Memo/AmazonWebServices

Amazon QuickSight（あらゆるデバイスからアクセス可能な高速BIサービス）| AWS
- 複数のデータソース(Redshift、S3、Athena、Aurora、RDS、IAM、CloudTrail、Cloud Directory)から、ダッシュボードを生成できる
- セッション(ユーザ)単位の課金

記事

登録済みユーザを確認。Free対象が1ユーザだが、それ以外は課金される。

AWS_PROFILE=example
AWS_ACCOUNT_ID=012345678912

aws quicksight list-users --profile $AWS_PROFILE --aws-account-id $AWS_ACCOUNT_ID --namespace default --region us-east-1

全ユーザを削除

QS_USERS=$(aws quicksight list-users --profile $AWS_PROFILE --aws-account-id $AWS_ACCOUNT_ID --namespace default --region us-east-1 --query 'UserList[].UserName' --output text)

for user in $QS_USERS; do \
echo "# $user"; \
aws quicksight delete-user --profile $AWS_PROFILE --aws-account-id $AWS_ACCOUNT_ID --namespace default --region us-east-1 --user-name $user; \
done

↑

監査/Audit †

AWSの事はAWSの機能でやるとして、「監査していますよ」と言える状態にするにはどうするのか

Audit Manager
- 各基準に準じたレポートを作成してくれる。
- AWS Audit Manager で監査の準備を簡素化 | Amazon Web Services ブログ
- [新サービス]PCI DSSなどの評価レポート作成が可能で監査を支援できるAWS Audit Managerが発表されたので使ってみた | Developers.IO

Security Hub
- これの通知で事足りるか？

IAM user
- 不用なユーザがいないか？
- access keyの使用日時を見て、よく使われているのに問題は無いか？
- Getting credential reports for your AWS account - AWS Identity and Access Management
- awsclideはgenerate-credential-reportで生成の指示を出す。少し待つ。get-credential-reportでダウンロードする。
- AWS CLI【 iam 】認証情報レポートの生成・取得 - Qiita

CloudTrail
- AWS APIに対しての監査

EC2のsshログ
- 変なアクセスが成功していないか？(/var/log/secure)

DNSサーバ
- 変なDNSにアクセスが来ていないか

WindowsServerのイベントログ

レポートの自動作成
- Lambda?

記事
- AWSのIAMユーザー管理簿を毎週自動でメール配信する - Qiita

↑

SageMaker: 機械学習モデルのマネージドサービス †

Amazon SageMaker（機械学習モデルを大規模に構築、トレーニング、デプロイ）| AWS

記事
- Amazon SageMaker と Amazon ES を使用しての画像検索アプリケーションの構築 | Amazon Web Services ブログ

↑

CodeGuru: 機械学習で遅い(実行コストの高い)コードを見つける †

Amazon CodeGuru - アマゾンウェブサービス

対応gitリポジトリ: 2020-07
- AWS CodeCommit
- Bitbucket
- GitHub

対応言語
- Java

CodeGuru Reviewer
- コードレビューの自動化。ソースコードをスキャンしてPRを作ってくれる
- 料金: 100行/0.75 USD と非常に高い。90日間の無償トライアルがある。

CodeGuru Profiler
- パフォーマンス分析
- 料金: リソースのサンプリング時間毎の課金

記事

↑

CloudSearch: マネージド型検索サービス †

Amazon CloudSearch（マネージド型検索サービス）| AWS
- S3をバックエンドにする事でコストを下げられる
- Amazon CloudSearchの見積方法について | ナレコムAWSレシピ

ElasticsearchとCloudSearchの違い
- Elasticsearch Service と CloudSearch どっちを選べば良いの？ | Developers.IO

記事

↑

Shield: マネージドDDoS保護 †

AWS Shield（マネージド型の DDoS 保護）| AWS
- OSI参照モデルのレイヤー3,4を保護。Standardはデフォルトで有効。
- Shield Advancedも有償である
- レイヤー7はAWS WAFで保護

記事
- AWS Shield Advanced で攻撃検出時にDRTから連絡が来るようになりました – サーバーワークスエンジニアブログ

↑

EventBridge: サーバレスのイベントバス †

Amazon EventBridge (サーバーレスイベントバスでアプリ同士を簡単に接続) | AWS

記事

↑

Kendra: 機械学習ベースの検索サービス †

Amazon Kendra – アマゾンウェブサービス

記事
- Amazon Kendra を使用して、よくある質問ボットをよりスマートに | Amazon Web Services ブログ

↑

AWSサービスのIP range †

https://ip-ranges.amazonaws.com/ip-ranges.json

記事
- ファイアウォールにて Amazon S3 への接続のみ許可する設定を行う必要があります。AWS で使用される IP アドレスの範囲を教えてください。 | Developers.IO

↑

License Manager: ライセンスの追跡、管理、制御 †

AWS License Manager（ライセンスの追跡、管理、制御）| AWS

記事
- AWS License Managerを使って、ライセンスソフトウェアを自動検出する方法 | Amazon Web Services ブログ
- AWS License Manager（ライセンスの追跡、管理、制御）| AWS

↑

Service Catalog: IT管理者の許可したリソースをユーザに提供 †

AWS Service Catalog（AWSでの使用が承認されたITサービスのカタログを作成）| AWS

記事
- AWS Service Catalogで制御された自由を – サーバーワークスエンジニアブログ

↑

Cloud9: クラウドベースのIDE †

AWS Cloud9（Cloud IDE でコードを記述、実行、デバッグ）| AWS

記事
- 社内で「はじめての Docker コンテナからの Blue-Green デプロイ勉強会」を開催しました | Developers.IO
- pyenvによる仮想Python環境をAWS Cloud9上で構築する | Developers.IO

↑

Macie: 機械学習によるS3上アクセスの保護 †

Amazon Macie（機械学習による機密データの検出、分類、保護）| AWS

記事
- Amazon Macie で特定アラートが誤検知してしまう場合の対処 | Developers.IO

↑

Googleスプレッドシートでの管理 †

記事
- AWS定義情報をGoogleスプレッドシートに出力する｜ Developers.IO
- GoogleスプレッドシートからAWSを操作する - mikedaの日記

↑

Stash: AWS関連情報を複数のソースから検索 †

AWS Stash

記事
- AWSの膨大な公式情報を一括して爆速検索可能なサイト「AWS Stash」｜ Developers.IO

↑

KMS(Key Management Service): 鍵の管理 †

AWS Key Management Service（マネージド型の暗号化キー作成と管理）| AWS

記事
- AWS KMSで公開鍵暗号してみた｜ Developers.IO

↑

CloudGoat: セキュリティ学習用AWS環境 †

RhinoSecurityLabs/cloudgoat: CloudGoat is Rhino Security Labs' "Vulnerable by Design" AWS deployment tool

記事
- ゆるふわIAM userのadmin権限を奪ってみた（AWSセキュリティ学習環境構築ツールCloudGoatのご紹介）｜ Developers.IO

↑

Elemental MediaConvert: 動画変換サービス †

AWS Elemental MediaConvert（動画を処理してオンデマンドコンテンツを準備）| AWS

記事
- AWS Elemental MediaConvertのイメージ挿入を完全に理解したい｜ DevelopersIO

↑

Forcast: 機械学習を使用した時系列予測サービス †

Amazon Forecast（機械学習を使用した正確な時系列予測サービス）| AWS

記事
- Amazon Forecastの機能だけを使用する為に必要最低限のIAM権限定義を調査した｜ DevelopersIO

↑

DataSync: オンプレミスとS3/EFS間の同期 †

AWS DataSync（シンプルかつ高速なオンラインデータ転送）| AWS

記事
- AWS DataSyncでの転送でS3 Storage Classがサポートされたので試してみます｜ DevelopersIO
- AWS DataSync 最新情報－ S3 ストレージクラスのサポートなど | Amazon Web Services ブログ

↑

リソースの命名、タグ付け †

AWSリソースID
- DNSでリソースを区別する事が多々あるため、 半角英数字、ハイフンのみ を使う事推奨。

タグ(key=Value)
- タグの制限

ケバブケース(kebab-case)
- 単語をハイフンで区切る
- ケバブケース（kebab-case）について調べた - Qiita

記事

↑

Global Accelerator: 複数リージョンからのアクセスを固定IPを使って行う †

記事

↑

大規模障害時の対応 †

基本はMultiAZ(3AZ推奨)だが、耐障害性と費用のバランスを考える必要がある。

AWS Service Health Dashboard に障害情報が出るので確認。

記事
- Developers.IOにある冗長化（マルチAZ、マルチリージョン）、監視、障害対応などの記事をまとめてみた（全110個）｜ DevelopersIO
- 複数のAvailability ZoneにプロビジョニングしたELB(ALB) / AutoScaling Groupから特定Availability Zone上のリソースをパージする｜ DevelopersIO

↑

AppSync: GraphQL＆サーバレスでバックエンドを実装 †

AWS AppSync（アプリデータをリアルタイムで保存、同期）| AWS

記事
- AWS再入門ブログリレーAppSync編｜ DevelopersIO

↑

Resource Optimization Recommendations †

記事
- EC2の無駄遣いを指摘する Resource Optimization Recommendations がリリースされました – サーバーワークスエンジニアブログ

↑

Batch: マネージドbatch †

AWS Batch（バッチ処理をあらゆる規模で効率的に実行）| AWS

記事
- AWS再入門ブログリレー AWS Batch編｜ DevelopersIO

↑

AWSアカウントの譲渡 †

AWS アカウントを別の個人または組織に譲渡する

記事
- AWSアカウント名義変更について - Qiita

↑

Inspector: EC2にagentをインストールして脆弱性診断 †

Amazon Inspector（アプリのセキュリティとコンプライアンスの改善をサポート）| AWS

記事

↑

EFS(Elastic File System): NFSでストレージをマウント †

特徴 - Amazon EFS | AWS

記事

↑

DMS(Database Migration Service): †

AWS Database Migration Service（最小限のダウンタイムでデータベースを移行）| AWS

記事

↑

Control Tower: 複数アカウントの管理 †

AWS Control Tower（複数アカウント環境をセキュアに設定、管理）| AWS

記事

↑

Service Quotas: サービス上限の一括管理 †

記事
- [NEW] サービス制限を管理する AWS Service Quotas がリリースされました！｜ DevelopersIO

↑

Security Hub: セキュリティアラートの一元管理 †

AWS Security Hub（統合されたセキュリティ & コンプライアンスセンター）| AWS

記事

↑

SecretManager: パスワード等の機密情報の管理 †

AWS Secrets Manager とは ? - AWS Secrets Manager
- プログラム内に固定で持つ代わりに、APIを使って機密情報の管理を行う。

記事

↑

Workspaces: 仮想デスクトップサービス †

Amazon WorkSpaces（セキュアな仮想デスクトップ（VDI）サービス）| AWS

記事

↑

FSx for Windows: SMBファイルサーバー †

Amazon FSx for Windows ファイルサーバー | クラウドファイルストレージ | アマゾンウェブサービス

記事

↑

コンプライアンスの問い合わせ †

普通の技術サポートではなく、専用のwebフォームから問い合わせる。

使いたいサービスが、HIPAA, ISO27001, PCI, etc...に対応しているか

AWS Compliance

記事
- 【レポート】「規制対象になる重要ワークロードをAWSで動かす場合の可視性とセキュリティの確保」 GDPR,PCI,金融業界の機密性の高いワークロードを扱う担当者が実施すべきポイント #AWSSummit ｜ DevelopersIO
- 【レポート】「AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント― 」 #AWSSummit ｜ DevelopersIO

↑

AWSグローバルインフラストラクチャの可視化 †

3D AWS Infrastructure Map
- 3D地球儀、2D地図上で、Region, AZ, 等を確認できる

AWS グローバルインフラストラクチャ | AWS
- 2D地図上で、Regionを確認できる。今後追加予定のRegionも表示される

記事
- AWS のグローバルインフラストラクチャがよく分かる！3D AWS Infrastructure Map のご紹介｜ DevelopersIO

↑

Cognito: アプリ毎のユーザ管理 †

Amazon Cognito（ウェブ/モバイルアプリのユーザー管理）| AWS

記事

↑

MSK(Amazon Managed Streaming for Kafka) †

Amazon MSK - アマゾンウェブサービス (AWS)

記事
- Amazon MSK を使用したログベースのアーキテクチャでウェブコンテンツをストリーミングする | Amazon Web Services ブログ
- [MirrorMaker を使用してクラスターを移行する - Amazon Managed Streaming for Apache Kafka](https://docs.aws.amazon.com/ja_jp/msk/latest/developerguide/migration.html)
- Amazon MSK（フルマネージドのKafkaクラスタ）のパブリックプレビューが東京リージョンに来たので試してみました｜ DevelopersIO

↑

Kinesis: 動画とストリーミングデータの収集、処理、分析 †

Amazon Kinesis (フルマネージド型リアルタイム大規模ストリーミング処理） | AWS

記事
- 【小ネタ】Raspberry Pi と USB接続のWebカメラでRTSPサーバを作って動画を配信する｜ DevelopersIO
- [Amazon Kinesis Video Streams] Docker+RasPi+USB接続Webカメラでの配信｜ DevelopersIO

↑

Lex: AI活用した会話型インタフェース †

【Amazon Lex】人工知能を活用した会話型インターフェイス | AWS
- Facebook Messenger、Slack、Twilio SMS連携

記事
- Amazon Lex チャットボットで、ワンタイムパスワードを使ってユーザーを認証する | Amazon Web Services ブログ
- Amazon Lexを利用したノンコーディングSlackボットを作ってみた｜ DevelopersIO

↑

API Gateway †

Amazon API Gateway（API を簡単に作成・管理） | AWS
- Lambda, ACM, CloudFrontと組み合わせて使う事が多い

Edgeパターン
- us-east-1のACMにSSL証明書をインポート
- 専用のCloudFront Endpointが追加されるので、DNS設定
Regionalパターン
- 各リージョンに設定する。CloudFrontは使わない。ACMも使わず、API gatewayに直接SSL証明書をインポート。
- 専用のLambda Endpointが追加されるので、DNS設定
- 中国はRegionalのみ対応(2019-04)

記事

↑

セキュリティ †

通知(SlackやEmail)等を有効にする。各機能を有効にしただけでは、異常が起きても気がつかないため必須。
- CloudWatch Events + SNS でEmail通知
  - 簡単。Slack専用のEmailアドレスに転送するだけなので楽。見た目はシンプル。
- Lambda。Slack専用に見やすくカスタマイズが出来るが、手間がかかる。

CloudTrail
- APIのログが残る。誰がどんな操作をしたかがが分かる。API単位なので件数が多い
GuardDuty
- 不審なアクセスを検出。

Config
- 予め指定したルールに一致しているか検出。

記事

↑

Transfer for SFTP: S3をバックエンドにしたSFTP/SCPマネージドサービス †

AWS Transfer for SFTP
- S3をバックエンドにできるので、堅牢性、容量の面で安心
- ユーザ認証: SSH public key, Active Directory, LDAP
- WinSCP、FileZilla、CyberDuck、OpenSSH(scp)等のメジャーなクライアントから使える

記事

↑

サーバレス †

サーバレス構成でよく使うサービス

API gateway
Lambda
CloudWatch
CloudFront

記事
- AWS公式で「形で始めるサーバーレス設計」が紹介されています！｜ DevelopersIO

↑

Lightsail: VPSサービス †

Lightsail
- WordPress, LAMP, Node.js, Redmine, GitLab, ... といったインストール済みのホストを数クリックで起動できる。
- 月額 $4～

記事
- AmazonのVPSサービス(Lightsail)を使い、独自ドメイン・SSL対応したWordPressを構築($3.50〜/月) ｜ DevelopersIO

↑

Elasticsearch: 全文検索エンジン †

Amazon Elasticsearch Service（Elasticsearch を簡単にデプロイ・操作・スケーリング）| AWS
- Elasticsearch: Lucene(全文検索エンジン)をベース
- Kibana: 準リアルタイムにElasticsearchに入れたログを分析して表示。
- 可用性を上げるとしてマスターノード最低3台(t3)、データノード最大3台(m5)となるので、結構高い

RI
- t2のRIは無い。
- t3.medium.elasticsearch。それ以下は無い

Index State Management - Amazon Elasticsearch Service
- indexを30日後に、read_only状態へ。90日後に削除等の設定できる。

記事

サイズ縮小
- Elasticsearchの圧縮方式の比較 - Taste of Tech Topics
- デフォルトの圧縮形式: LZ4. 「best_compression形式(DEFLATE)」を指定する事で、小さくなる。既存のindexは新規追加分から適用される。全て変換したい場合は「_forcemerge」を使うようだ。
- ElasticsearchのShrink APIを検証した - Taste of Tech Topics

↑

サービスの選択 †

記事
- 【AWS Summit Osaka 2019 セッションレポート】AWS におけるデータベースの選択肢とその選定方針 #AWSSummit ｜ DevelopersIO
- [レポート] 正しく選択できているか？AWS が提供するマネージドデータベース #awssummit ｜ DevelopersIO

↑

開発プロセス †

記事
- [レポート] Amazon の開発プロセス – How Services Are Created at AWS #awssummit ｜ DevelopersIO

↑

AWS認定資格 †

AWS 認定 – AWS クラウドコンピューティング認定プログラム | AWS

記事
- AWS資格勉強を始めようと思っている方！今がチャンスですよー〜AWS Innovate試験対策セッションのご紹介〜｜ DevelopersIO
- 書評「ソリューションアーキテクト-アソシエイトの教科書」は、AWSを学ぶ最初の１冊に最適｜ DevelopersIO

↑

Support: サポート †

技術サポートは有償のdevプランから。
購入済みRI があると、初月のサポート料金が跳ね上がる。SIMPLE MONTHLY CALCULATOR はRI購入済みの場合のサポート料金も見積に出るので使った方が良い。

↑

Glue DataBrew: コードを書かずにデータ前処理 †

記事

↑

Glue: マネージドETLサービス †

https://aws.amazon.com/jp/glue/
- Apache Spark サーバーレス環境で運用されるマネージド型 ETL(Extract/Transform/Load) サービス

AWS Glue よくある質問 – アマゾンウェブサービス (AWS)
- Q: AWS Glue とAWS Data Pipeline はどのように使い分けますか?
- Q: AWS Glue とAWS Batch はどのように使い分けますか?

記事
- Glueクローラを利用したAtenaによる分析環境の構築手順 | Developers.IO
- Glueのジョブどこから実行しよう..トリガー？ワークフロー？Step Functions？ | Developers.IO
- [新機能] AWS Glue 「Glue Version 2.0」のSpark ETL ジョブの開始時間が10倍速く、最小の請求時間は1分になりました！ | Developers.IO
- AWS Glue でメモリ管理を最適化する | Amazon Web Services ブログ
- [アップデート]AWS Glueがジョブ実行後のパーティション更新に対応しました！ | Developers.IO
- Amazon Athena を使用したクロスアカウントの AWS Glue データカタログ | Amazon Web Services ブログ
- GlueのクローラでS3のCSVデータを検出し、Athenaでクエリを実行する｜ Developers.IO
- Amazon Athena を使った Amazon S3 分析データへのクエリ | Amazon Web Services ブログ
- AWS Glueのジョブ同時実行数制限には気をつけた方がいいという話｜ DevelopersIO
- AWS再入門ブログリレー AWS Glue編｜ DevelopersIO
- AWS Glue を使用して Salesforce.com データを抽出し、Amazon Athena で分析する | Amazon Web Services ブログ
- GlueのPython Shellジョブでファイルの文字コードを変更してみた｜ DevelopersIO
- AWS Glueを用いてETL環境を構築したお話（RDS for MySQL → S3） - コネヒト開発者ブログ
  - gzip圧縮したい場合、以下で出来そう(未検証)
```
buf = BytesIO()
with gzip.GzipFile(mode='w', fileobj=buf) as gz_file:
    df.to_csv(gz_file, sep='\t', encoding="UTF8", index=False)
```
  - pandas.DataFrame.to_csv — pandas 0.24.2 documentation に compressionオプションがあるが使えない？
```
df.to_csv(csv_buffer, sep='\t', encoding="UTF8", index=False, compression='gzip')
```
- AWS Glue Spark ETL ジョブでリアルタイムの進行状況を追跡する『Continuous Logging』をサポートしました｜ DevelopersIO
- Glueの使い方的な - Qiita
- AWS Glue の新しいジョブタイプ『Python Shell』を実際に試してみました｜ DevelopersIO
- AWS GlueでDBのデータをマスキングして出力してみる - Qiita

↑

中国リージョン †

Memo/Aliyun の注意点参照
AWS Global版とはアカウントが別になる。
AWS Chinaは中国法人が必要。
ICPライセンスが無いとweb公開(80,443,8080)ができない。
- ICPライセンスの申請は、リージョン毎に別会社。1ヶ月くらいかかる？
- API Gatewayでも同様に、認証無しでのアクセスができない。token認証有りは通信OK。ICPライセンスが無いと「curl -i https://<api-gateway endpoint>」が「x-amzn-ErrorType: AccessDeniedException」になる。
時間帯によって非常に遅くなる。通信が悪い。 南北問題？
リージョンによって、無いサービスも多い。2019-01-30 NingxiaリージョンのみAuroraがある。
- Region Table
API Endpointが異なる。「ec2.cn-northwest-1.amazonaws.com.cns.com.cn」
- AWS Regions and Endpoints - Amazon Web Services
ARNが異なる。「arn:aws-cn:iam::123456789012:user/division_abc/subdivision_xyz/Bob」等
- AWS Identity and Access Management - Getting Started with Amazon AWS

記事

↑

ECS: EC2上でDockerコンテナを管理 †

Amazon Elastic Container Service (ECS - 高性能な Docker コンテナ管理) | AWS

記事

↑

Chrome/Firefox拡張機能 †

iann0036/AWSConsoleRecorder: Records actions made in the AWS Management Console and outputs the equivalent CLI/SDK commands and CloudFormation/Terraform templates.
- Console Recorder for AWS: 操作を記録して各種テンプレート(CloudFormation, awscli, CDK, terraform他)を生成してくれるChrome/Firefoxアドオン
- AWSの一部リソースに対応。
- AWSマネジメントコンソールで役に立つChrome拡張機能のご紹介 | Developers.IO
- AWSマネジメントコンソールの操作を記録して再現コードやCloudFormationテンプレート、Terraform定義を生成してくれるブラウザ拡張 – Console Recorder for AWS ｜ DevelopersIO

↑

ホワイトペーパー: 解決すべき課題、要因を分析、解決策を提示 †

ホワイトペーパー | AWS
コンプライアンスリソース –アマゾンウェブサービス (AWS)
- 日本語のpdfあり

↑

ベストプラクティス †

AWS Answers（クラウドでのアプリ設計、開発、運用に関するよくあるご質問） | AWS

AWS Well-Architected Frameworkホワイトペーパー(PDF)

AWS モダンアプリケーション開発 – AWS におけるクラウドネイティブモダンアプリケーション開発と設計パターン」（日本語版）

AWS Well-Architected Tool（アーキテクチャのレビューとベストプラクティス比較）| AWS

記事

↑

モバイル(Android/iOS)アプリ †

[モバイルアプリ - AWS コンソール | AWS](https://aws.amazon.com/jp/console/mobile/)
- モバイルデバイスでAWSの状態を確認、管理できる

↑

マーケティングEMAILを停止する †

複数AWSアカウント使用時に同じメールが来て邪魔。

AWS Email Preferences を開く
AWS root accountを入力
「Do not send me marketing email」にチェック
Save

↑

DDoS対策 †

DDoSに対するAWSのベストプラクティス(PDF)

記事
- AWS環境におけるDDoS対策 - Qiita
- Top 10 DDoS Protection Services of 2016 | Top Ten Reviews

↑

Aurora: MySQL/PostgreSQL互換のデータベース †

https://aws.amazon.com/jp/rds/aurora/

Auroraのメリット
- Read replicaを複数台利用するケースは早くなる。
- masterしか使わない(書き込みが多い)場合は効果はない
デメリット
- RDS単体よりは高い

記事

↑

Redshift: マネージドデータウェアハウスサービス †

https://aws.amazon.com/jp/redshift/

記事

↑

侵入/脆弱性テスト申請 †

2019-03-01現在、EC2/NAT gateway/ELB/RDS/CloudFront/Lambda@Edge/Aurora/API gateway/Lambda/Lightsail/Elastic Beanstalkへのテストは事前承認無しになった。ただし、JPサイトはまだ更新されていない。ENサイトでは8つのサービスは不要と記述がある。

侵入テスト - AWS
- 1フォームで2種類の申請ができる。テスト元で入力が異なる
- source: EC2からEC2への侵入テスト
- target: 外部IPからEC2への侵入テスト
- 承認番号を含むメールが届くまではテストは許可されない。通常2営業日以内

記事
- 【2019年アップデート】侵入テストについて｜ DevelopersIO
- AWSでの侵入テスト(Penetration Test)について | cloudpack.media
- ホスティング会社・サービスプロバイダーへの脆弱性診断実施の申請方法｜サイバートラスト AWSやAzure環境での申し込み方法の説明がある

AWS以外のホストから、EC2へのスキャンを申請する場合: Scan Infomation

IP Addresses to be scanned (Destination): スキャン先EC2のプライベートIP

aws --profile default --region ap-northeast-1 ec2 describe-instances \
 --filters "Name=instance-state-name,Values=running" \
 --query 'Reservations[].Instances[].NetworkInterfaces[].PrivateIpAddresses[].PrivateIpAddress' \
 --output text | tr '\t' '\n'

172.31.0.1
172.31.0.2
...

Are the instances the source of the scan or the target of the scan ?: Target

Instances IDs*: スキャン先EC2のインスタンスID

aws --profile default --region ap-northeast-1 ec2 describe-instances \
 --filters "Name=instance-state-name,Values=running" \
 --query 'Reservations[].Instances[].InstanceId' \
 --output text | tr '\t' '\n'

i-00000001
i-00000002
...

Scanning IP addresses (Source)*: スキャン元IP
```
1.2.3.4
```

↑

Windows Server/SQL Server †

記事

↑

2段階認証 †

IAMでのログイン時に2段階認証を利用できる。セキュリティのため利用したほうが良い

ソフトウェアキーを使う場合
- Two-Factor Authentication App | Authy iOS/Android/BlackBerry/MacOSX/Windows/Linux 対応。2段階認証のデータを暗号化ファイルにバックアップできるため、端末が変わってもバックアップパスワードが分かれば復元できる
  - 2段階認証はAuthyが便利｜ Developers.IO
- Android: Google 認証システム
- iOS: Google Authenticator

ハードウェアキーを使う場合

記事

↑

IPアドレス範囲 †

記事
- AWSサービスで使用されているIPアドレスを確認する方法 Windows/Linux/Python3 ｜ DevelopersIO
- Amazon Web Services ブログ: 【AWS発表】AWSのIPアドレスレンジをJSONで提供

↑

不正利用 †

IAM keysがgithubに漏れたり、SSL Heartbleed bug等の致命的な問題の時、AWSからメールが来る(aws-verification@amazon.com)。このメールには必ず返信が必要で、返信しないでいるとEC2を新規に立てられなくなるといった制限が付く(該当リージョンのみ)
すぐにAWSサポートへ連絡。連絡して、適切な処理をする事で、不正利用された金額が戻ってくる(こともある)
IAM keysが漏れた場合、該当キーをinactiveにするだけはだめで、deleteする必要がある

記事
- 【実録】アクセスキー流出、攻撃者のとった行動とその対策｜ DevelopersIO
- AWSが不正利用され300万円の請求が届いてから免除までの一部始終 - Qiita

↑

SSL Heartbleed bug対応 †

AWS Services Updated to Address OpenSSL Vulnerability

http://filippo.io/Heartbleed/ テストできる

↑

API上限 †

Web Service Limits - AWS Data Pipeline
- WebService: 5秒に1回、連続10回

↑

ネットワーク図 †

アイコン
- AWS Simple Icons

Google Docs用テンプレート
- AWS Simple Icons v2.0

Memo/draw.io

Cacoo用 AWSクラウドデザインパターンテンプレート

記事
- Diagramsを使ってPythonでシステム構成図を描く | Developers.IO

↑

AWS側のメンテナンス †

EC2/RDS等、ハードウェア交換等でOSのリブートやインスタンスのstop/startをするようにとメールが来る場合がある。

Amazon EC2 のメンテナンスのヘルプページ
system-reboot
- EC2 EBSベースなら、EC2のstop/start
- EC2 S3ベースなら terminate/start。エフェメラルディスクの内容は消えるため、必要ならばバックアップが必要
instance-reboot
- OSの再起動をすれば良い。reboot or shutdown -r now
- エフェメラルディスクの内容はそのまま

機器が古いのかus-west-1では多い(気がする)

記事
- AWS Chatbot を使って AWS Personal Health Dashboardの通知をいい感じにSlackに通知する - クラウドワークスエンジニアブログ
- [運用Tips] EC2やRDSのメンテナンス通知をSlackに連携する – サーバーワークスエンジニアブログ Personal Health Dashboard からのメールでslackへ通知する。
- AWSのメンテナンス情報をSlackに通知する - Qiita CloudWatch Events + Lambdaを使って通知する例。複数リージョン用にCloudFormationテンプレートあり。

↑

Elastic Transcoder †

AWSで動画の変換サービス
米国東部リージョンで標準解像度(SD, 720p未満)の元動画1分あたり0.03ドル
入力形式：MP4, 3GP, AAC, AVI, FLV
出力形式：MP4, H.264, AAC

記事

↑

サービス上限緩和の申請 †

現在の上限はAWS Management Consoleの Services > EC2 > Limitsから確認できるようになった。上限緩和申請もここからできる。

お問い合わせ窓口 | アマゾンウェブサービス（AWS 日本語）から行う
- 通常、3～5営業日かかる。
- 有償のAWS サポートデベロッパー以上に入っていれば、12時間以内に応答がある

記事
- vCPUベースのオンデマンドインスタンス起動数の制限を試してみた。｜ DevelopersIO
- AWSの上限数とAWS Supportに泣きつく方法 - サーバーワークスエンジニアブログ

↑

ログ †

記事
- fluentでAuto ScalingインスタンスのログをS3に保存する : toda_k
- Rails3+devise,nginx,fluent,S3構成でのアクセスログ収集と蓄積 | Lightweight Hacking

↑

ヘルスチェック/SLA †

AWS Service Health Dashboard
- 全リージョンの各サービス毎の状態を確認できる。
- 大きい障害しか表示されない。
- 小さな障害の場合、サポートに問い合わせると実は障害がありましたと言われる場合あり。

Personal Health Dashboard
- アカウント毎の関連する障害を表示してくれる
- AWS Personal Health Dashboard – 関係するリソースの管理 | Amazon Web Services ブログ

記事

↑

構築自動化 †

Memo/Linux/cloud-init
- Linux インスタンスでの起動時のコマンドの実行 - Amazon Elastic Compute Cloud

記事
- サーバ構築自動化 on AWS - Sqaleの場合 - Google ドキュメント

↑

セミナー/育成/勉強会 †

AWS イベント・セミナースケジュール
- オンラインセミナーが便利。通常18:00-19:00、Webinerを使う。ブラウザがあれば視聴できる
AWS各サービス詳細紹介資料 - ほぼ週刊AWSマイスターシリーズ | 資料集 webinar中で使われたスライドが読める。入門用なのでわかりやすい

イベントリスト — JAWS-UG | AWS User Group - Japan勉強回など

記事
- AWSのリソースをフル活用したAWSエンジニア育成｜ Developers.IO