AWS– category –
-
【AWS】Interface 型 VPC エンドポイント経由で EC2 から Secrets Manager にプライベート接続する環境の構築手順(Terraform)
プライベートサブネット内の EC2 インスタンスが、Internet Gateway / NAT Gateway を使わずに、Interface 型 VPC エンドポイント経由で AWS サービスへ接続する構成です。 今回は例として Secrets Manager に接続する構成にします。Secrets Manager、SSM... -
【AWS】Gateway 型 VPC エンドポイントで S3 バケットにプライベート接続する環境の構築手順(Terraform)
Gateway 型 VPC エンドポイントで S3 バケットにプライベート接続する環境の構築手順について説明します。 今回の構成 次のような環境を想定します。 AWS Region: ap-northeast-1 VPC └── 10.0.0.0/16 ├── Private Subnet A │ ├── 10.0.1.0/24 │ ├── EC2 A... -
【AWS】Secrets Manager の Secrets をクロスアカウントで取得するための各リソース(Secrets、KMS、IAMロール、リソースポリシー)の設定方法
別アカウントの EC2 から Secrets Manager の値を直接取得する方法について解説します。 必要な設定は大きく以下の 3つのポリシーになります。 【Secretsを所有するアカウント】 1. Secrets Manager のリソースポリシー 2. KMS カスタマーマネージドキーの... -
IdP / SSO / SAML / 証明書 / AWS IAM の関係について
IdP / SSO / SAML / 証明書 / AWS IAM の関係についてしっかりと把握できるよう詳しく解説します。試験にも結構出てきます。しかし一夜漬けの暗記だけでは、複雑に補完し合う認証周りの構成が把握できず何度も不明な状態になります。 登場人物 まずは登場... -
【AWS】Aurora MySQL クエリログを取得する方法
Aurora MySQL の場合 Aurora MySQL は以下のログファイルをモニタリングできます。 IAM データベース認証エラーログ エラーログ(Error Log) スロークエリログ(Slow Query Log) 全般ログ(General Log) 監査ログ(Audit Log) インスタンスログ I... -
【AWS】Athena で CloudTrail のログ調査をできるようにする手順
CloudTrail のイベント履歴は、過去90日分の管理イベントを表示・検索・ダウンロードできる機能です。これはアカウント作成時から自動で利用できますが、90日を超えた調査には向きません。 一方で、CloudTrail の証跡を作成しておくと、イベントを S3 バケ... -
AWS Lake Formation
AWS Lake Formation とは AWS Lake Formation は、一言でいうと S3上のデータレイクに対して、データの管理・カタログ化・権限制御を行うサービスです。特に重要なのは、S3 バケットポリシーや IAM ポリシーだけで細かく制御するのではなく、「データベー... -
AWS Audit Manager
AWS Audit Manager は 2026年4月30日から新規利用に制限が入る 現在、Audit Manager では、2026年4月30日以降は新規顧客向け提供が終了しています。 Audit Manager の管理画面では以下のメッセージが表示されています。 AWS Audit Manager has moved to ma... -
AWS CloudTrail Lake
AWS CloudTrail Lake の特徴 AWS CloudTrail Lake は、CloudTrail のイベントを長期間ためて、SQLで検索・分析できる機能です。普通の CloudTrail が「まずはログを記録して S3 に置く」のが中心なのに対して、CloudTrail Lake は監査ログをそのまま分析し... -
AWS Systems Manager(SSM)
AWS Systems Manager(SSM)の特徴 AWS Systems Manager(SSM)は、AWS 内のリソースだけでなく、オンプレミスやマルチクラウド環境でも一元的に表示、管理、および運用できます。SSM は 1つの単独機能ではなく、複数の管理ツールの集合体です。代表的なも... -
CIS AWS Foundations Benchmark
CIS AWS Foundations Benchmark 標準とは CIS AWS Foundations Benchmark 標準は、CIS(Center for Internet Security)が定めた、AWS 環境向けのセキュリティ設定ベストプラクティス集です。これは AWS の一部サービスやリソースに対する「安全な設定ガイ... -
AWS CloudFormation Guard
AWS CloudFormation Guard の特徴 AWS CloudFormation Guard は、CloudFormation テンプレートや各種 JSON/YAML の設定値が、組織のポリシーに違反していないかを事前にチェックするための Policy as Code ツールです。CloudFormation Guard は、オープン... -
Amazon SageMaker
Amazon SageMaker の特徴 Amazon SageMaker は データ・分析・AI の統合プラットフォーム全体を指します。2024 年 12 月に次世代の SageMaker を発表し、SageMaker AI、Lakehouse、Unified Studio などを含む形に整理されました。フルマネージドの機械学習... -
Amazon Bedrock
Amazon Bedrock の特徴 Amazon Bedrock は AWS が提供するフルマネージドな生成AI基盤サービスです。Anthropic、Meta、Mistral AI、Stability AI、Amazonなどの主要AI企業が開発した高性能な基盤モデル(FM)を、API を通じて安全かつ簡単に利用でき、テキ... -
Amazon Q Developer in chat applications(旧 AWS Chatbot)
https://aws.amazon.com/jp/blogs/news/aws-chatbot-is-now-named-amazon-q-developer 2025年2月26日 AWS Chatbot が Amazon Q Developer に名称変更されました。単なる名称変更ではなくチャットベースの DevOps 機能の強化がされたようです。AWS Chatbot ... -
AWS Systems Manager State Manager
AWS Systems Manager State Manager の特徴 State Manager は、安全でスケーラブルな設定管理サービスであり、これによってマネージドノードおよび他の AWS リソースを定義された状態に保つプロセスが自動化されます。State Manager は EC2 などのマネージ... -
AWS Verified Access
AWS Verified Access の特徴 AWS Verified Access は、VPN なしで社内 Web アプリへ安全にアクセスさせるための、ゼロトラスト型アクセス制御サービスです。各アクセス要求ごとに、ユーザーのID情報やデバイスのセキュリティ状態を評価し、条件を満たした... -
Amazon EventBridge
Amazon EventBridge の特徴 EventBridge は、AWS 内外で発生したイベントを受け取り、条件に合うイベントを別の AWS サービスや外部システムへ連携するサーバーレスサービスです。これにより、スケーラブルなイベント駆動型アプリケーションを簡単に構築で... -
AWS Shield
AWS Shield の特徴 AWS Shield は、AWS上の公開サービスを DDoS 攻撃から守るためのマネージドサービスです。DDoS は、たくさんの通信を一気に送りつけて、Web サイトや API を落としたり、遅くしたりする攻撃です。Shield はこの種の攻撃を検出・緩和し、... -
AWS アカウント管理(AWS Account Management)
AWS アカウント管理 は、組織 AWS アカウント内のすべてのアカウント情報とメタデータを管理するのに役立ちます。組織の各メンバーアカウントの代替連絡先情報を設定、変更、または削除できます。権限を管理するのではなく、アカウント自体の設定を扱いま... -
AWS Security Hub CSPM
AWS Security Hub CSPM の特徴 AWS Security Hub と AWS Security Hub CSPM は、クラウド環境を保護する AWS サービスです。これらのサービスは相互に補完し合い、併用することで AWS 環境のセキュリティ状況に関する貴重な情報を提供します。Security Hub... -
AWS Security Hub
AWS Security Hub の特徴 AWS Security Hub は、簡単に言うと AWS 環境のセキュリティ状態をまとめて見るサービスです。Security Hub は、重要なセキュリティ問題を優先(優先度付け)し、大規模な対応を支援する統合クラウドセキュリティソリューション(... -
【AWS】VPC エンドポイント
VPC エンドポイントの特徴 通常 EC2 インスタンスから S3 へアクセスする場合は、一旦インターネットを経由しなければいけませんが、VPC エンドポイントを利用することによりインターネットゲートウェイを経由せずにプライベート接続ができます。VPC エン... -
AWS Signer
AWS Signer の特徴 AWS Signer は、コードやコンテナイメージに電子署名を付けて、改ざんされていないこと・信頼できる発行元のものだと確認できるようにする AWS のフルマネージドサービスです。ざっくり言うと、「このデプロイ物は本当に社内で承認され... -
Amazon CodeGuru Security
2025年11月20日にサポート終了となります。 DiveDeepSeminar Amazon CodeGuru Security とは Amazon CodeGuru Security とは、機械学習と自動推論を使う静的アプリケーションセキュリティテスト(SAST)ツールです。ソースコードを実行せずに解析して、脆... -
【AWS】EC2 Image Builder
EC2 Image Builder は、Amazon マシンイメージ (AMI) とコンテナイメージのカスタマイズ、テスト、配布、ライフサイクル管理を簡素化するフルマネージド型のサービスです。 ビルド用 EC2 インスタンスが存在する EC2 Image Builder で、イメージをビルドす... -
AWS IAM Access Analyzer
Black Belt AWS IAM Access Analyzer AWS IAM Access Analyzer とは AWS IAM Access Analyzer とは「その権限や共有設定で、誰が何にアクセスできてしまうか」を検出するサービスです。特に強いのは、意図しない外部公開、重要リソースへのアクセス経路、... -
AWS CloudFormation Guard
AWS CloudFormation Guard は、オープンソースの汎用ポリシー・アズ・コード評価ツールです。CludFormation テンプレートをデプロイする前に検証できます。その結果、デプロイ前にポリシー違反を検出し、ブロックすることができます。 AWS CloudFormation ... -
Amazon Detective
Amazon Detective の特徴 Amazon Detective は、検知するサービスよりも調査するサービスと言えます。GuardDuty などが上げた不審な検出結果を起点に、CloudTrail や VPC Flow Logs などのデータを自動で突き合わせて、何が起きたか・どこまで影響したか・... -
【AWS】Amazon Security Lake
Amazon Security Lake とは Amazon Security Lake は、一言でいうと AWS上に「セキュリティログ専用のデータレイク」を自動で作ってくれるフルマネージドサービスです。AWS環境、SaaSプロバイダー、オンプレミス、クラウドソース、サードパーティソースか...
