Techfirm Cloud Architect Blog

テックファーム株式会社クラウドインフラグループのブログ

IAMユーザでMFAを強制し、自身でMFAデバイスや認証情報を管理できるようにする方法

はじめに IAMユーザーをセキュアに運用したいが、IAM管理者の運用負荷は抑えたいという要件を想定して、どのようなIAMポリシーを作成していけばよいか記載していきたいと思います。 今回は、以下の要件があった場合を想定してみます。 IAMユーザーにMFAを強…

予期せぬコスト予測オーバーの要因をAWS Cost Explorerで調査してみた

「コスト予測オーバー190%!?」これは月初に鳴り響いたAWS BudgetsアラートをAWS Cost Explorerで調査した奮闘録である※実際の出来事を脚色してお送りしております。

S3上の機密情報ファイルへタグベース制御を行う

はじめに 各種リソースへのアクセスを個別に制御する場合、IAMポリシーでAction、またResource要素を個別に設定すると思います。 ですがAWSには、より厳密かつ柔軟にアクセスを制御するABAC(タグベースのアクセス制御)といった手法があります。 今回は、S3上…

EC2インスタンスの起動失敗メッセージの解読とPassRole権限

はじめに あるAWS環境でAMIからEC2インスタンスを起動したところ、以下のメッセージと共にEC2インスタンスの起動に失敗しました。 You are not authorized to perform this operation. Encoded authorization failure message: XXXXXXX(中略) 調査 操作アカ…

CloudFront+S3環境へデプロイするCI/CDパイプラインの設計

Vue.js等で開発されたフロントエンドをS3バケットにデプロイし、バックエンドはAPI GatewayとLambdaで実装するサーバレス構成も増えてきました。 今回は、フロントエンドのCI/CDパイプラインをどのように設計するか考えていきたいと思います。 構成とキャッ…

【AWS】CodeDeployのInstallイベントが終わらない

はじめに AWSのECSを使用している環境でアプリケーションの更新を行うにあたり、CodeBuildやCodeDeploy等のサービスを使用する機会があります。 CodeDeployでは更新が完了するまでに各種ライフサイクルイベントがありますが、その中のInstallイベント時にタ…

S3に出力したログをAmazon Athenaでクエリする

はじめに ウェブアプリケーションの運用で、ログを解析するとき、 解析専用サーバを構築したり、有料の解析ソフトを使うケースが一般的だと思うが、 生ログをエクセルなどで解析するケースも稀ではないように思う。 たとえば、ALBのアクセスログはS3に保存す…