AWSの情報をまとめる
あまり日常的に触らないサービスの1つである。
何度もこの違いについて過去に調べてはいたが、使わないものは忘れてしまう。
メモがてら残す。
https://aws.amazon.com/jp/inspector/
また、脆弱性チェック対象のインスタンスは、エージェントをインストールする必要がある。
https://aws.amazon.com/jp/premiumsupport/technology/trusted-advisor/
の5つの項目について、チェックすることが出来るツール。
それぞれ1行でまとめると
AWS Inspector は脆弱性検知することが必要でエージェントが必須
AWS Trusted Advisor は AWS のベストプラクティスに沿って作られているかスキャン、レポーティングしてくれる機能
と考えておけば良さそうだ
{
"Id": "xxxxx",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "xxxxx",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::hoge-hoge",
"Principal": "*"
}
]
}
この設定をしていて アクションはステートメント内のどのリソースにも適用されません とエラーが出る
原因は、バケットのみ Resource として指定しているためであり、この問題を解消するには
"Resource": "arn:aws:s3:::hoge-hoge/*",
のようにバケット内のどのオブジェクトにアクセスを許可するかを必ず指定する必要がある。
AWS 管理のCMK は我々ユーザーで管理することはできないが、 3年ごとに自動でローテーションされる
AWS 管理の CMK AWS 管理の CMK のキーローテーションを管理することはできません。AWS KMS は AWS 管理の CMK を 3 年ごと (1095 日) に自動的にローテーションします。
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html
なお、我々ユーザーが管理する CMK は 365 日に設定されている
キーの自動ローテーションを有効にすると、AWS KMS は有効にした日から CMK を 365 日ローテーションし、その後は 365 日ごとにローテーションします。
https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html
監査などを目的とし、どのリソースをどれだけ使われているか確認したいことがあるが、
それを確認するには AWS config が便利なので紹介。
とはいえ AWS config からリソースを選択するだけ。
s3 は通常、静的ウエブサイトをホストすることができるが、JavaScript 経由で バケットに対する GET/POST を行う際は注意が必要である。
S3 に hoge.com という名前でホストしたとする。
このバケットに保存されている JavaScript によって、S3 のエンドポイントである hoge.s3.ap-northeast-1.amazonaws.com に GET/POST を行おうとすると、
ブラウザは通常、別ドメインに対する接続しようとする JavaScript をブロックする。
CORS を使用すると、hoge.com からのクロスオリジンリクエストを許可できるようにバケットを設定することができる。
https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html
カスタムIAM ポリシーを設定することで、MFA を有効化することができる。
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
ポイントは、
Conditiol 文を使用すると、ユーザーが MFA 認証されている場合にのみリソースを操作できるようになる。
aws:MultiFactorAuthPresent 句を true としてマークする必要がある。
参考情報
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html
sam local で自動で見に行く環境変数
sam (で立ち上がる docker)はデフォルトでそのディレクトリを見に行く作りになっている。
-v, --docker-volume-basedir TEXT
Specifies the location basedir where the SAM
file exists. If the Docker is running on a
remote machine, you must mount the path
where the SAM file exists on the docker
machine and modify this value to match the
remote machine.
ただし、公式資料らしき記載は help とこのパワポのみなので、もう少しドキュメントを充実してほしいところ。
バケットに接続できる IP を絞りたいことがある。バケットポリシーを記載することで制御可能なので方法を紹介。
ブロックパブリックアクセスはすべてオフにする
バケットポリシーの設定は以下の通り
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::tsukada-hoge-js",
"arn:aws:s3:::tsukada-hoge-js/*"
],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"1.1.1.111/32",
"2.2.2.222/32"
]
}
}
}
]
}ポイントとして、
Resource にバケット自体を宣言するのとは別にバケット配下を /* でワイルドカードで指定する必要があるという点だ。
EBS はストライピングすることができ、最大で 60,000 MB/s を出すことができる。
ただし、パフォーマンスはボリュームサイズによって比例するとのこと。
SSD のボリュームに対してバースト機能は存在しない
https://aws.amazon.com/jp/ebs/faqs/
EFS のファイルシステムは
の 2 つある。それぞれの特徴をまとめる。
EFS のスループットは、ストレージクラスのファイルシステムのサイズが大きくなるにつれて上昇する。
100G使っているファイルシステムの場合、
バーストスループットでは 1日あたり 72分間のみ 300M/s の読み込みをできる。
(通常モードは 15M/s)
保存されたデータ量とは別に、
ファイルシステムのスループット (MiB/秒) を簡単にプロビジョンされる。
1日1回動くバッチ処理などのような、瞬間的に使うような使われ方をする場合は、バーストスループットを選ぶとメリットを享受できそうだ。
https://docs.aws.amazon.com/ja_jp/efs/latest/ug/performance.html
https://docs.aws.amazon.com/ja_jp/efs/latest/ug/storage-classes.html