AWS(Amazon Web Services) †
AWSの不正利用された場合 †
通常のAWSサポート(無料版でも)からは、不正利用された場合の返金申請はできる
リージョン、インスタンスタイプ、起動台数、起動時間が必要
返金手続きには数週間かかる
AWSの自社認証局対応 †
時刻を合わせる †
すごい勢いで時間がずれる場合、AWSのホストマシンの問題の可能性がある。
AWSサポートに連絡
EC2 stop/startを実行し、ホストマシンを切り替える。
マルチアカウント/IDフェデレーション/SAML認証 †
マーケティングEMAILを停止する †
複数AWSアカウント使用時に同じメールが来て邪魔。
AWS Email Preferences を開く
AWS root accountを入力
「Do not send me marketing email」にチェック
Save
DDoS対策 †
Aurora: MySQL互換のデータベース †
AWS Data Pipeline †
IAM ロールのセットアップ 古いAWSアカウントだと DataPipelineDefaultRole? , DataPipelineDefaultResourceRole? が存在しない。あとこのドキュメントが理解しにくい。
IAM > ロール> DataPipelineDefaultRole? > ポリシーの編集 > ドキュメントからコピペ
保存
IAM > ロール > DataPipelineDefaultRole? > 信頼関係の編集 > ドキュメントからコピペ
保存
DataPipelineDefaultResourceRole? も同様に行う
Redshift †
侵入/脆弱性テスト申請 †
侵入テスト - AWS
1フォームで2種類の申請ができる。テスト元で入力が異なる
source: EC2からEC2への侵入テスト
target: 外部IPからEC2への侵入テスト
承認番号を含むメールが届くまではテストは許可されない。通常2営業日以内
2017年の侵入テストフォームで必要な項目を抜き出すCLI
AWS_PROFILE =default
# EC2 Resources
aws --profile $AWS_PROFILE --region ap-northeast-1 ec2 describe-instances \
--filters "Name=instance-state-name,Values=running" \
--query 'Reservations[].Instances[].NetworkInterfaces[].PrivateIpAddresses[].PrivateIpAddress' \
--output text | tr '\t' '\n'
# ELB Name
aws --profile $AWS_PROFILE --region ap-northeast-1 elb describe-load-balancers \
--query 'LoadBalancerDescriptions[].LoadBalancerName' \
--output text | tr '\t' '\n'
# RDS Resources
aws --profile $AWS_PROFILE --region ap-northeast-1 rds describe-db-instances \
--query 'DBInstances[].DBInstanceIdentifier' \
--output text | tr '\t' '\n'
AWS以外のホストから、EC2へのスキャンを申請する場合: Scan Infomation
IP Addresses to be scanned (Destination): スキャン先EC2のプライベートIP
aws --profile default --region ap-northeast-1 ec2 describe-instances \
--filters "Name=instance-state-name,Values=running" \
--query 'Reservations[].Instances[].NetworkInterfaces[].PrivateIpAddresses[].PrivateIpAddress' \
--output text | tr '\t' '\n'
172.31.0.1
172.31.0.2
...
Are the instances the source of the scan or the target of the scan ?: Target
Instances IDs*: スキャン先EC2のインスタンスID
aws --profile default --region ap-northeast-1 ec2 describe-instances \
--filters "Name=instance-state-name,Values=running" \
--query 'Reservations[].Instances[].InstanceId' \
--output text | tr '\t' '\n'
i-a1234567
i-b1234567
...
Scanning IP addresses (Source)*: スキャン元IP
1.2.3.4
Windows Server/SQL Server †
2段階認証 †
IAMでのログイン時に2段階認証を利用できる。セキュリティのため利用したほうが良い
IPアドレス範囲 †
不正利用 †
IAM keysがgithubに漏れたり、SSL Heartbleed bug等の致命的な問題の時、AWSからメールが来る(aws-verification@amazon.com )。このメールには必ず返信が必要で、返信しないでいるとEC2を新規に立てられなくなるといった制限が付く(該当リージョンのみ)
IAM keysが漏れた場合、該当キーをinactiveにするだけはだめで、deleteする必要がある
SSL Heartbleed bug対応 †
API上限 †
アイコン/絵文字 †
Cacoo用 AWSクラウドデザインパターンテンプレート
AWS側のメンテナンス †
EC2等で、ハードウェア交換等でOSのリブートやインスタンスのstop/startをするようにとメールが来る場合がある。
Amazon EC2 のメンテナンスのヘルプページ
system-reboot
EC2 EBSベースなら、EC2のstop/start
EC2 S3ベースなら terminate/start。エフェメラルディスクの内容は消えるため、必要ならばバックアップが必要
instance-reboot
OSの再起動をすれば良い。reboot or shutdown -r now
エフェメラルディスクの内容はそのまま
機器が古いのかus-west-1ではメンテナンスが多い(気がする)
Elastic Transcoder †
AWSで動画の変換サービス
米国東部リージョンで標準解像度(SD, 720p未満)の元動画1分あたり0.03ドル
入力形式:MP4, 3GP, AAC, AVI, FLV
出力形式:MP4, H.264, AAC
サービス上限緩和の申請 †
SESでメール送信 †
ログ †
CloudFormation? †
AWS CloudFormation | アマゾン ウェブ サービス(AWS 日本語)
コスト削減 †
リソースにタグを振ってリソース毎のコストを計算 †
現在はOrganizationsを使って1アカウントで請求をまとめるのが良さそう
設定が必要だが、EC2,RDSといったリソースにタグを振ると、s3バケット上のCSVにそのタグが表示される。
そのため、CSVをExcel等のピボットテーブルで集計するとタグごとのコストが分かる。
ただし、現在全てのリソースにタグをふれないため、金額を厳密に分けたい場合(例えば、クライアント会社毎に請求書を作る)は、別のAWSアカウントを作成し、Consolidated BillingでメインのAWSアカウントに請求をまとめた方が良い。
コスト試算/見積もり †
ヘルスチェック/SLA †
構築自動化 †
セミナー †