1 Minute Tips

カテゴリー: tech

  • gpgv, gpgv2 or gpgv1 required for verification, but neither seems installed

    Mac の docker の version が低い可能性がある。

    version up することで問題は解消された。

    update 方法は以下のブログにあるファイルをダウンロードし、展開するだけ

    https://docs.docker.com/desktop/mac/release-notes/

  • Fatal error: Allowed memory size of 1610612736 bytes exhausted

    現在の PHP の memory_limit を確認

    php -r "echo ini_get('memory_limit').PHP_EOL;"

128M

    php.ini を確認する

    環境によっては複数の php の version が入っていることもある。

    % sudo find / -name php.ini 
/usr/local/etc/php/7.2/php.ini
/usr/local/etc/php/7.3/php.ini
/usr/local/etc/php/7.4/php.ini
/usr/local/etc/php/8.0/php.ini

    php の version を確認し、あたりをつける。

    % php -v
PHP 7.3.11 (cli) (built: Jun  5 2020 23:50:40) ( NTS )
Copyright (c) 1997-2018 The PHP Group
Zend Engine v3.3.11, Copyright (c) 1998-2018 Zend Technologies

    php 7.3 のようなので、設定ファイルは

    /usr/local/etc/php/7.3/php.ini ではないかと推測

    設定を確認すると、128M ということを確認できた。

    上限を取り除くには

    memory_limit = -1

    に変更する。

    composer の場合

    COMPOSER_MEMORY_LIMIT=-1

    を先頭に追加してコマンドを実行することで回避できる

    COMPOSER_MEMORY_LIMIT=-1 laravel new sample-project

  • kms:ViaService の考え方について

    kms:ViaService を利用して、CMK を呼び出していない時」というポリシーの書き方をすることができる

                    "Null": {
                    "kms:ViaService": "true"
                },

    この部分は Classmethod さんのブログが非常にわかりやすい

    https://dev.classmethod.jp/articles/ebs-kms-sourceip/

    kms:ViaServiceは、CMKの使用を指定のAWSサービスからのリクエストに制限する条件キーであり、

    Nullは、条件キーの存在を確認する条件演算子を指す。

    Nullで {"kms:ViaService": "true"}と指定すると、「kms:ViaServiceが存在しない(≒CMKを呼び出していない)」という条件になる。

    これを接続元IPアドレスを制限する条件に追加することで、「CMKを呼び出していない かつ 接続元IPを制限する」という条件になる。

  • NoCode ツール upflowyを試してみた

    NoCode ツール upflowyを試してみた

    直感的に Webページを作る NoCodeツールです。

    https://www.upflowy.com/

    Product Huntで、2021年9月9日週のランキングで1位を獲得しています。

    日本語で詳しい説明はtakuya hayashiさんがされているので、詳細はそちらをご覧ください。

    https://note.com/woods0918/n/n7d6364519146

    さまざまな NoCode ツールは発表されていますが、upflowy はどのような特徴をもっているのか実際に触って調べてみましたので完結にまとめました。

    ユーザー登録

    https://app.upflowy.com/

    これ自体は他のWebサービス同様、ポチポチと済ませます。

    使い方

    navi が教えてくれます。現在は日本語対応していません。

    いくつかのテンプレートは用意されていて、自由に選ぶことができます。

    使ってみた

    無料アカウントではDB 接続ができません。

    そのため、ログイン画面で入力されたID/PW を IF 文でただの文字列として判断し、照合できたらログイン後のページを出すためだけの画面をつくりました。もちろん、ログイントークンとかもなにもないただの判定するだけのページです。

    サンプルで作ったフローは以下の通りです。

    判定ロジックはこんな感じにしました。ただの判定です。

    できたページが以下の通り

    サンプルページを公開します。ご自由にいじってみてください。

    https://my.upflowy.com/sqr-tsukada-test

    ID/PW は以下の通り

    test@sumito.jp
password

    所感

    現在は最低限の機能のみに絞られていて、上記ページの作成だけであれば学習時間込みでも 30分で作れました。

    実際の運用を考える

    アウトバウンドIP 固定化できない

    これについてはどこにも記載がないので、直接聞いてみた。

    どうやら現時点では upflowy からのアウトバウンドIP を限定することができず、API 側で IP 制限がかかっている場合ひっかかってしまいそうです。

    ログインページを作ることできる?

    パスワード入力画面は、パスワードがそのまま画面に表示されるのではなく、せめてアスタリスクなどでマスキングされた状態で画面に表示して欲しい。

    いじってみたところそれができなそうだったので、直接聞いてみました。

    こちらは現在開発中の機能で、現在使えないようです。

    使ってみて思ったこと

    アンケート画面を作ったり、Mock を作ったりという利用では十分使えるのではないかと思いました。

    しかし、Webページを作るにはまだまだ機能が不十分という印象を感じです。

    アップデートの予定はある様なので、今後に期待したいと思います。

  • AWS Inspector と AWS Trusted Advisor について

    あまり日常的に触らないサービスの1つである。

    何度もこの違いについて過去に調べてはいたが、使わないものは忘れてしまう。

    メモがてら残す。

    AWS Inspector とは

    https://aws.amazon.com/jp/inspector/

    EC2 インスタンス上の脆弱性をチェック ができると考えて良さそうだ。

    また、脆弱性チェック対象のインスタンスは、エージェントをインストールする必要がある。

    AWS Trusted Advisor とは

    https://aws.amazon.com/jp/premiumsupport/technology/trusted-advisor/

    こちらはエージェントのインストール不要。

    インスタンスをスキャンし、AWS のベストプラクティスを元に、
    • コストの最適化
    • セキュリティ
    • 耐障害性
    • パフォーマンス
    • サービスの制限

    の5つの項目について、チェックすることが出来るツール。

    まとめ

    それぞれ1行でまとめると

    AWS Inspector は脆弱性検知することが必要でエージェントが必須

    AWS Trusted Advisor は AWS のベストプラクティスに沿って作られているかスキャン、レポーティングしてくれる機能

    と考えておけば良さそうだ

  • S3バケットアクションはどのリソースにも適用されません

    {
  "Id": "xxxxx",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "xxxxx",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::hoge-hoge",
      "Principal": "*"
    }
  ]
}

    この設定をしていて アクションはステートメント内のどのリソースにも適用されません とエラーが出る

    原因は、バケットのみ Resource として指定しているためであり、この問題を解消するには

          "Resource": "arn:aws:s3:::hoge-hoge/*",

    のようにバケット内のどのオブジェクトにアクセスを許可するかを必ず指定する必要がある。

  • CMK キーの自動キーローテーション間隔について

    AWS 管理のCMK は我々ユーザーで管理することはできないが、 3年ごとに自動でローテーションされる

    AWS 管理の CMK AWS 管理の CMK のキーローテーションを管理することはできません。AWS KMS は AWS 管理の CMK を 3 年ごと (1095 日) に自動的にローテーションします。

    https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html

    なお、我々ユーザーが管理する CMK は 365 日に設定されている

    キーの自動ローテーションを有効にすると、AWS KMS は有効にした日から CMK を 365 日ローテーションし、その後は 365 日ごとにローテーションします。

    https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html

  • 利用しているAWS リソースを確認する

    監査などを目的とし、どのリソースをどれだけ使われているか確認したいことがあるが、

    それを確認するには AWS config が便利なので紹介。

    とはいえ AWS config からリソースを選択するだけ。

    使っていないと思っていたものが、実は使っていたといったケースもこれで確認できる。

  • S3 の CORS について

    s3 は通常、静的ウエブサイトをホストすることができるが、JavaScript 経由で バケットに対する GET/POST を行う際は注意が必要である。

    よくある事例

    S3 に hoge.com という名前でホストしたとする。

    このバケットに保存されている JavaScript によって、S3 のエンドポイントである hoge.s3.ap-northeast-1.amazonaws.com に GET/POST を行おうとすると、

    ブラウザは通常、別ドメインに対する接続しようとする JavaScript をブロックする。

    CORS を使用すると、hoge.com からのクロスオリジンリクエストを許可できるようにバケットを設定することができる。

    参考情報

    https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html

  • AWS コンソールログイン時の他要素認証

    カスタムIAM ポリシーを設定することで、MFA を有効化することができる。

        "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}

    ポイントは、

    Conditiol 文を使用すると、ユーザーが MFA 認証されている場合にのみリソースを操作できるようになる。

    aws:MultiFactorAuthPresent 句を true としてマークする必要がある。

    参考情報

    https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html