[AWS] ルートアカウントにMFA(Multi-Factor Authentication)設定をする。

こんにちは、与儀です。

過去の記事、[AWS]マネジメントコンソールログインアカウントに MFA(Multi-Factor Authentication)を設定する。(IAM編) で、IAMアカウントの MFA 設定について説明しましたが、今回はルートアカウントに対する MFA 設定の手順を(少し冗長かもしれませんが)説明したいと思います。

ルートアカウントは通常利用はしないことがセキュア的にも推奨されておりますので、ルートアカウントを MFA 設定したら、IAM ユーザでログインするようにしましょう。

Continue reading

[AWS] JAWS-UG沖縄勉強会 「真夏の熱すぎるサーバレス祭り!」が開催されました。

こんにちは、与儀です。

先日開催された、JAWS-UG沖縄 真夏の熱すぎるサーバレス祭り!に参加してきましたので、その模様を写真とスライド資料で簡単にレポートします。

今回のテーマである「サーバレス」を耳にすることも多くなってきたは思いますが、ついにその波が沖縄までやってきました。参加者も30名以上と注目度の高さが伺えました。
弊社でもサーバレスの導入事例は出てきていますが、まだまだこれから、という部分で思考錯誤している部分が多いです。今後サーバレスの流れは確実に拡がっていくと私は考えています。まずはどしどし使ってみることが重要ですね。なお、弊社からも開発者の鈴木と情シス担当の山城の2名が登壇させていただきました。

Continue reading

[AWS] ルートアカウントでしかできないことをまとめ(中)てみた。

こんにちは、与儀です。

突然ですが、AWSのルートアカウントとIAMユーザはご存知でしょうか?

ざっくり説明すると、ルートアカウントは、AWSアカウント作成時に使うアカウントで、ログイン時にメールアドレスとパスワード(と設定されていれば、多要素認証も)を使ってログインするアカウントです。IAMユーザは、ログイン時に専用のURLから、IAMユーザ名とパスワード(と設定されていれば、多要素認証も)を使ってログインするアカウントのことです。(ざっくりすぎ。)

ルートアカウントの認証情報と IAM ユーザーの認証情報

また、ルートアカウントの通常利用は禁止することをセキュリティ的に推奨されています。
というのも、ルートアカウントは権限の制御ができず、なんでもできてしまう権限の為、
万が一悪意のあるユーザにアカウント情報が漏洩してしまった場合は、危険です。

ということで、通常利用・運用時は権限が制限されたIAMユーザを利用することが推奨されており、
そうしている方も多いと思いますが、ルートアカウントでしかできない操作、というのがあり、
しばしばルートアカウントでログインしなおすことがありますので、
こちらで簡単にまとめ(中)てみます。

Continue reading

[AWS] JAWS-UG沖縄勉強会「Cloud on the BEACH 2016」へ参加・登壇してきました。

こんにちは、与儀です。

沖縄はもうすっかり夏ですね、梅雨入り前とあって蒸し暑いです。
去った4/29(金)のGW連休初日に開催された、毎年恒例の「Cloud on the BEACH 2016」へ参加・登壇してきましたので、そのレポートです。毎年このイベントが終わってから夏本番、と言った感じですね。
Continue reading

[AWS] AWS認定ソリューションアーキテクト – プロフェッショナル試験に合格したので、勉強したことを簡単にまとめてみました。

こんにちは、与儀です。

先日、AWS認定ソリューションアーキテクト – プロフェッショナル試験を受験して合格しました。晴れてプロとなったわけですが、勉強したことを簡単にまとめてみました。これから受験しようとされている方のご参考になれば幸いです。
Continue reading

[AWS] AWS CLIでELBへSSL証明書をアップロード、削除する。

こんにちは、与儀です。

ELB(Elastic Load Balancing)にSSL証明書を配置して、HTTPS ロードバランサーとして利用することで、ELB → EC2間はHTTP通信のみとして利用することができます。

ロードバランサーの HTTPS リスナーの設定

EC2コンソールまたは、AWS CLIを用いてSSL証明書をアップロードしてHTTPS リスナーの追加をすることができますが、アップロードされたSSL証明書を削除する方法は、現状AWS CLIからしかできないため、今回は、このSSL証明書アップロードと削除の作業をAWS CLIより実行してみたいと思います。
Continue reading

[AWS] AWS Certificate Manager (ACM) で、無料のSSL/TLS証明書を発行してELBへ適用する。

こんにちは、与儀です。

AWS Certificate Manager (以下、ACM) というサービスがリリースされました。このサービスは、Amazonが発行するSSL(/TLS)証明書を無料で利用できるサービスで、現在のところ、CloudFrontとELB(Elastic Load Balancing)に対してのみ利用できます。また、現時点ではバージニア北部リージョンのみで利用可能です。

AWS公式ブログ記事の[New] AWS Certificate Manager – AWS上でSSL/TLSベースのアプリケーションを構築に、書いてある手順に従って、SSL(/TLS)証明書(以下、SSL証明書)発行とELBへの適用をやってみます。
Continue reading

[AWS] AWS Configを有効化する。

こんにちは、与儀です。

AWS Configは、AWSのリソースの設定情報や変更履歴を残しておくことができるサービスです。
AWS Configの管理画面から履歴を、リソースID等を指定することで閲覧することができます。

例えば、誤ってVPCの一部設定を消したり変更してしまった場合、元の設定値がわからなくて
戻せなくなる場合があります。そういう場合にAWS Configを有効化していれば、設定情報を
確認して再設定することができます。
(サービス名を呼ぶときは、AWSを省いて、「Config」だけでいいかもしれないですが、
 これだけだとしっくりこないので、「AWS Config」と呼んでおきます。。)

現在、AWS Configは下記のリソースに対して設定可能となっています。
・EC2
・VPC
・EBS
・CloudTrail
・IAM

では、AWS Configを有効化してみます。
Continue reading

[AWS] CloudTrailを全リージョンで有効化する。

こんにちは、与儀です。

CloudTrailは、AWSの各種サービスのAPI操作ログを取得、保管して見れるようにするサービスです。例えば、EC2管理画面を操作中に誤ってEC2インスタンスを停止してしまった場合などに、CloudTrailが有効化されていれば、いつ、どのユーザが、どのインスタンスを停止したのか追跡することができます。

また、AWSのサービスによっては、ログ出力が特定リージョンに依存しています。例えば、東京リージョンでCloudTrailを有効化していれば、東京リージョンにあるEC2操作ログを取得することができますが、グローバルサービスであるRoute53のAPI操作ログは、米国東部(バージニア北部)リージョンのCloudTrailを有効にしていないと、取得できません。

というように、CloudTrailは自分が主に使用しているリージョンだけではなく、全リージョンで有効化しておくことが推奨されます。それには、1つ1つのリージョンを有効化するか、AWS CLIコマンド等を使って全リージョンを有効化するような処理を作り込む必要がありました。

ですが、これはもう過去のものになりました。CloudTrailのサービスアップデートによりこれからCloudTrailを使う人は全リージョンを有効化することがとても簡単(当たり前)になりました。
AWS CloudTrail アップデート – すべてのリージョンを有効に

(全リージョンが一発でできるなんて便利過ぎる。。)
実際にやってみます。
Continue reading

[AWS] RDS for Aurora を作成・削除する。

こんにちは、与儀です。

RDS for Aurora は、「Amazon がクラウド時代にリレーショナル・データベースを作るとどうなるかを1から考えて構築したサービス」です。

下記のスライド12ページから、Auroraの特徴を抜粋すると、

  • MySQL5.6と互換性があるため既存のアプリケーションを簡単に移行可能
  • ストレージが10GBから64TBまでシームレスに拡張
  • 3AZに3つずつ、計6つのデータのコピーを保持
     -S3にストリーミングバックアップを実施
  • VPC内に起動
     -SecurityGroupやNACLを使用してアクセスコントロール可能
  • Amazon Auroraは99.99%の可用性を実現するように設計されている

Continue reading