの対策として、例えばリソース
[待望のアップデート]Amazon Connectのオペレーション時間のみで祝日判定が可能になりました! はじめに AWSからの公式アップデートとしてはまだ発表されていませんが、Amazon Connectのオペレーション時間にオーバーライド設定が追加され、オペレーション時間のみで祝日判定が可能になりました。 従来、Amazon Connectでは日本の祝日や年末年始など、特定の日付のみを営業時間外に設定することができませんでした。 実現するには、以下の記事の通り、AWS Lambdaを利用し、Connectフローから呼び出すなどの追加開発が必要でした。 今回のアップデートにより、プログラム開発を行わず、オペレーション時間の設定だけで対応できるようになりました。 具体的には、特定の日を終日営業時間外にしたり、営業時間を短縮したり、イベントがある日は特別に営業時間を伸ばすなどが、オペレーショ
[新機能] メタデータを管理する最も簡単で最速な方法、Amazon S3 メタデータ (プレビュー) を試す! #AWSreInvent AWS事業本部コンサルティング部の石川です。Amazon S3バケットのクエリ可能なオブジェクトメタデータ(プレビュー版)が発表されました。S3バケット内のオブジェクトメタデータを自動的に生成し、効率的にクエリできるようになります。 Amazon S3 メタデータとは Amazon S3は、数十億から数兆のオブジェクトを含む個別のバケットを作成できる大規模なストレージサービスです。この規模で特定の条件を満たすオブジェクトを見つけることが課題となっていました。 そこで、登場したのがAmazon S3 メタデータです。S3オブジェクトの追加や変更時に自動的にメタデータを生成し、Apache Icebergテーブルに保存します。Apache Icebergテー
はじめに マルチアカウント環境でAWS Security Hubに統合されたAmazon Inspectorの未改善の脆弱性検出結果を、週次でメール通知する方法をご紹介します。 Amazon Inspectorでは、脆弱性の検出結果が一度だけ作成されます。 そのため、検出結果の作成をトリガーにAmazon EventBridge経由で通知する一般的な方法では、一度しか通知されず、その後の通知が行われません。 この仕組みでは、重要な脆弱性を見逃してしまうリスクがあります。 そのため、定期的に未改善の検出結果を通知する仕組みを構築する方法をご紹介します。 本記事では、マルチアカウント環境でInspectorがSecurity Hubと統合された構成を想定しています。 Amazon EventBridge Schedulerを使用して週次でAWS Lambdaを起動し、LambdaがInspec
Google Cloud データエンジニアのはんざわです。 皆さん、SQL のリンターを使っていますか? 過去のブログで SQL のリンターである sqlfluff を紹介しましたが、本ブログでは、sqlfluff よりも高速と噂される新しいツール「sqruff」を試してみたいと思います。 (余談ですが、この「sqruff」ってどう発音するんでしょうね、SQL + Ruff で「エスキューラフ」?それとも別の発音?) 検証環境 OS とバージョン macOS 13.5.2 パッケージ管理システム Homebrew 4.4.8 SQL の方言 BigQuery sqruff とは? sqruff は、Rust で開発された SQL リンターおよびフォーマッターのオープンソースツールです。 似たようなツールとして sqlfluff がありますが、sqruff はその sqlfluff よりも高
[新機能]Amazon Connect Emailがリリースされ、Amazon SESを容易に利用してユーザーとのメール送信・受信が可能になりました Amazon Connect アドベントカレンダー 2024、3日目の記事です! クラスメソッドとギークフィードさん、クラウドビルダーズさん、ネットプロテクションズさん、AWS Japanさんの有志が募ってチャレンジしている企画になります。 (アドベントカレンダーのカレンダー一覧はこちら↓) はじめに Amazon Connect Emailが一般提供され、Amazon SESを活用したユーザーとのメールコミュニケーションが容易になりました。 まず、コールセンターとコンタクトセンターの違いについて説明します。コールセンターは顧客対応のチャネルが電話のみに限定されますが、コンタクトセンターは電話、Eメール、Web、チャット、FAX、ハガキなど、
お疲れさまです。とーちです。 AWS re:Invent 2024 もうすぐ始まりますね。 re:Invent前ということもあり大量のアップデートが発表されています。 今日はその中から、「AWS announces access to VPC resources over AWS PrivateLink」というアップデートを詳解します。 とりあえずまとめ AWS PrivateLink(以下PrivateLink)が進化し、NLBやGateway Load Balancerなしで、VPCリソースへの直接的なプライベートアクセスが可能に PrivateLink経由で通信させるには Resource configuration と Resource gateway が必要 何が変わったのか 従来のAWS PrivateLinkで、他VPCからEC2などのVPC内リソースにアクセスさせるためには
こんにちは、臼田です。 みなさん、AWSのセキュリティインシデント対応してますか?(挨拶 今年も開催されているAWS最大のイベントre:Invent 2024で新サービスのAWS Security Incident Responseが発表されました!どんなものか見ていきましょう。 New AWS Security Incident Response helps organizations respond to and recover from security events | AWS News Blog 概要 先日似たような名前のAWS Incident Detection and Responseというサービスがちょうど日本語のサポートを開始していました。詳細は下記。 名前も似ていることもありサービスも似ています。上記のAWS Incident Detection and Respon
AWS Security Hubで[Config.1]の重要度がCriticalに変更され、新たに追加された「コントロール失敗理由」を確認し是正してみた はじめに 今月、AWS Security Hubのコントロール[Config.1]の重要度がMEDIUMからCRITICALに引き上げられました。 さらに、Config.1の失敗検出結果に新たにステータスコード(Reason code)とステータス理由(Description)が追加されました。 AWS Configやリソース記録が無効になっている場合、不正確なコントロール検出結果を受け取る可能性があります。そのため、是正しましょう。 Config.1 checks whether AWS Config is enabled, uses the service-linked role, and records resources for
CICが個人の信用把握を容易にする目的でクレジットガイダンスの提供を開始しました。以前CICに照会した記事を参考に、照会情報にどの程度違いがあるのか試してみました。 2024年11月28日、CICはクレジット・ガイダンスの提供を開始しました。これはクレジットカード利用者の信用状態を数値化した指標で、200から800の範囲で示されます。 約4年前の2020年9月にCICの照会を試してDevIOに記事を書きました。今回は、当時の照会と比べてどの程度情報が追加されているのか確認してみました。 照会手順 今回はスマートフォンでインターネット開示を利用しました。2020年当時はPCから操作していましたが、スマートフォンからの申請では決済手段がカードまたはキャリア決済の2つから選択できるようになっています。なお、記事執筆時点では提供開始直後のため、電話回線が混み合っている状況です。 手続きの説明を一通
こんにちは。たかやまです。 Amazon CloudWatchが関連するテレメトリやリソースの関係を可視化することで、問題の根本原因をより迅速に特定し、運用効率を向上させることができるようになりました! 三行まとめ CloudWatchで関連するテレメトリやリソースの関係を可視化できるようになった AWSマネジメントコンソールの「Operational troubleshooting」タブからも利用可能 ネイティブに対応していないテレメトリについてはカスタムテレメトリとして追加も可能 やってみた サンプルリソースとしてAuto ScalingするEC2インスタンスを作成します。 以下CDKサンプルコードです。 サンプルコード #!/usr/bin/env node import * as cdk from 'aws-cdk-lib'; import * as autoscaling fro
AWS事業本部コンサルティング部の石川です。新たなマイクロ環境サイズが追加された Amazon Managed Workflows for Apache Airflow(以降、Amazon MWAAと略す)が追加されたので環境構築してみました。 Amazon MWAAと マイクロ環境クラス「mw1.micro」の導入ユースケース マイクロ環境クラス「mw1.micro」の登場によって、ユースケースが広がります。 コスト効率の向上 小規模な本番ワークロードでも導入できる リソース最適化とコスト効率に柔軟に対応できる 開発用途に最適 開発環境やテスト環境として効率的に利用できる データ分離 異なるワークフロー要件毎にデータ分離を実現する 部門ごとの分離環境が提供できる mw1.microの主な特徴 mw1.microのスペックは以下のとおりです。 クラス/リソース スケジューラとワーカー vC
いわさです。 Step Functions を使っている全員がこれまで感じていたと思いますが、ステート間の値の引き渡し面倒でしたよね。頑張って出力に入れて...とか。 昨日、AWS Step Functions で変数が使えるようになったというアップデートがありました。 ステートマシンでは様々なタスクを組み合わせてワークフローを作成するのですが、前半のタスクの取得・処理結果を後半のタスクに引き渡したいことが必ず出てきます。 例えば以下のフローで Step1 の処理結果を Step5 で参照するためには、Step2、Step3、Step4 と引き継いでいく必要がありました。 画像引用元:https://docs.aws.amazon.com/step-functions/latest/dg/workflow-variables.html 今回のアップデートで変数がついに使えるようになり、例え
[アップデート] Amazon Cognito ユーザープールに機能プランの概念が導入され、料金計算方法が変わります いわさです。 今朝アナウンスされましたが Amazon Cognito ユーザープールに機能プランという概念が登場しました。 まず、Cognito ユーザープールの料金は月間のアクティブユーザー数(Monthly Active Users / MAU)によって算出されます。 これまではオプションの高度なセキュリティ機能などを有効化するかどうかで MAU ごとに追加コストが発生するような形でした。 今後はユーザープールごとに機能プラン、要は使える機能の異なる料金プランを選択する形になります。 先にまとめ Cognito ユーザープールに機能と料金の異なる3つのプラン Lite / Essentials / Plus という概念が追加された。 既存ユーザープールのプランは「Li
いわさです。 最近社内にて Visual Studio Code 上で Web アプリケーションや AWS インフラテンプレートを開発することがあります。 チーム開発に GitHub を使っているのですが、Issue や Pull Request の処理で IDE と GitHub (Web ブラウザ) を行ったり来たりするのが面倒だなと思い始めました。 何か良いものは無いだろうかとマーケットプレイスを探してみると GitHub Pull Requests という GitHub 公式の Visual Studio Code 拡張を見つけました。 本日時点のバージョンは 0.101 です。 マーケットプレイス上プレビュー表記はありませんでしたが、どこかで正式版 1.0 になるのかな。 こちらを試してみましたので紹介します。 前提として、私は GitHub をライトな使い方しかしていなくて、M
CloudFrontのアクセスログ機能が大幅にアップデートされ、CloudWatch Logs/Firehoseへの配信、S3出力時のパーティション指定やログ項目・フォーマットのカスタマイズが可能になりました。 2024年11月20日、Amazon CloudFront は、標準のアクセスログ機能がアップデート。 CloudWatch Logs と、Firehose へのログ配信と、 S3のログ出力もパーティション指定や、ログ項目、フォーマットのカスタマイズが可能になりました。 今回 新しい CloudFrontの標準アクセスログの S3出力設定と、機能変更、アップデート内容について、確認を試みる機会がありましたので、紹介させていただきます。 CloudFront設定画面 CloudFrontダッシュボードを利用しました Loggingタブ ディストリビューション設定画面に「Logging
CloudFrontの新機能VPCオリジンを使い、プライベートなALBをセキュアに公開する事が可能になりました。 2024年11月20日に発表されたAmazon CloudFront の新機能、VPC オリジンを利用して、Amazon VPC の Internal ALB へ CloudFront 経由でアクセスする設定方法を紹介します。 評価環境の準備 VPC VPCウィザードを利用して、以下のVPCを作成しました。 VPCとサブネット等の関連リソースを同時に作成 IGWを利用可能なパブリックサブネットを2つ GWの存在しないプライベートサブネットを2つ NATGatewayの設置は行わない Internal ALB作成 作成した検証用のVPCに、VPCオリジンで利用する Internal ALBを作成しました。 内部用の ALB (Internal)を設置しました。 サブネットは、プラ
Amazon Aurora Serverless v2が最小キャパシティ0に対応し、自動停止・再開が可能になりました Amazon Aurora Serverless v2 はAurora Capacity Unit(ACU)という単位でリソース管理され、0.5 ACU単位でワークロードに応じてスケールアップするサーバーレスデータベースです。従来は最小ACUが0.5でしたが、0キャパシティに対応したことにより、アクティビティのないインスタンスが自動的に停止・再開するようになりました。 例えば、本番・開発環境に同じAurora Serverless v2を導入しているケースにおいて、夜間や週末はアイドル状態を伴う開発環境の最小ACUを0にしておけば、利用がなくなるとインスタンスは自動停止し、コスト削減に繋がります。 対応DBエンジン 以下のAuroraエンジンに対応しています Postgre
はじめに 以前、Amazon Inspectorの検出結果をAWS Security Hubを経由してメール通知する方法をご紹介しました。 Inspectorは脆弱性を検出するたびに結果を作成するため、1つのリソースに対して複数の脆弱性が見つかった場合、その数だけメール通知が発生してしまいます。例えば、100個の脆弱性が検出されると、100通のメールが送信される状況でした。 本記事では、脆弱性ごとの通知ではなく、1リソースごとに検出結果をまとめて1回の通知で済ませる方法をご紹介します。 構成は以下のとおりです。 本実装は、以下の流れで処理を行います。 Inspectorで検出結果が作成され、Security Hub経由でEventBridgeが起動します。 Firehose ストリームに検出結果が一時保存されます。 Firehose ストリームは、指定したバッファ期間内に受信したイベントを
困っていること Jumpアカウントやスイッチロール先アカウントでIPアドレス制限を設定する場合、通常はJumpアカウントのIAMユーザーまたはスイッチロール先のIAMロールにIP制限を適用します。 しかし、許可されているIPアドレスからアクセスキーを使用してAWS CLIでスイッチロールを実行した後、非許可IPアドレスに変更しても、JumpアカウントのIAMユーザーまたはスイッチロール先のIAMロールでの操作が引き続き可能となってしまいます。 # JumpアカウントのIAMユーザーのアクセスキーを利用して、AssumeRoleを実行 $ aws sts assume-role \ --role-arn arn:aws:iam::123456789012:role/test-user \ --role-session-name test-session $ export AWS_ACCESS
はじめに こんにちは。AWS事業本部コンサルティング部に所属している和田響です。 今朝のアップデートで、Amazon CloudWatch がオブザーバビリティソリューションを提供開始しました。 このアップデートのポイントをまとめると以下になります。 CloudWatch のコンソールでオブザーバビリティ向上のためのStepが解説されるようになった AWSサービスに加えて、Apache Kafka、Apache Tomcat、NGINX などのワークロードもサポートしている CloudWatch ダッシュボードを数クリックでデプロイできるようになった さわってみる 可観測性ソリューションの使用を開始するには、CloudWatch コンソールの可観測性ソリューション ページに移動してください。 まずはAWSのコンソールにログインし以下のページを開きます。 CloudWatch のコンソールの
[アップデート]待望!管理アカウントでメンバーアカウントのルートユーザ操作禁止などが設定できるRoot access managementがリリースされました! 待望!!管理アカウントでルートユーザの操作禁止やルートユーザだけが可能な操作が実行できるRoot access managementがリリースされました! はじめに Control Tower/Organizations使用者にとって今年1番熱いアップデートが来ました!!Organizationsを使用している際に、管理アカウントから各メンバーアカウントのルートユーザを使用禁止や、ルートユーザ特有の操作の実行が可能になりました! 具体的には管理アカウントから以下の操作が可能になります。 ルートユーザに対して以下を実施 認証情報、パスワード、署名証明書、MFA設定、セッション情報の削除 パスワードリセットの禁止 ルートユーザ特有の操
こんにちは、AWS事業本部 コンサルティング部の荒平(@0Air)です。 プロダクト終了や一時検証用に作成した場合など、使い終わったAWSアカウントはどうしていますか? 利用していないAWSアカウントは、放置することで不正利用のリスクがあるかもしれません。 様々な事情でAWSアカウントを削除したいケースがあり、今回はアカウント閉鎖前に確認する事項をまとめてみます。 チェックリストをまとめるにあたり、公式ドキュメントをベースとして引用しています。 公式ドキュメントは以下: 前提 リストは予告なく更新する場合があります AWSアカウントを閉鎖すると、申請から90日以内に永久に閉鎖され、その後は取り戻すことができません AWSアカウントリセラーをご利用の場合は、閉鎖時の処理について異なる場合がありますので、別途お使いのリセラーにお問い合わせください チェックリスト アカウント閉鎖の申請を行う前に
こんにちは、製造ビジネステクノロジー部の若槻です。 GitHub Copilot in VS Code October release (v0.22) より、ローカルにワークスペースのインデックスを構築し、プロジェクト全体について質問できるようになりました。 @workspace lets you ask questions about code in your current project. This is implemented using either GitHub’s code search or a smart local index that VS Code constructs. 今回はこの機能について実際に試してみました。 試してみた 前提 Visual Studio Code 1.95.2 GitHub Copilot Extension v1.245.0 GitHub
はじめに 以前、AWS Step Functionsを使ってMicrosoft Teamsに通知する方法について紹介しました。 今回は、ステートマシンにアカウントIDを渡すことで、通知先のメンション対象者を動的に変更する方法をご紹介します。 ステートマシンに加え、アカウントIDとメンション対象者をデータとして保存するため、Amazon DynamoDBを利用することで、実現可能です。 システム構成は以下の通りです。 Step Functionsを使うことで、柔軟なワークフローを組み立てながら、Teams通知を組み込めるところが利点です。 利用ケースとしては、AWS Secuirty Hub管理アカウントでアラート時、Teamsでアカウント管理者にメンションを飛ばして通知する、などが考えられます。 通知画面は以下のイメージです。メンションを飛ばしています。 TeamsのWebhookURL
[レポート]SBOMとセキュリティの透明性 - すべてを統合する方法 - CODE BLUE 2024 #codeblue_jp こんにちは、臼田です。 みなさん、セキュリティ対策してますか?(挨拶 今回はCODE BLUE 2024で行われた以下のセッションのレポートです。 SBOMとセキュリティの透明性 - すべてを統合する方法 ソフトウェアに何が含まれているのかを知るというアイデアは、急進的な考えから「SBOM(Software Bill of Materials)」という流行語に変わった。しかし、SBOMはどこへ行こうとしているのだろうか。また、セキュリティにおける他の動き、特に政策や規制に関する動きとどのように関わっていくのだろうか。本講演では、SBOMがどこから来て、どのようにして世界的なコミュニティになったのかを振り返り、現在のギャップを明示し、コミュニティがどのようにそれら
[レポート]PlayStation 5のネットワーク暗号化を突破する - CODE BLUE 2024 #codeblue_jp こんにちは、臼田です。 みなさん、セキュリティ対策してますか?(挨拶 今回はCODE BLUE 2024で行われた以下のセッションのレポートです。 PlayStation 5のネットワーク暗号化を突破する ゲーム機は、市場で最も保護が厳しい消費者向けデバイスの1つである。同時に、これらの保護を破ることへの関心も非常に高い。それに対抗するため、ゲーム機メーカーはセキュリティに多額の投資を行い、脆弱性報告に対して報酬を提供している。 この講演では、私がどのようにしてPlayStationコンソールのTLSネットワーク暗号化を突破し、最も高額な報酬である5万ドルを受け取ったかを紹介する。また、この脆弱性が原因で、SONYが全PlayStationコンソールに対して全世
「Terraform Stacks入門」というタイトルでHashiTalks:Japan 2024に登壇しました #HashiTalks #HashiTalks Japan 2024 HashiTalks:Japan 2024にて、「Terraform Stacks入門」というタイトルでお話ししました。 登壇資料 おわりに Terraform StacksはHashiTalks 2024でパブリックプレビューが発表された機能です。 便利な機能ですが、「Terraform Stacksには新しい要素が多く、理解するのに時間がかかる可能性がある」と思われた方もいたのではないでしょうか。 少しでもハードルを下げられたらと思い、今回発表テーマに選びました。 個人的には、HCP Terraformにおけるマルチアカウント・マルチリージョン管理の主流になる可能性があると思います。 様々な活用方法がある
次のページ
このページを最初にブックマークしてみませんか?
『Developers.IO』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く