AWS

AWS Organizationsでアカウント管理してみる

過去、AWSを大きな組織や複数のプロジェクトで利用する場合、AWSのアカウント自体を複数用意して利用していたわけですが、2017年2月に登場した「AWS Organizations」を利用すると、請求先の一元化や、ユーザーの権限管理が一括して行えます。

考え方

これまで

それぞれのアカウントが独立して存在しており、請求情報やユーザー管理もそれぞれ行う必要がありました。

AWS Organizations導入後

図はイメージですが、AWSアカウント内に「組織」を作成することで、独立した世界を用意することができます。

請求情報は「親」で一元管理できます。
また必要があれば各ユーザーに対し制限をまとめてかけることもできます。

「子ユーザー」はルートユーザーと同じ権限が与えられますので、組織内のユーザーから見ても、使い勝手はこれまでと変わりません。また各組織が影響を与えることもありませんので万が一の場合の影響範囲を心配する必要がないのもこれまでと変わらないポイントです。

続きを読む

AWSアカウントの2段階認証を設定する

もうどこからアカウント情報が漏れるかわかりませんからね。昨年GitHubの2段階認証の設定をしたように、今回はAWSのアカウントにも施したいと思います。特にルートアカウント。

認証方法

詳しくはAWSの「多要素認証」のページに書かれていますが、実質的にスマホアプリか専用のデバイスを用いることになります。

仮想 MFA アプリケーション

要はスマホのアプリで認証するタイプ。
Google認証とAuthy2、WindowsPhone用の「認証システム」に対応しているようです。

OSアプリ
AndroidGoogle認証 / Authy2
iOSGoogle認証 / Authy2
WindowsPhone認証システム

U2F セキュリティキー

物理的な認証デバイスとの連携にも対応しているようです。
USBポートに差し込んで指紋を読み取らせるだけで、ワンタイムパスワード的な物が発行されログインできる便利なやつですね。興味のある方はAmazonからも購入できるのでどうぞ。

[正規販売代理店品]YubiKey 4
Yubico
売り上げランキング: 35,432

SMS MFA

新規受付はすでに終了したそうです。また既存ユーザーも2019年1月31日で提供終了とのこと。がーん。本命だったのに(´・ω・`)

続きを読む

AWSからのメール: Your certificate is renewed

Amazon(AWS)から以下のようなメールが届きました。
このブログはCloudFrontを通しつつ、AWSのCertificate Manager(ACM)で無料のSSL証明書を利用しているのですが、どうもSSL証明書が自動的に更新されたっぽい!?

Greetings from Amazon Web Services,

This notification is to notify you that AWS Certificate Manager (ACM) has completed the renewal of an SSL/TLS certificate that certificate includes the primary domain blog.katsubemakito.net and a total of 1 domains.

AWS account ID: xxxxxxxxxxxx
AWS Region name: us-east-1
Certificate identifier: arn:aws:acm:us-east-1:xxxxxxxxxxxx:certificate/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Your new certificate expires on Jan 22, 2020 at 12:00:00 UTC.
If you have questions about this process, please use the Support Center at https://console.aws.amazon.com/support to contact AWS Support. If you don’t have an AWS support plan, post a new thread in the AWS Certificate Manager discussion forum at https://forums.aws.amazon.com/forum.jspa?forumID=206

This notification is intended solely for authorized individuals for blog.katsubemakito.net. To express any concerns about this notification or if it has reached you in error, forward it along with a brief explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services

続きを読む

AWSからのメール: Preparing for Certificate Transparency with AWS Certificate Manager (ACM)

Amazon(AWS)から以下のようなメールが届きました。
結論から言うと最近発行されたSSL証明書を使用していれば特段の作業は発生しないかな。

Starting April 30, 2018, Google Chrome will require all publicly trusted certificates to be logged in at least two Certificate Transparency (CT) logs (https://www.certificate-transparency.org/ ). Any certificate issued after that date, that is not logged, will produce an error message in the Google Chrome browser. In order to comply with this requirement, as of April 24, 2018 all new and renewed AWS Certificate Manager (ACM) certificates will be logged to comply with this requirement, unless you ask us to disable CT logging.

続きを読む

AmazonLinuxにOpenVPNサーバを構築する

スタバなどの無料WiFiにつなげる時は念のため自宅にあるバッファローのルータに最初から付いていたVPNを長らく使っていたのですが、macOSがSierraになったころからPPTPが非対応になってしまいました。別途クライアントを入れればPPTPを使い続けることはできるのですが、最近では暗号化も128bitでは心許なくなってきたこともあり、別の手段に切り替えることに。

今回はOpenVPN を採用することにしました。
いくつか候補はありますが、外出先で特定のポートが塞がれていたり、プロトコルに制限が課されている可能性を考えると、TLS+443番であたかもHTTPSをしているかのように見せかけることができるのが大きかったです。接続先はバレちゃいますが通信内容自体は秘匿されるので大抵の環境で弾かれることがありません。
続きを読む

AmazonLinuxにForward ProxyをApacheで構築する

これまでSquidで運用していたフォワードプロキシをサーバ移転に伴いApacheに置き換えました。Squidの方が柔軟性は高い印象ですが、それほどクリティカルな内容ではなかったので今回は設定の容易さを優先しました。

続きを読む

AWS S3のリージョン毎のストレージ価格比較

AWSのドキュメントだとリージョン毎にS3の料金比較ができないので、一覧表をサクッと作りました。

いずれも最初の50TB/月、1Gbyteあたりの料金。黄色のセルが最安値になります。
この他にも転送料やリクエスト毎に料金がかかります。また現時点(2018/02/09)での料金です、たまに見直しがかかりますので業務などで参考にする場合は必ず最新の物を確認してくださいませ。

続きを読む

AWS CLIの初期設定

AWSをコマンドラインから操作できるCLIツールの初期設定を行います。今回はS3のバケット一覧を表示することをゴールにしています。

ここではLightsailで試していますが、EC2や他のクラウド(サーバ)環境でも同じように設定できます。LightsailはAWSのコンソールとは見た目は分離されていますが、要所要所で連携できるので必要な機能だけ本家から持ってくるといったことが可能で助かりますね。

続きを読む

monacoindサーバをLightsail上でビルドする

monacoindをAWSのVPSサービスLightsail上で動作させます。今回はGitHub上にあるMonacoinの公式リポジトリからソースコードを入手してコンパイルを行うのですが、最近はyumで簡単に入ることを知ったのは全てが終わった後でした…(;´∀`)

時々Ubuntuがどうこう書いてあるのは普段CentOSを使用しているため、自分用のメモになります。

続きを読む