継続は力なり

タイトル通り定期的な更新を心掛けるブログです。

AWS

AWS リソース名につけられる文字数を調べたのでサービス毎にまとめる

AWS

タダです. AWS リソースを作る時に遭遇する1つの課題がリソース名で使える文字数があります.調べた範囲になりますが,この記事でサービス毎に利用できるリソース名の文字数をまとめます 調べたサービスと制限まとめ まとめ 調べたサービスと制限まとめ EC2 25…

ALB アクセスログの格納時の暗号化は KMS カスタマキーで行えるのか?

タダです. ALB のアクセスログを暗号化する時にドキュメントでは SSE-S3 がサポートされていると書いているが,実際 KMS のカスタマーキーではできないかを調べて見る機会があり,その備忘録をこの記事にまとめます. サポートされている唯一のサーバー側の暗号…

ecspresso をローカルにインストールして ECS デプロイをやってみる

タダです. 業務で ecspresso の利用検討の機会が出てきて触ったことがなかったので,この記事でローカルにツールのインストールとローカルから ECS デプロイをするまでにやったことを備忘録としてまとめます.なお,本記事の備忘録の内容は ecspresso ハンドブ…

Terraform で IAM Identity Center のインラインポリシーを設定した

タダです. IAM Identity Center(旧 AWS SSO)でカスタムポリシーを Terraform で設定したので備忘録でこの記事にまとめます. Terraform のコード 参考ドキュメント 生成されたポリシー まとめ Terraform のコード 読み取り権限として ViewOnlyAccess ポリシー…

AWS CLI で cron イベントのあるイベント名と cron 詳細を抽出する

タダです. EvnetBridge の cron で設定しているイベントを洗い出したいと思って,AWS CLI を使ってやってみたので備忘録でまとめます. 試したコマンド EventBridge に設定してるイベントは list-rules で確認できるため,このコマンドを使いました.加えて cron…

Amazon OpenSearch Service のデータノードを Gravition にスペックアップする

AWS

タダです. AWS OpenSearch Service のデータノードで Graviton のタイプに変更しようと思い,気付きもあったため検証した内容をまとめます. Graviton インスタンスタイプへの変更 まとめ Graviton インスタンスタイプへの変更 経緯としてはデータノードが t3 …

AWS WAF で特定条件でブロックされたリクエストの発生でアラートを飛ばす

タダです. AWS WAF のログを Datadog に送って運用している中で,特定条件でブロックされたリクエストがあったらアラートを飛ばしたいとなり,Terraform でコード化したのでこの記事でまとめます. 特定条件について Datadog のモニター設定 まとめ 特定条件に…

Terraform で Aurora の拡張モニタリングを特定環境で設定する

タダです. Aurora の拡張モニタリングを有効化した時に Terraform を使って行ったのですが,特定の環境にのみ適用させる設定しました.その設定を試した結果をこの記事にまとめます. 事前準備 拡張モニタリングの有効化 関連情報 まとめ 事前準備 今回は dev …

SendGrid のバウンスの発生を取得する

タダです. SendGrid を利用していると遭遇するのはバウンスメールだと思います.そこで,バウンスが発生しているメールアドレスがあったら検知する仕組みを検証したのでこの記事にまとめます. バウンスメール発生検知の仕組み構成 バウンスメールの取得 バウン…

Aurora の特定ユーザー接続検知をするために CloudWatch Logs サブスクリプションフィルターを使う

タダです. Aurora への接続ユーザーとして管理者ユーザーを使わないように運用していることが多いと思いますが,そんな中で管理者ユーザーで接続された場合ちゃんと検知しておきたいといった要件から検証した内容をこの記事にまとめます. Aurora のログについ…

AWS Lambda のデプロイを Terraform で行う

タダです. Terraform で Lambda のデプロイをはじめてやったので,備忘録として記事に書いておきます. Terraform のコード まとめ Terraform のコード Terraform のコードは以下のように書きました.Lambda のコードは Node.js を書いたのですが,lambda/hoge …

RDS のパッチの有無を確認する方法

タダです. RDS 運用しているとパッチが出てきて気づかなかったみたいなことがあります.そのために必要なことを調査をしたのでこの記事にまとめます. RDS のパッチ適用通知を確認する方法 まとめ RDS のパッチ適用通知を確認する方法 調査する前は EventBridg…

SageMaker から Amazon OpenSearch Service への接続方法を調べた

タダです. 小ネタですが,SageMaker Notebook Instance から Amazon OpenSearch Service(Elasticsearch)への接続をする機会がありどうやってやるのかなと思って調べたり検証したので,この記事にまとめます. TL;DR まとめ TL;DR SageMaker Notebook Instance …

Security Hub から通知された『Lambda function policies should prohibit public access』に対応する

タダです. 業務で Security Hub から [Lambda.1] Lambda function policies should prohibit public access というアラートが飛んできました.対応してアラートを消したのですが,その対応を備忘録として書いておきます. アラートの原因 原因の分析 リソースベ…

terraform-provider-aws v4.9.0 のリリースで破壊的な S3 の変更がなくなったと聞いたので試してみた

タダです. terraform-provider-aws の v4 で S3 リソースの変更をどうやって行くかなと思っていた頃に v4.9.0 で S3 の破壊的変更がなくなったという話がでてきたので,試した内容をまとめていきます. resource/aws_s3_bucket: The acceleration_status, acl,…

GitHub Actions で OIDC Provider を使って PR にコメントする

タダです. GitHub Actions で Terraoform の実行計画を PR のコメントに書くようにしていたのですが,クレデンシャルとして IAM ユーザーのアクセスキーとシークレットアクセスキーを使う運用から OIDC Provider に置き換え る検証をした際にコメントができな…

Terraform AWS Provider v3 -> v4 へ移行するのに役立つツール『tfrefactor』を試してみる

タダです. Terraform AWS Provider の v4 が出てきたことでバージョンアップされた方も多いと思います.v4 へのバージョンアップでは S3 周りの変更が多く苦労するという情報が見かけられ,その変更をサポートするツールとして tfrefactor が紹介されてたので…

カスタムルールを設定して Terraform のコードを tfsec で解析する

タダです. 業務の中で tfsec を使う機会があり,tfsecを使って,デフォルトのルールにない条件で解析を行うような仕組み化をやったのでこの記事でどういうことをやったのかをまとめていきます. github.com tfsec とは tfsec の導入 tfsec 実行 カスタムルール…

リポジトリに載せたくない秘匿情報をチェックする Secretlint を触った

タダです. リポジトリに AWS のアクセスキー,シークレットアクセスキーを載せてしまって情報の漏洩といったことが起こりうるので,その予防策としてSecretlintを触る機会があったためこの記事に備忘録をまとめます. Secretlint とは Secretlint 導入 Secretli…

AppSync と関連サービスの使い方をハンズオンで学ぶ『AWS AppSync immersion day workshop』

タダです. 前回の記事で「初めてのGraphQL」を読んだ感想を書いたのですが,AWS にはマネージド GraphQL サービスの AWS AppSync があります.このサービスの概観をさらいたくて「AWS AppSync immersion day workshop」をやってみました.このワークショップを…

踏み台用 ECS Fargate から Aurora へのローカル接続を実現する

タダです. 「AWSコンテナ設計・構築[本格]入門」を読んでて,ECS Fargate で踏み台を作るハンズオンがあります.この踏み台コンテナを使って Eureca さんの記事で紹介されてたローカルの DB クライアントからプライベートサブネットの Aurora へ socat で TC…

CloudWatch Events の定数を使って Lambda の処理を分岐させる

タダです. 定期イベントを CloudWatch Events で設定し,定型処理を実行する Lambda をキックすることはよくあることだと思います.今回 CloudWatch Events の定数を使って Lambda の処理を分岐させるのをやってみたのでこの記事にまとめていきます.今回は ECS…

Session Manager のログ出力形式をまとめる

タダです. Session Manager のログ周りを触る機会があり,S3 と CloudWatch Logs へ Session Manager のログを出力できるのですが,それぞれの設定方法をまとめていこうと思います. S3 に Session Manager のログを出力する場合 関連情報 CloudWatch Logs に S…

Slack のスラッシュコマンドを使って AWS リソースを操作する

タダです. 過去に AWS Chatbot から Lambda に AWS リソースを操作する記事を書いたのですが,AWS Chatbot を呼び出すコマンドはパラメータなど覚えていないといけず普段詰まることがよくあり,開発者に提供するツールとしてはスラッシュコマンドで出すように…

GitHub Actions で AWS の認証に使っている OIDC provider の thmbprint が更新された場合の対処

タダです. 以前の記事で GitHub Actions の AWS 認証を OIDC provider に変更したことを書いたのですが,1/13 にこれまでうまくいっていたリリースが失敗するようになりました.そのエラーに対する対応をこの記事にまとめます. sadayoshi-tada.hatenablog.com …

Amazon OpenSearch Service のスナップショットを別アカウントにリストアする

AWS

タダです. Amazon OpenSearch Service の本番の手動スナップショットを開発アカウントにリストアしたい要望があり,これに関する検証をしたためこの記事にその模様をまとめていきます. 別アカウントのリストア検証概要 本番アカウント側の設定 開発アカウント…

GitHub Actions の IAM ユーザーのクレデンシャルを IAM ロールに切り替えた時の経験をまとめる

タダです. GitHub Actions にて OpenID Connect 経由して認証し,AWS へのアクセス可能になったというアナウンスが出て以降に,これまでは IAM ユーザーのアクセスキー/シークレットアクセスキーを設定して認証したのを IAM ロールに入れ替えました.既に試され…

AWS Organizations で作成した AWS アカウントのルートユーザーのメールアドレスを変更する

AWS

タダです. Organizations を使って AWS アカウントを作っていくのは一般的になったと思うんですが,自分の誤りでルートユーザーのアドレスに自分のアドレスを設定しまってました.組織を抜ける時や異動する時などそのアドレスがなくなった場合大変なことになる…

AWS SAM の差分デプロイの課題を踏まえた改修をした

タダです. モノリポで AWS Lambda のコードを管理し,デプロイをするために差分を検出する GitHub Actions のフローを作ったことを以前の記事で書いたのですが,運用していく中で問題がありました.その問題に開発者と改修を行ったのでその模様をこの記事にまと…

Lambda を使って Elasticsearch のエイリアスとインデックスを更新する

タダです. Amazon OpenSearch Service のインデックス再設計に関わった際に,次の運用上の懸念がありました. インデックスは月ごとに生成し,生成したインデックスに対してアプリケーションから見た時のエイリアスとして参照用と書き込み用の2つを貼りたい 前…