Memo/AmazonWebServices

Edgeパターン
- us-east-1のACMにSSL証明書をインポート
- 専用のCloudFront Endpointが追加されるので、DNS設定
Regionalパターン
- 各リージョンに設定する。CloudFrontは使わない。ACMも使わず、API gatewayに直接SSL証明書をインポート。
- 専用のLambda Endpointが追加されるので、DNS設定
- 中国はRegionalのみ対応(2019-04)

記事

↑

セキュリティ †

通知(SlackやEmail)等を有効にする。各機能を有効にしただけでは、異常が起きても気がつかないため必須。
- CloudWatch Events + SNS でEmail通知
  - 簡単。Slack専用のEmailアドレスに転送するだけなので楽。見た目はシンプル。
- Lambda。Slack専用に見やすくカスタマイズが出来るが、手間がかかる。

CloudTrail
- APIのログが残る。誰がどんな操作をしたかがが分かる。API単位なので件数が多い
GuardDuty
- 不審なアクセスを検出。

Config
- 予め指定したルールに一致しているか検出。

記事

↑

Transfer for SFTP: S3をバックエンドにしたSFTP/SCPマネージドサービス †

AWS Transfer for SFTP
- S3をバックエンドにできるので、堅牢性、容量の面で安心
- ユーザ認証: SSH public key, Active Directory, LDAP
- WinSCP、FileZilla、CyberDuck、OpenSSH(scp)等のメジャーなクライアントから使える

記事
- AWS Transfer for SFTPの構成例まとめ (2020年4月版) | Developers.IO
- AWS SFTP 環境のモニタリング | Amazon Web Services ブログ

↑

サーバレス †

サーバレス構成でよく使うサービス

API gateway
Lambda
CloudWatch
CloudFront

記事
- AWS公式で「形で始めるサーバーレス設計」が紹介されています！｜ DevelopersIO

↑

Lightsail: VPSサービス †

Lightsail
- WordPress, LAMP, Node.js, Redmine, GitLab, ... といったインストール済みのホストを数クリックで起動できる。
- 月額 $4～

記事
- AmazonのVPSサービス(Lightsail)を使い、独自ドメイン・SSL対応したWordPressを構築($3.50〜/月) ｜ DevelopersIO

↑

Elasticsearch: 全文検索エンジン †

Amazon Elasticsearch Service（Elasticsearch を簡単にデプロイ・操作・スケーリング）| AWS
- Elasticsearch: Lucene(全文検索エンジン)をベース
- Kibana: 準リアルタイムにElasticsearchに入れたログを分析して表示。
- 可用性を上げるとしてマスターノード最低3台(t2)、データノード最大3台(m5)となるので、結構高い

Index State Management - Amazon Elasticsearch Service
- indexを30日後に、read_only状態へ。90日後に削除等の設定できる。

記事

サイズ縮小
- Elasticsearchの圧縮方式の比較 - Taste of Tech Topics
- デフォルトの圧縮形式: LZ4. 「best_compression形式(DEFLATE)」を指定する事で、小さくなる。既存のindexは新規追加分から適用される。全て変換したい場合は「_forcemerge」を使うようだ。
- ElasticsearchのShrink APIを検証した - Taste of Tech Topics

↑

サービスの選択 †

記事
- 【AWS Summit Osaka 2019 セッションレポート】AWS におけるデータベースの選択肢とその選定方針 #AWSSummit ｜ DevelopersIO
- [レポート] 正しく選択できているか？AWS が提供するマネージドデータベース #awssummit ｜ DevelopersIO

↑

開発プロセス †

記事
- [レポート] Amazon の開発プロセス – How Services Are Created at AWS #awssummit ｜ DevelopersIO

↑

AWS認定資格 †

AWS 認定 – AWS クラウドコンピューティング認定プログラム | AWS

記事
- AWS資格勉強を始めようと思っている方！今がチャンスですよー〜AWS Innovate試験対策セッションのご紹介〜｜ DevelopersIO
- 書評「ソリューションアーキテクト-アソシエイトの教科書」は、AWSを学ぶ最初の１冊に最適｜ DevelopersIO

↑

Support: サポート †

技術サポートは有償のdevプランから。
購入済みRI があると、初月のサポート料金が跳ね上がる。SIMPLE MONTHLY CALCULATOR はRI購入済みの場合のサポート料金も見積に出るので使った方が良い。

↑

AWS Glue: マネージドETLサービス †

https://aws.amazon.com/jp/glue/
- Apache Spark サーバーレス環境で運用されるマネージド型 ETL(Extract/Transform/Load) サービス

AWS Glue よくある質問 – アマゾンウェブサービス (AWS)
- Q: AWS Glue とAWS Data Pipeline はどのように使い分けますか?
- Q: AWS Glue とAWS Batch はどのように使い分けますか?

記事
- AWS Glue でメモリ管理を最適化する | Amazon Web Services ブログ
- [アップデート]AWS Glueがジョブ実行後のパーティション更新に対応しました！ | Developers.IO
- Amazon Athena を使用したクロスアカウントの AWS Glue データカタログ | Amazon Web Services ブログ
- GlueのクローラでS3のCSVデータを検出し、Athenaでクエリを実行する｜ Developers.IO
- Amazon Athena を使った Amazon S3 分析データへのクエリ | Amazon Web Services ブログ
- AWS Glueのジョブ同時実行数制限には気をつけた方がいいという話｜ DevelopersIO
- AWS再入門ブログリレー AWS Glue編｜ DevelopersIO
- AWS Glue を使用して Salesforce.com データを抽出し、Amazon Athena で分析する | Amazon Web Services ブログ
- GlueのPython Shellジョブでファイルの文字コードを変更してみた｜ DevelopersIO
- AWS Glueを用いてETL環境を構築したお話（RDS for MySQL → S3） - コネヒト開発者ブログ
  - gzip圧縮したい場合、以下で出来そう(未検証)
```
buf = BytesIO()
with gzip.GzipFile(mode='w', fileobj=buf) as gz_file:
    df.to_csv(gz_file, sep='\t', encoding="UTF8", index=False)
```
  - pandas.DataFrame.to_csv — pandas 0.24.2 documentation に compressionオプションがあるが使えない？
```
df.to_csv(csv_buffer, sep='\t', encoding="UTF8", index=False, compression='gzip')
```
- AWS Glue Spark ETL ジョブでリアルタイムの進行状況を追跡する『Continuous Logging』をサポートしました｜ DevelopersIO
- Glueの使い方的な - Qiita
- AWS Glue の新しいジョブタイプ『Python Shell』を実際に試してみました｜ DevelopersIO
- AWS GlueでDBのデータをマスキングして出力してみる - Qiita

↑

aws-toolkit-vscode: VSCode用拡張機能 †

https://github.com/aws/aws-toolkit-vscode
- まだpreview

記事
- AWS Toolkit for Visual Studio Codeを使ってみた（C#編） - Qiita
- AWS Toolkits for Visual Studio Code(Preview) をちょっと試してみました。 #reinvent ｜ DevelopersIO

↑

中国リージョン †

Memo/Aliyun の注意点参照
AWS Global版とはアカウントが別になる。
AWS Chinaは中国法人が必要。
ICPライセンスが無いとweb公開(80,443,8080)ができない。
- ICPライセンスの申請は、リージョン毎に別会社。1ヶ月くらいかかる？
- API Gatewayでも同様に、認証無しでのアクセスができない。token認証有りは通信OK。ICPライセンスが無いと「curl -i https://<api-gateway endpoint>」が「x-amzn-ErrorType: AccessDeniedException」になる。
時間帯によって非常に遅くなる。通信が悪い。 南北問題？
リージョンによって、無いサービスも多い。2019-01-30 NingxiaリージョンのみAuroraがある。
- Region Table
API Endpointが異なる。「ec2.cn-northwest-1.amazonaws.com.cns.com.cn」
- AWS Regions and Endpoints - Amazon Web Services
ARNが異なる。「arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Bob」等
- AWS Identity and Access Management - Getting Started with Amazon AWS

記事

↑

ECS: EC2上でDockerコンテナを管理 †

Amazon Elastic Container Service (ECS - 高性能な Docker コンテナ管理) | AWS

記事

↑

Chrome/Firefox拡張機能 †

iann0036/AWSConsoleRecorder: Records actions made in the AWS Management Console and outputs the equivalent CLI/SDK commands and CloudFormation/Terraform templates.
- Console Recorder for AWS: 操作を記録して各種テンプレート(CloudFormation, awscli, CDK, terraform他)を生成してくれるChrome/Firefoxアドオン
- AWSの一部リソースに対応。
- AWSマネジメントコンソールで役に立つChrome拡張機能のご紹介 | Developers.IO
- AWSマネジメントコンソールの操作を記録して再現コードやCloudFormationテンプレート、Terraform定義を生成してくれるブラウザ拡張 – Console Recorder for AWS ｜ DevelopersIO

↑

ホワイトペーパー: 解決すべき課題、要因を分析、解決策を提示 †

ホワイトペーパー | AWS
コンプライアンスリソース –アマゾンウェブサービス (AWS)
- 日本語のpdfあり

↑

ベストプラクティス †

AWS Answers（クラウドでのアプリ設計、開発、運用に関するよくあるご質問） | AWS

AWS Well-Architected Frameworkホワイトペーパー(PDF)

AWS モダンアプリケーション開発 – AWS におけるクラウドネイティブモダンアプリケーション開発と設計パターン」（日本語版）

AWS Well-Architected Tool（アーキテクチャのレビューとベストプラクティス比較）| AWS

記事

↑

モバイル(Android/iOS)アプリ †

[モバイルアプリ - AWS コンソール | AWS](https://aws.amazon.com/jp/console/mobile/)
- モバイルデバイスでAWSの状態を確認、管理できる

↑

マーケティングEMAILを停止する †

複数AWSアカウント使用時に同じメールが来て邪魔。

AWS Email Preferences を開く
AWS root accountを入力
「Do not send me marketing email」にチェック
Save

↑

DDoS対策 †

DDoSに対するAWSのベストプラクティス(PDF)

記事
- AWS環境におけるDDoS対策 - Qiita
- Top 10 DDoS Protection Services of 2016 | Top Ten Reviews

↑

Aurora: MySQL/PostgreSQL互換のデータベース †

https://aws.amazon.com/jp/rds/aurora/

Auroraのメリット
- Read replicaを複数台利用するケースは早くなる。
- masterしか使わない(書き込みが多い)場合は効果はない
デメリット
- RDS単体よりは高い

記事

↑

Redshift: マネージドデータウェアハウスサービス †

https://aws.amazon.com/jp/redshift/

記事

↑

侵入/脆弱性テスト申請 †

2019-03-01現在、EC2/NAT gateway/ELB/RDS/CloudFront/Lambda@Edge/Aurora/API gateway/Lambda/Lightsail/Elastic Beanstalkへのテストは事前承認無しになった。ただし、JPサイトはまだ更新されていない。ENサイトでは8つのサービスは不要と記述がある。

侵入テスト - AWS
- 1フォームで2種類の申請ができる。テスト元で入力が異なる
- source: EC2からEC2への侵入テスト
- target: 外部IPからEC2への侵入テスト
- 承認番号を含むメールが届くまではテストは許可されない。通常2営業日以内

記事
- 【2019年アップデート】侵入テストについて｜ DevelopersIO
- AWSでの侵入テスト(Penetration Test)について | cloudpack.media
- ホスティング会社・サービスプロバイダーへの脆弱性診断実施の申請方法｜サイバートラスト AWSやAzure環境での申し込み方法の説明がある

AWS以外のホストから、EC2へのスキャンを申請する場合: Scan Infomation

IP Addresses to be scanned (Destination): スキャン先EC2のプライベートIP

aws --profile default --region ap-northeast-1 ec2 describe-instances \
 --filters "Name=instance-state-name,Values=running" \
 --query 'Reservations[].Instances[].NetworkInterfaces[].PrivateIpAddresses[].PrivateIpAddress' \
 --output text | tr '\t' '\n'

172.31.0.1
172.31.0.2
...

Are the instances the source of the scan or the target of the scan ?: Target

Instances IDs*: スキャン先EC2のインスタンスID

aws --profile default --region ap-northeast-1 ec2 describe-instances \
 --filters "Name=instance-state-name,Values=running" \
 --query 'Reservations[].Instances[].InstanceId' \
 --output text | tr '\t' '\n'

i-00000001
i-00000002
...

Scanning IP addresses (Source)*: スキャン元IP
```
1.2.3.4
```

↑

Windows Server/SQL Server †

記事
- 英語版WindowsServer2008(無印)を日本語化する | サーバーワークスエンジニアブログ
- AWS 初級トレーニング（Windows Server 2012編）

↑

2段階認証 †

IAMでのログイン時に2段階認証を利用できる。セキュリティのため利用したほうが良い

ソフトウェアキーを使う場合
- Two-Factor Authentication App | Authy iOS/Android/BlackBerry/MacOSX/Windows/Linux 対応。2段階認証のデータを暗号化ファイルにバックアップできるため、端末が変わってもバックアップパスワードが分かれば復元できる
  - 2段階認証はAuthyが便利｜ Developers.IO
- Android: Google 認証システム
- iOS: Google Authenticator

ハードウェアキーを使う場合

記事

↑

IPアドレス範囲 †

記事
- AWSサービスで使用されているIPアドレスを確認する方法 Windows/Linux/Python3 ｜ DevelopersIO
- Amazon Web Services ブログ: 【AWS発表】AWSのIPアドレスレンジをJSONで提供

↑

不正利用 †

IAM keysがgithubに漏れたり、SSL Heartbleed bug等の致命的な問題の時、AWSからメールが来る(aws-verification@amazon.com)。このメールには必ず返信が必要で、返信しないでいるとEC2を新規に立てられなくなるといった制限が付く(該当リージョンのみ)
すぐにAWSサポートへ連絡。連絡して、適切な処理をする事で、不正利用された金額が戻ってくる(こともある)
IAM keysが漏れた場合、該当キーをinactiveにするだけはだめで、deleteする必要がある

記事
- 【実録】アクセスキー流出、攻撃者のとった行動とその対策｜ DevelopersIO
- AWSが不正利用され300万円の請求が届いてから免除までの一部始終 - Qiita

↑

SSL Heartbleed bug対応 †

AWS Services Updated to Address OpenSSL Vulnerability

http://filippo.io/Heartbleed/ テストできる

↑

API上限 †

Web Service Limits - AWS Data Pipeline
- WebService: 5秒に1回、連続10回

↑

ネットワーク図 †

アイコン
- AWS Simple Icons

Google Docs用テンプレート
- AWS Simple Icons v2.0

Memo/draw.io

Cacoo用 AWSクラウドデザインパターンテンプレート

記事
- Diagramsを使ってPythonでシステム構成図を描く | Developers.IO

↑

AWS側のメンテナンス †

EC2/RDS等、ハードウェア交換等でOSのリブートやインスタンスのstop/startをするようにとメールが来る場合がある。

Amazon EC2 のメンテナンスのヘルプページ
system-reboot
- EC2 EBSベースなら、EC2のstop/start
- EC2 S3ベースなら terminate/start。エフェメラルディスクの内容は消えるため、必要ならばバックアップが必要
instance-reboot
- OSの再起動をすれば良い。reboot or shutdown -r now
- エフェメラルディスクの内容はそのまま

機器が古いのかus-west-1では多い(気がする)

記事
- [運用Tips] EC2やRDSのメンテナンス通知をSlackに連携する – サーバーワークスエンジニアブログ Personal Health Dashboard からのメールでslackへ通知する。
- AWSのメンテナンス情報をSlackに通知する - Qiita CloudWatch Events + Lambdaを使って通知する例。複数リージョン用にCloudFormationテンプレートあり。

↑

Elastic Transcoder †

AWSで動画の変換サービス
米国東部リージョンで標準解像度(SD, 720p未満)の元動画1分あたり0.03ドル
入力形式：MP4, 3GP, AAC, AVI, FLV
出力形式：MP4, H.264, AAC

記事

↑

サービス上限緩和の申請 †

現在の上限はAWS Management Consoleの Services > EC2 > Limitsから確認できるようになった。上限緩和申請もここからできる。

お問い合わせ窓口 | アマゾンウェブサービス（AWS 日本語）から行う
- 通常、3～5営業日かかる。
- 有償のAWS サポートデベロッパー以上に入っていれば、12時間以内に応答がある

記事
- vCPUベースのオンデマンドインスタンス起動数の制限を試してみた。｜ DevelopersIO
- AWSの上限数とAWS Supportに泣きつく方法 - サーバーワークスエンジニアブログ

↑

ログ †

記事
- fluentでAuto ScalingインスタンスのログをS3に保存する : toda_k
- Rails3+devise,nginx,fluent,S3構成でのアクセスログ収集と蓄積 | Lightweight Hacking

↑

ヘルスチェック/SLA †

AWS Service Health Dashboard
- 全リージョンの各サービス毎の状態を確認できる。
- 大きい障害しか表示されない。
- 小さな障害の場合、サポートに問い合わせると実は障害がありましたと言われる場合あり。

Personal Health Dashboard
- アカウント毎の関連する障害を表示してくれる
- AWS Personal Health Dashboard – 関係するリソースの管理 | Amazon Web Services ブログ

記事

↑

構築自動化 †

Memo/Linux/cloud-init
- Linux インスタンスでの起動時のコマンドの実行 - Amazon Elastic Compute Cloud

記事
- サーバ構築自動化 on AWS - Sqaleの場合 - Google ドキュメント

↑

セミナー/育成/勉強会 †

AWS イベント・セミナースケジュール
- オンラインセミナーが便利。通常18:00-19:00、Webinerを使う。ブラウザがあれば視聴できる
AWS各サービス詳細紹介資料 - ほぼ週刊AWSマイスターシリーズ | 資料集 webinar中で使われたスライドが読める。入門用なのでわかりやすい

イベントリスト — JAWS-UG | AWS User Group - Japan勉強回など

記事
- AWSのリソースをフル活用したAWSエンジニア育成｜ Developers.IO

Memo/AmazonWebServices

Software

Programming

Game

雑記

連絡先

TreeView

人気の10件

最新の10件

AWS(Amazon Web Services) †

マルチディスプレイ環境のショートカット †

監査 †

SageMaker: 機械学習モデルのマネージドサービス †

CodeGuru: 機械学習で遅い(実行コストの高い)コードを見つける †

CloudSearch: マネージド型検索サービス †

Shield: マネージドDDoS保護 †

EventBridge: サーバレスのイベントバス †

Kendra: 機械学習ベースの検索サービス †

AWSサービスのIP range †

License Manager: ライセンスの追跡、管理、制御 †

Service Catalog: IT管理者の許可したリソースをユーザに提供 †

Cloud9: クラウドベースのIDE †

Macie: 機械学習によるS3上アクセスの保護 †

Googleスプレッドシートでの管理 †

Stash: AWS関連情報を複数のソースから検索 †

KMS(Key Management Service): 鍵の管理 †

CloudGoat: セキュリティ学習用AWS環境 †

Elemental MediaConvert: 動画変換サービス †

Forcast: 機械学習を使用した時系列予測サービス †

DataSync: オンプレミスとS3/EFS間の同期 †

リソースの命名、タグ付け †

Global Accelerator: 複数リージョンからのアクセスを固定IPを使って行う †

大規模障害時の対応 †

Chatbot: SlackやChimeへの通知 †

AppSync: GraphQL＆サーバレスでバックエンドを実装 †

Resource Optimization Recommendations †

Batch: マネージドbatch †

AWSアカウントの譲渡 †

Inspector: EC2にagentをインストールして脆弱性診断 †

EFS(Elastic File System): NFSでストレージをマウント †

DMS(Database Migration Service): †

Control Tower: 複数アカウントの管理 †

Service Quotas: サービス上限の一括管理 †

Security Hub: セキュリティアラートの一元管理 †

SecretManager: パスワード等の機密情報の管理 †

Workspaces: 仮想デスクトップサービス †

FSx for Windows: SMBファイルサーバー †

コンプライアンスの問い合わせ †

AWSグローバルインフラストラクチャの可視化 †

Cognito: アプリ毎のユーザ管理 †

MSK(Amazon Managed Streaming for Kafka) †

Kinesis: 動画とストリーミングデータの収集、処理、分析 †

Lex: AI活用した会話型インタフェース †

API Gateway †