本日も乙

ただの自己満足な備忘録。

S3

S3のストレージクラスを一括で変更するとクラウド破産するかもという話

S3 のストレージコストを最適化する際に、S3 オブジェクトのストレージクラスを用途に合わせて変更するのがプラクティスのひとつとして提唱されています。ストレージクラスは「S3 Standard」「S3 Standard-IA」「S3 OneZone-IA」「S3 Glacier」「S3 Glacier …

AWS主要サービスのストレージ暗号化についてのまとめ

セキュリティ、コンプライアンスの要件によってはデータの暗号化が必要な場合があります。データ転送やデータ保管時も暗号化の対象です。AWS は一部のサービスを除いてデータ保管時の暗号化はデフォルトで有効になっておらず、明示的に有効にする必要があり…

「[Action Required] Amazon S3 and Amazon CloudFront migrating default certificates to Amazon Trust Services in March 2021」というメールについて

3月19日ぐらいにブログタイトルのような件名のメールが届いた。今後トラブルがあったときに備忘として残しておく。 概要 2021年3月1日から CloudFront・S3 の SSL 証明書のルート認証局が DigiCert から Amazon 自社認証局(Amazon Trust Services)に変更さ…

Athena で S3 署名バージョン2の利用状況レポートを作成する

Amazon S3 の署名バージョン2(Sig V2)が6月24日以降使えなくなるとのことです。詳細についてはクラスメソッドのブログが詳しく取り上げられています。 docs.aws.amazon.com AWS SDK や AWS CLI を定期的にバージョンアップしている人にとっては対応不要だと…

別AWSアカウントに保存しているCloudTrailログをAthenaから検索する

以前に、CloudTrailのログを別のAWSアカウントのS3バケットに転送する方法を紹介しました。 今回はCloudTrailを設定しているAWSアカウントのAthenaからそのS3バケットに検索する方法を紹介します。 …が、正直言ってあまりオススメできる方法ではないので、可…

AWS LambdaでAthenaのクエリ履歴をS3に定期保存する

Amazon Athena はAmazon S3内のデータをSQLで検索できるサービスです。サーバを用意する必要がなくクエリ課金なので、私のいる部署でも重宝しています。 Athenaの問題点はクエリ履歴が45日間しか表示されないことです。セキュリティ要件としてAWS RDSやRedsh…

VPC Flow Logsの出力先を一つのS3バケットに集約する

VPC Flow Logsとは VPC フローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログのデータは、Amazon CloudWatch Logs を使用して保存されます。フローログを作成…

S3からGlacierにライフサイクルで移行するときにお金がかかるので注意

以前にやらかした恥ずかしい出来事をあえて惜しむことなくここにさらけ出します。 ライフサイクルでGlacierに移行しようと設定した あるS3バケットでライフサイクルによって1年経過したオブジェクトをGlacierに移行するように設定しました。そのS3バケットに…

S3の暗号化についてまとめてみた(2018年6月版)

前回はS3バケットのデフォルト暗号化のパフォーマンス比較を紹介しました。 本当はこちらを先に紹介すべきでしたが、今回はS3の暗号化についてまとめてみました。 暗号化の種類 サーバ側の暗号化(Server Side Encryption: SSE) クライアント側の暗号化(Clien…

S3デフォルト暗号化によるパフォーマンスを検証してみた

最近までセキュリティ向上プロジェクトとして、AWSのストレージ暗号化をすすめてきました。S3バケットの暗号化を行う必要があり、デフォルト暗号化を有効化しています。 このデフォルト暗号化により、アップロード時の暗号化を指定しなくてもS3バケットにフ…

複数AWSアカウントのCloudTrailログファイルを一つのS3バケットに集約する

AWS CloudTrailはAWSの操作(正確にはAPIコールの呼び出し)を記録するサービスです。誰がどのような操作をしたのかを追うことができるため、監査に役立ちます。 AWSを本格的に利用しているところでは、用途に応じてAWSアカウントを複数作成しているケースが多…

ELBのアクセスログを別AWSアカウントにあるS3バケットに保存する

AWSのELBにはアクセスログをS3に保存できる機能が提供されています。 Classic Load Balancer のアクセスログ - Elastic Load Balancing Application Load Balancer のアクセスログ - Elastic Load Balancing このアクセスログをELBを持っているAWSアカウント…

S3でサーバレスなBasic認証を実現する(CloudFront + Lambda@Edgeの活用)

S3バケットに配置しているオブジェクトファイルに対してBasic認証をかけたい場合があると思います。しかし、S3自体にBasic認証機能は提供されていません。そのため、今まではリバースプロキシとしてEC2を前段に置くことで実現していました。 最近、Lambda@Ed…

S3バケット作成時に自動的にタグをつける(CloudWatch Events + AWS Lambda)

[toc] AWSでタグ付けによるコストの割り当て(コストアロケーション)をしている方が多いと思います。私が所属する組織でもタグ付けによってAWS料金を分けることをしています。 コストの分割をやりやすくしてくれるので嬉しい機能ですが、ついついタグ付けを忘…

AWS LambdaでVulsを使おうと試みた話

[toc] 本記事はVuls Advent Calendar 2016 18日目の投稿記事です。 概要 本記事は、脆弱性検知ツールVulsをサーバレスで実行しようと試みた内容です。 結果としては、AWS Lambda(以下、Lambda)で実行するには様々な制約があって難しいことがわかりましたが、…

CloudFront + nginx(http_image_filter_module) + S3 を使って画像変換サーバを構築する

珍しく(初めて?)AWSネタです。 仕事でAWSのVPCを構築しているのですが、画像を取り扱うサーバが欲しいとの要望がありました。 画像を表示するだけならCloudFront+S3だけで強力な画像(CDN)サーバを構築することができるのですが、今回は画像サイズもリアルタ…