Memo/AmazonWebServices

http://dexlab.net/pukiwiki/index.php?Memo/AmazonWebServices
 

AWS(Amazon Web Services)


マーケティングEMAILを停止する

複数AWSアカウント使用時に同じメールが来て邪魔。

  1. AWS Email Preferences を開く
  2. AWS root accountを入力
  3. 「Do not send me marketing email」にチェック
  4. Save

DDoS対策


Aurora: MySQL互換のデータベース


AWS Data Pipeline

  • IAM ロールのセットアップ 古いAWSアカウントだと DataPipelineDefaultRole?, DataPipelineDefaultResourceRole?が存在しない。あとこのドキュメントが理解しにくい。
  1. IAM > ロール> DataPipelineDefaultRole? > ポリシーの編集 > ドキュメントからコピペ
  2. 保存
  3. IAM > ロール > DataPipelineDefaultRole? > 信頼関係の編集 > ドキュメントからコピペ
  4. 保存
  5. DataPipelineDefaultResourceRole?も同様に行う

Redshift


侵入/脆弱性テスト申請

  • 侵入テスト - AWS
    • 1フォームで2種類の申請ができる。テスト元で入力が異なる
    • source: EC2からEC2への侵入テスト
    • target: 外部IPからEC2への侵入テスト
    • 承認番号を含むメールが届くまではテストは許可されない。通常2営業日以内
  • AWS以外のホストから、EC2へのスキャンを申請する場合: Scan Infomation
    • IP Addresses to be scanned (Destination): スキャン先EC2のプライベートIP
      aws --profile default --region ap-northeast-1 ec2 describe-instances \
       --filters "Name=instance-state-name,Values=running" \
       --query 'Reservations[].Instances[].NetworkInterfaces[].PrivateIpAddresses[].PrivateIpAddress' \
       --output text | tr '\t' '\n'
      
      172.31.0.1
      172.31.0.2
      ...
    • Are the instances the source of the scan or the target of the scan ?: Target
    • Instances IDs*: スキャン先EC2のインスタンスID
      aws --profile default --region ap-northeast-1 ec2 describe-instances \
       --filters "Name=instance-state-name,Values=running" \
       --query 'Reservations[].Instances[].InstanceId' \
       --output text | tr '\t' '\n'
      
      i-00000001
      i-00000002
      ...
    • Scanning IP addresses (Source)*: スキャン元IP
      1.2.3.4

Windows Server/SQL Server


2段階認証

IAMでのログイン時に2段階認証を利用できる。セキュリティのため利用したほうが良い

  • ハードウェアキーを使う場合

IPアドレス範囲


不正利用

  • IAM keysがgithubに漏れたり、SSL Heartbleed bug等の致命的な問題の時、AWSからメールが来る(aws-verification@amazon.com)。このメールには必ず返信が必要で、返信しないでいるとEC2を新規に立てられなくなるといった制限が付く(該当リージョンのみ)
    • IAM keysが漏れた場合、該当キーをinactiveにするだけはだめで、deleteする必要がある

SSL Heartbleed bug対応


API上限


ネットワーク図


AWS側のメンテナンス

EC2等で、ハードウェア交換等でOSのリブートやインスタンスのstop/startをするようにとメールが来る場合がある。

  • Amazon EC2 のメンテナンスのヘルプページ
  • system-reboot
    • EC2 EBSベースなら、EC2のstop/start
    • EC2 S3ベースなら terminate/start。エフェメラルディスクの内容は消えるため、必要ならばバックアップが必要
  • instance-reboot
    • OSの再起動をすれば良い。reboot or shutdown -r now
    • エフェメラルディスクの内容はそのまま
  • 機器が古いのかus-west-1では多い(気がする)

Elastic Transcoder

  • AWSで動画の変換サービス
  • 米国東部リージョンで標準解像度(SD, 720p未満)の元動画1分あたり0.03ドル
  • 入力形式:MP4, 3GP, AAC, AVI, FLV
  • 出力形式:MP4, H.264, AAC

サービス上限緩和の申請

  • 現在の上限はAWS Management Consoleの Services > EC2 > Limitsから確認できるようになった。上限緩和申請もここからできる。

SESでメール送信


ログ


CloudFormation?

AWS CloudFormation | アマゾン ウェブ サービス(AWS 日本語)


コスト削減


リソースにタグを振ってリソース毎のコストを計算

設定が必要だが、EC2,RDSといったリソースにタグを振ると、s3バケット上のCSVにそのタグが表示される。
そのため、CSVをExcel等のピボットテーブルで集計するとタグごとのコストが分かる。

ただし、現在全てのリソースにタグをふれないため、金額を厳密に分けたい場合(例えば、クライアント会社毎に請求書を作る)は、別のAWSアカウントを作成し、Consolidated BillingでメインのAWSアカウントに請求をまとめた方が良い。


コスト試算


ヘルスチェック/SLA

  • AWS Service Health Dashboard
    • 全リージョンの各サービス毎の状態を確認できる。
    • 大きい障害しか表示されない。
    • 小さな障害の場合、サポートに問い合わせると実は障害がありましたと言われる場合あり。

構築自動化


セミナー


添付ファイル: fileec2cli_vs_awscli.sh 244件 [詳細] filerds-list-tags-for-resource-sample.php 642件 [詳細] fileec2-describe-instances-sample.php 536件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-05-24 (水) 11:54:48 (454d)