はてなブックマーク

【AWS IAM】AWS IAM Roles Anywhereを、自己署名のプライベートCA局で試してみるAWSIAM はじめに 先日、AWS IAM Roles Anywhereなるサービスが発表されました。 下記、公式blog記事に丁寧に書いてあるので詳細は割愛しますが、X.509証明書を用いてAWS Temporary Security Credentials (i.e. AccessKeyId/SecretAccessKey/SessionTokenの組み合わせ)を取得し、これを用いてAWS S3/DynamoDB等のAWSサービスを利用できる仕組みとなります。 Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog https://aws.amazon

はじめに ECSには4つのIAM Roleが出てきます。それぞれAWS Management Consoleや公式ドキュメントには説明がありますが、実際の設定・挙動と突き合わせてどうなっているか分かりにくいため、整理しました。 なお、本稿では情報過多を避けるため、一旦、Service IAM role (Service-Linked Role) の説明は省いています。 3つのIAM Role ECSで稼働するコンテナの動作には、主に以下の3つのIAM Roleが関わってきます。それぞれの役割、利用されるタイミングを説明します。 Container Instance IAM Role Task Execution Role Task Role TL;DR ※ Launch Typeによる挙動の違い 参照。 解説 Container Instance IAM Role Fargateを利用しな

はじめに 本稿は以下の二部構成となります。 【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#1　～解説編～【AWS】　←いまココ 【Amplify】APIのAuthorization方式「AWS_IAM」を理解する#2　～実践編～【AWS】　※作成中 昨今、新たなサービスの提供の際には、SPAやモバイルアプリで実現することが当たり前の状況になってきているかと思います。 AWSであればAmplifyというフレームワークを使うことで、基本的な構成をすぐに作ることができますが、そのベースとなる仕組みについての解説が少なく、少しでも想定構成を外れたものを作ろうとすると、途端に苦労します。 Amplifyで利用可能な（というより、AppSync・API Gatewayで利用可能な）Authorizationには以下の4つの方式がありますが、主に利用する方式は A

はじめに Amplifyを利用してアプリケーションを作る場合、Cognito User Pool／Cognito Identity Pool（Cognito Federated Identities）を利用してAPI GatewayでAuthorizationする方法が暗黙裡にデフォルトになっているように見えます。 よく使われるであろうと思われる割には、その仕組みについての説明があまり見当たらなかったので解説記事を書こうとしましたが、前提となる事項があまりにも多いことが分かったので、個別の記事として分離しました。 本稿では、AccessKeyIdやSecretAccessKeyの使われ方、AWS APIにおけるSignature V4の仕組みなどについて解説します。 API GatewayのAuthorization方式として「AWS_IAM」という項目を選択できますが、本稿の内容を理解す

はじめに 昨今のアプリケーション開発では、開発環境に仮想マシン（ハイパーバイザ型にせよコンテナ型にせよ）を構築することが殆どだと思います。 弊社でもここ数年、開発環境として当たり前のように、Vagrant＋VirtualBoxを利用したりDockerを利用することが増えています。 そんな中で、開発環境の構築、特にネットワーク周りで躓いている人が少なくないので、仮想環境ネットワークの仕組みを整理しようと思います。 Prerequisite 仮想環境に関する基礎的な用語を知っている（ゲストOS/ホストOS、など） IPアドレスにおけるサブネットマスク、ネットワーク部／ホスト部を理解している Vagrantの基本的な役割・位置づけを知っている（Vagrant自体は仮想環境は提供しない、など） VagrantとVirtualBoxで簡単な構成の仮想マシンを操作することができる（Getting St

1 はじめに つい先日、こんな記事がバズっているのを見ました。 C言語を理解したいのならアセンブラを学べ(ただしINT 21Hは出てこない) - Qiita 21世紀も1/5が終わろうとし、平成もまさに終わらんとするときに「INT 21H」なんて用語を見るとは夢想だにしませんでした。 あまりにも懐かしすぎたので、勢いで8086の開発環境を作って、適当なプログラムを動かしてみました。 本稿のゴールは下記の通りです。 FreeDOS（オープンソースのMS-DOS互換OS）の環境を構築し、JWasm（マクロアセンブラ互換）及び関連ツールを動かせるようにする 簡単なプログラムを書いてアセンブルし、実行できるようにする プログラムの中でINT 21Hを使う（※超重要） DEBUG.COM（デバッガ）を実行して、CPUの動作を1ステップずつ追う ※本稿は元記事インスパイア・リスペクト・オマージュ及びそ

状況としては、インストール直後に作成される「VirtualBox Host-Only Ethernet Adapter」（192.168.56.1/24がアサインされるもの）が生成されず、またvagrant upやminikube startを実行しても、Ethernet Adapterが作成されませんでした。 各ソフトウェアで出力されるエラー それぞれどのようなエラーが出力されたか、参考情報として載せておきます。 $ vagrant up Bringing machine 'stdsv5' up with 'virtualbox' provider... ==> stdsv5: Importing base box 'gbailey/amzn2'... ==> stdsv5: Matching MAC address for NAT networking... ==> stdsv5: C

【Windows】Docker Desktop for WindowsとVagrantの便利な環境を共存させる #1/3【Hyper-V】VagrantDockerHyper-VWindows10 はじめに 最近、Windows 10にアップグレードしたことに伴い、ローカルの仮想マシン用のハイパーバイザを、もともと利用していたOracle VirtualBoxからHyper-Vに乗り換えました。 VirtualBoxとHyper-Vを切り替えて使うという選択肢もゼロではありませんでしたが、切り替えにはOS再起動を伴うので少々面倒です。 Windows 10でも引き続きVirtualBoxを使うという選択肢もありましたが、Docker Desktop for Windowsも使ってみたかったのでHyper-Vに乗り換えました。 やりたかったこと Vagrant+VirtualBoxの環境を長

はじめに Ansible Playbookで、OS／ディストリビューションの差異がある場合には、Factsの情報を利用してTaskを分けることが多いと思います。 Amazon Linux（初代）とAmazon Linux 2はベースとなるOSディストリビューションが違うこと（それぞれRHEL6、RHEL7をベースにしているように見える）、その他大きな変更が行われていることから、場合によっては同じTaskを適用できないことがあります。 Amazon Linux（初代）とAmazon Linux 2を判別する方法をまとめます。 TL;DR 2019/4/27現在、きれいに判別する方法はまだ無さそう 「ansible_distribution」と「ansible_service_mgr」で判別するのが一番現実的 「ansible_distribution_major_version」はいずれも「

はじめに S3上にあるファイルを一時的に不特定多数に公開したい場合や、IAM Userアカウントを持っていない人に対して一時的にファイルのダウンロード／アップロードさせたい場合があります。このような場合に用いることができる手段として「S3 Presinged URL」があります。 ググってみると、このURLの生成方法、利用方法についての説明はあるものの、その仕組みについて触れたものはほとんどなかったため、記事にまとめました。 TL;DR Presigned URLは特定のIAM Entity（IAM User/IAM Roleなど、AWS API操作主体となるもの）の権限で発行される Presigned URLによるファイルのダウンロード／アップロードは、このURLを発行したIAM Entityの権限で実行される Presigned URLは有効期限を持たせることができる Presigne

はじめに 2つのAWSアカウントにそれぞれ存在するS3 Bucket間で、ファイルを転送するケースについて、S3 BucketのBucket Policyを付与せずに実現する方法は無いか調べました。 アクセス権限管理の都合上、出来る限りBucket Policyを付与せず、IAM Policyだけで全て管理したいものです。 また会社間でファイル転送をするうえで、S3 Bucketの管理ポリシー上、Bucket Policyを容易に付与できない場合もあります。 なんとかIAM Policyだけで完結できないか調べてみました。 結果、出来ないという結論に至りました。 本稿では、何故それが出来ないのか、その仕組みから説明します。 TL;DR 権限管理について AWSアカウントをまたいだS3 Bucket間コピーは、どちらかのS3 BucketにBucket Policyが必要になる Least

エラーの具体例 下記のようなエラーが出力される場合は、既にAtlas上にBoxイメージが無い可能性が高いです。 「以前はこの設定で出来たんだけどな…」という場合はほぼこれです。 エラーメッセージ $ vagrant up Bringing machine 'stdsv1' up with 'virtualbox' provider... ==> stdsv1: Box 'centos/7' could not be found. Attempting to find and install... stdsv1: Box Provider: virtualbox stdsv1: Box Version: 1803.01 The box 'centos/7' could not be found or could not be accessed in the remote catalog. I

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

目的・概要 昨今、我々がInternet上のサービスを利用するにあたり、SSL/TLSは無くてはならない存在となっています。 なんとなく、おぼろげに理解しているSSL/TLSについて、仕組みをきちんと理解するに足る内容を整理し、 ポイントを押さえた説明を行うことを目的とします。 以下のような読者、具体的にはITエンジニア新人～2,3年目の方を対象としています。 何となくアプリ開発・インフラ開発は出来るようになったけれども、各要素技術の詳細について理解が曖昧という人を想定しています。 SSL/TLSを何となく理解しているが、これを利用する通信・その他技術について、順を追って説明することが出来ない。 OpenSSLのコマンドを打って何となくオレオレ証明書が作れたが、仕組みをよく理解していない。 生成・削除・編集が容易な電子データなのに、何故、偽造が出来ない／改ざんが出来ないのか、ちゃんと説明す

はじめに 同じパッケージであるにも関わらず、ディストリビューションで名称が違う場合があります。またインストールパス／設定ファイルのパスが微妙に違う場合があります。 たとえばApache2.4のパッケージ名は、CentOS7の場合は「httpd」ですが、Amazon Linuxの場合は「httpd24」となります。タスクごとにwhen句で指定しても良いのですが、同じ値を複数個所で使う場合はPlaybookが煩雑になります。 このような場合、ディストリビューション／OS環境ごとに変数をあらかじめ定義し、切り替えられたら便利です。またこの制御をグローバルに行う（≒Role呼び出し元のPlaybookで制御する）のではなく、Roleに閉じた範囲で制御できた方が見通しが良くなります。 このようなケースの解決策を以下にまとめます。 TL;DR vars（roles/????/vars/main.yml

はじめに アクセス数のそこそこ多いサイト・Webサービスを運営する場合は、Webサーバ内でSSL処理を行うようなことはありませんが、アクセス数の少ないサイトではWebサーバ内でSSL/TLSの処理が必要なケースがあるかと思います。 ApacheでSSL/TLSを利用するためのモジュールとして、多くのケースではmod_sslが利用されていますが、近年ではmod_nssというモジュールも利用できます。 mod_nssについて良く知らなかったので、わかる範囲で調べてみました。 おもに、mod_sslとmod_nssとどう違うか、という観点からまとめています。 検証した環境 OS: CentOS7.4 (7.4.1708) Apache: 2.4.6-67.el7.centos.6 mod_ssl: mod_ssl-2.4.6-67.el7.centos.6 mod_nss: mod_nss-1.

はじめに 具体的に動作するCloudFormation templateをもとにしながら、templateを作っていくうえでのポイントについてまとめます。 下記記事の続きです。 【AWS】実例で学ぶCloudFormation～VPC/Route53編～ 対象となるtemplate 以下で公開しているものをベースに説明します。 https://github.com/tmiki/cloud-formation-templates/blob/master/cfn-32-rds.yml 解説 templateの概要・特徴 このtemplateは、Aurora(MySQL) Clusterを作ります。 Cross-stack referenceの機能を使い、VPCを構築したStackのExport名を指定して、デプロイ対象のVPC/Subnetの情報を取得します。 特徴は下記の通りです。 新規作成

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 最近、CloudFormationを実運用で使い始めました。開発環境／QA環境／本番環境ともにCloudFormationで運用できる目途がついたので、ポイントをまとめてみます。 なお、CloudFormationは名称が長いのでCFnと略します。 基本方針 CFn templateの作成・管理 管理手法 templateはyamlで書く。 templateはGitリポジトリで管理する。 template構成 templateはある程度独立した単位に分割する。 template間で共有するパラメータは、Stack作成時にPar

ここで、ApacheはReverse Proxyとして動作することになります。 このApacheの設定をどのようにするべきか、が本稿のポイントとなります。 なお、本稿で用いるドメイン名は「example.com」若しくは「www.example.com」とします。 Apache設定 種々の都合から、Webサービス提供に用いるドメインをname-basedなvirtual hostとして定義する必要があります。 この場合、ServerNameディレクティブで下記のように設定する必要があります。 Apacheの公式ドキュメントには下記のような記載があります。パラグラフごとに見ていきましょう。 core - Apache HTTP Server Version 2.4 -> ServerName Directive http://httpd.apache.org/docs/current/en/

はじめに 近年の目標であった、AWS認定ソリューションアーキテクトプロフェッショナル（AWS CSA-Pro）に合格してきました。 スコアは82%でした。 これから受験する人の参考になればと思い、体験記をまとめてみます。 ちなみにこの記事は8割がた試験日の午前中に書いてます。 試験は13:30開始にしましたが、緊張と興奮で何も手に付かなかったので、これを書き始めました。 TL;DR 模擬試験でFailedになっても絶望しない（模擬試験は難しいというより悪問が多い）。 正攻法は時間がかかるけど、活きた知識がちゃんと身に着く。 Linux Academyのコースを、素直にカリキュラムに従って勉強すれば普通に合格できる。 英語出来ないとExtremely Hard Mode（最低でもTOEIC L&Rで600点ぐらい無いと辛い） 使った有料サービスは下記の2つです。これをちゃんとやれば多分合格で

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

この記事は下記記事の続きです。先にこちらを読むことを推奨いたします。少なくともWalkthroughの前編を読まないと内容が把握できないと思います。 仕組みから理解するTwilio #1 - はじめに 仕組みから理解するTwilio #2 - 通信フロー・データ構造 仕組みから理解するTwilio #3-1 - AWS API Gateway+Lambda実装Walkthrough(前編) はじめに Twilio利用時の基本構成・用語の定義 今回検証した環境 通信フロー・データ構造 認証・CapabilityToken授受 外部電話からTwilioクライアントへのCall(IncomingCall) Twilioクライアントから外部電話へのCall(OutgoingCall) 3-1. AWS API Gateway+Lambda実装Walkthrough(前編) API Serverの処

はじめに 先日、Amazon Aurora(MySQL)の必須アップデートの案内が来たのでアップデートの検証作業を実施しておりました。 Zero Downtime Patch(以下、ZDP)が実行され、ダウンタイム無しでアップデートが行われるはずが、不具合が発生してしまいました。 ググっても関連する情報が見つからなかったので、取り急ぎ分かっている情報について記録しておきます。 なお、対象のアップデートは下記のものになります。（Cluster Version 1.14） Database Engine Updates 2017-08-07 http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Aurora.DatabaseEngineUpdates.20170807.html ポイント(TL;DR) 重要なポイントは下記のとおりです。 A

認証・CapabilityToken授受 処理フロー まず、下記の図をご覧ください。 処理のフローは下記のようになります。 1-1. Capability Tokenの取得リクエスト Twilio ClientはAPI Serverに対し、Capability Tokenを取得するためのリクエストを行います。 API ServerはTwilio Clientから送信された情報をもとに、必要に応じて認証・認可を行います。 1-2. Capability Tokenの返却 API Serverは、Capability Tokenを生成し、Twilio Clientに返却します。 この際、当該Capability Tokenを利用して何ができるか（電話をかけることができる／受けることができる）、Twilio ClientのClient Name、有効期限といった情報が付与されます。 1-3.Tw

手軽且つ汎用的なテレフォニーサービスとしてTwilioが各所で使われており、諸兄諸姉も様々なプロジェクトでご利用のことと存じます。 公式ドキュメントには各言語のサンプルコードは豊富にありますが、飽くまで各言語からの呼び出し方法が主眼となっており、通信プロトコル・データ構造についての情報がありませんでした。 特に、外部の電話からTwilioクライアントに対して電話をかけ通話する方法、TwiMLを返却するサーバの実装について、詳しい情報を見つけることができませんでした。 # 断片的な情報はありましたが、これを実用的なレベルに組み合わせるのに苦労しました… そこで、Twilioの仕組みがどうなっているかという観点を意識し、実際に検証した結果やパケットキャプチャした結果等を突き合わせながら、必要な情報をまとめたいと思います。 公式ドキュメントに記載がない情報は、飽くまで現時点で検証したものであり、