こんにちは、与儀です。
AWS Configは、AWSのリソースの設定情報や変更履歴を残しておくことができるサービスです。
AWS Configの管理画面から履歴を、リソースID等を指定することで閲覧することができます。
例えば、誤ってVPCの一部設定を消したり変更してしまった場合、元の設定値がわからなくて
戻せなくなる場合があります。そういう場合にAWS Configを有効化していれば、設定情報を
確認して再設定することができます。
(サービス名を呼ぶときは、AWSを省いて、「Config」だけでいいかもしれないですが、
これだけだとしっくりこないので、「AWS Config」と呼んでおきます。。)
現在、AWS Configは下記のリソースに対して設定可能となっています。
・EC2
・VPC
・EBS
・CloudTrail
・IAM
では、AWS Configを有効化してみます。
Continue reading
こんにちは、与儀です。
CloudTrailは、AWSの各種サービスのAPI操作ログを取得、保管して見れるようにするサービスです。例えば、EC2管理画面を操作中に誤ってEC2インスタンスを停止してしまった場合などに、CloudTrailが有効化されていれば、いつ、どのユーザが、どのインスタンスを停止したのか追跡することができます。
また、AWSのサービスによっては、ログ出力が特定リージョンに依存しています。例えば、東京リージョンでCloudTrailを有効化していれば、東京リージョンにあるEC2操作ログを取得することができますが、グローバルサービスであるRoute53のAPI操作ログは、米国東部(バージニア北部)リージョンのCloudTrailを有効にしていないと、取得できません。
というように、CloudTrailは自分が主に使用しているリージョンだけではなく、全リージョンで有効化しておくことが推奨されます。それには、1つ1つのリージョンを有効化するか、AWS CLIコマンド等を使って全リージョンを有効化するような処理を作り込む必要がありました。
ですが、これはもう過去のものになりました。CloudTrailのサービスアップデートによりこれからCloudTrailを使う人は全リージョンを有効化することがとても簡単(当たり前)になりました。
AWS CloudTrail アップデート – すべてのリージョンを有効に
(全リージョンが一発でできるなんて便利過ぎる。。)
実際にやってみます。
Continue reading
こんにちは、与儀です。
RDS for Aurora は、「Amazon がクラウド時代にリレーショナル・データベースを作るとどうなるかを1から考えて構築したサービス」です。
下記のスライド12ページから、Auroraの特徴を抜粋すると、
こんにちは、与儀です。
VPC(Virtual Private Gateway)は、ざっくり言うとAWSクラウド上に自分だけのセキュアでプライベートな仮想データセンターを簡単に作ることができるサービスです。VPC自体は無料で使うことができます。ここでは簡単ですがVPCを作成してみます。
Continue reading
2015/11/10 追記
キャッシュストレージを削減した場合、ご利用中のシステムの要件によっては、パフォーマンスが低下する可能性がございますので、ご注意ください。
こんにちは、与儀です。
以前書いた、[AWS] EC2 上で Storage Gateway (ゲートウェイキャッシュ型ボリューム)を構築する。 の記事にて、Storage Gatewayを構築しましたが、キャッシュストレージを減らしたいと思った場合に、下記ドキュメントにも記載がありますが、「Storage Gatewayのサービス仕様として減らせない」という壁にぶつかります。。。
Note 現在のところ、キャッシュストレージとして割り当てられたディスクを削除することはできません。
なお、追加に関してはゲートウェイを停止せずにオンラインでも可能なのですが、削除となるとオフラインでもそもそも減らせない、ということなのです。
では、どうしても減らしたい時にどうやって減らせばいいのか?、その方法の一つとして、既存Storage Gatewayのボリュームのスナップショットを取得して、そこから新規で(小さいキャッシュストレージがアタッチされた)Storage Gatewayを構築して、そこにiscsiマウントし直すということをします。(減らすというか新規で作り直しですが。。)
Continue reading
こんにちは、与儀です。
先日下記のようなRDSメンテナンス通知メールがAWSより届きましたので、実施してみたときのログです。
下記のドキュメントも参考にします。
DB インスタンスのオペレーティングシステムの更新
Continue reading
こんにちは、与儀です。
Storage Gateway はざっくり言うと、S3領域に対して大容量のストレージを構築して、iscsi経由でファイルをアップロードダウンロードすることができるサービスです。オンプレミスのサーバでStorage Gatewayを構築して、S3領域を利用することもできますが、ここではEC2上にStorage Gatewayを構築する場合で考えます。
Storage Gatewayの利用ケースとしては、すでにNFSを利用した大容量ファイルストレージを利用していて、それをAWSへ持っていきたいが、NFSの構成がアプリの仕様上どうしても変更できない場合、などが考えらえれます。
この記事では、Storage Gatewayを構築して、iscsi接続するまでをとても簡単にですが、説明していきます。
Continue reading
はいさい、初投稿の akamine です。
AWS マネジメントコンソールへログインするために必要な AWS アカウント(IAM)を作成した際に、最初に設定して頂きたい MFA(Multi-Factor Authentication) について投稿します。
直訳すると「多要素認証」というとおり、2つ以上の方法を併用しセキュリティを高めたユーサー認証方式のことです。AWS の場合、アカウント名 / パスワード のログイン方法に加えて、MFA デバイスからの認証コードを入力する方式となっています。
また AWS からもセキュリティ向上のため AWS 多要素認証(MFA)を設定して AWS リソースを保護することを推奨しています。
こんにちは、与儀です。
EC2ReadOnlyAccess権限を付与したIAMユーザを作成して、社内の開発者に使ってもらう場合を想定します。IAMユーザを作成する際の設定で、「次回のサインインで新しいパスワードを作成するようにユーザーに求める」にチェックを入れることで、ユーザがログインしたときにパスワードを変更してもらうことが可能になります。
ですが、この初回ログイン時のパスワード変更が「iam:ChangePassword の実行権がありません。」というエラーでパスワード変更ができず、ログインもできなくなってしまうことがあります。
Continue reading
こんにちは、与儀です。
EC2インスタンスにIAMロールを適用することにより、AWSの認証情報(アクセスキーとシークレットキー)をインスタンス上にべた書きしなくても、AWSのリソースへアクセスする権限を付与できるようになります。
Amazon EC2 の IAM ロール
ここでは例として、S3へのフルアクセス権限をもったIAMロールを作成して、EC2インスタンスへ付与してみます。
※EC2インスタンスへIAMロールを適用する場合は、EC2インスタンス作成時に適用しなければなりません。一度作成したEC2インスタンスへ、IAMロールを後から適用することはできませんので注意が必要です。もし、すでに作成しているEC2インスタンスへIAMロールを適応したい場合は、AMIコピーを取得してEC2インスタンスを作成し直す必要があります。