こんにちは、エウレカ SRE チームの原田です。 今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。 旧来の踏み台サーバ 旧来の踏み台サーバエウレカで長く運用されていた踏み台サーバ (Gateway) は以下のようなものでした。 各開発者は、自分の秘密鍵を使って踏み台サーバへSSHを行う ( 踏み台サーバ上には各開発者の個別ユーザーおよび公開鍵が登録されている )踏み台上では、接続が許可されているSSH対象のサーバの秘密鍵がユーザー毎に配置されており、その鍵で各サーバにSSHするMySQL / Elasticsearch / Redis など、Private Subnet
2022年4月13日にウクライナ軍のネプチューン地対艦ミサイルによる攻撃を受けて翌日4月14日に沈んだロシア海軍の巡洋艦モスクワについて、ウクライナ紙「ウクラインスカ・プラウダ(Українська правда)」が目標を捉えた経緯の「真相」を記事にしています。 ウクラインスカ・プラウダはウクライナ軍関係者に数十回の取材を行い、真相を聞き出し、歴史的なネプチューン実戦発射時の写真を譲り受けて掲載しています。 2022年12月13日:ウクラインスカ・プラウダ「巡洋艦モスクワをどのように撃破したか」宇語:Потопити "Москву": невідомі деталі. Як український "Нептун" знищив флагман російського флоту ※全文版英語:It became known how exactly Russian cruiser Mo
AWSアクセスキーセキュリティ意識向上委員会って何? 昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。 そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。 アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。 AWS CLI、どこから使っていますか? ざっくり、以下4種類のどれかを使っている方が多数派ではないでしょうか。 ローカル端末 AWS内に構築した管理用EC2にSSHを利用して接続 AWS内に構築した管理用EC2にSSM(セッションマネージャ)を利用して接続 AWS CloudShell 一体どう違うのでしょうか。 状況によって良し悪しは異なる
こんにちは、後藤です。今回はAWS構成における踏み台についての記事です。 データベースなどのインターネットに繋げたくないリソースに踏み台リソース経由でアクセスさせることは、セキュリティ設計としてよくある構成だと思います。 今回はその踏み台リソースに「ユーザーログイン有無を検知して自動停止する」ロジックを組み込んだ方法を共有します。 また、一般的によく用いられるのはEC2だと思いますが、今回はECS on Fargate(以降はFargateと略)を使います。しかも自動停止ロジックにLambdaを使いません!!コンテナの中で完結させます。 踏み台を設計する時に気になること そもそも踏み台について設計する際に何が気になるのでしょうか。それはOS管理負担と自動停止です。 踏み台にEC2を用いるとOSパッチ適用などの運用コストが発生します。業務系サーバでないのに心労が重なるのはなるべく避けたいとこ
SREチームの長田です。 KAYAC Advent Calendar 2022の11日目の記事です。 アプリケーションから何かしらの外部サービスを利用するとき、そのサービスを利用するためのAPI Keyなり秘密鍵なりの秘密情報を保持することになります。 暗号化したものをファイルとしてアプリケーションに持たせたり、 Amazon Web Services(AWS)ならAWS Secrets Managerや AWS Systems ManagerのParameter Store(SSM Paramater Store)に保存したものを実行時に読み込んだりするでしょう。 これらの秘密情報、どこから来たのかわかりますか? どこから来た秘密情報なのか 秘密情報を使って出どころを調べられるのであれば問題はないでしょう。 # 例えばAWSのIAM User Credenntialsとか $ AWS_A
AWS System Managerセッションマネージャーはポートフォワードに対応しており、セキュリティグループで特定のポートをあけることなく、プライベートサブネットのWindowsサーバーにRDPするといったことが可能です。 従来は、セッション接続先のEC2インスタンス内で LISTEN しているポートしかフォワードできませんでしたが、今回のアップデートにより、リモートホストのポートも転送できるようになりました。 より具体的には、EC2インスタンスを踏み台に、VPC内のリソース、例えばRDSのホスト・ポートを転送するといったことが可能になりました。 やってみた SSM エージェントバージョンを確認 AWS Systems Managerは操作対象のインスタンスにエージェントをインストールします。 Session Managerを利用したリモートホスト・ポートフォワードの場合、バージョン
through-bastion /tmp/10mb_test_file Running iteration 1... Iteration 1: Latency = 1663 ms Running iteration 2... Iteration 2: Latency = 914 ms Running iteration 3... Iteration 3: Latency = 967 ms Running iteration 4... Iteration 4: Latency = 912 ms Running iteration 5... Iteration 5: Latency = 930 ms Running iteration 6... Iteration 6: Latency = 1015 ms Running iteration 7... Iteration 7: Latency
概要 ECS Exec機能とAWS Systems Manager (SSM) Session Managerを組み合わせることで、ECS Fargateタスクを踏み台としてRDSにポートフォワーディングし、ローカルのDBクライアントから安全に接続できます。この記事では必要な準備から接続手順をまとめます。 前提条件 必要な権限 ecs:DescribeTasks ecs:ListTasks ssm:StartSession ssm:TerminateSession 必要なツール AWS CLI v2 Session Manager plugin jq (JSON整形) # Session Manager plugin (macOS) brew install --cask session-manager-plugin # jq brew install jq ECS側の設定 ECS Exe
背景 AWSのEC2にSSH接続する際、EC2のSSHキー(pemファイル)を使用して接続することが多ですが、SSHキーの管理が面倒だったり、セキュリティ的にもSSHキーを使用するのは避けたい場合があります。 この記事ではOS別、IDE別にSSHキーを使用せずにEC2に接続する方法を紹介します。 前提条件 Session Managerが有効化されているEC2インスタンスがあること OpenSSHがインストールされていること OpenSSHのインストール方法: Windows: Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*' 管理者権限でPowerShellを起動することが必要です。詳細はこちら Mac/Linux: brew install openssh 事前準備 - Remote拡張機能のセットアッ
Here I plan to share my technical knowledge and experience, as well as my interests in the subject. Please note that this tech blog is a space for sharing my personal views and ideas, and it does not represent the opinions of any company or organization I am affiliated with. The main purpose of this blog is to deepen my own technical skills and knowledge, to create an archive where I can record an
まずまとめ できた図がこちら AWS Systems Manager(SSM) を理解しようとする上で厄介なのは、 「インスタンス管理(左部分)」で使う機能群、それぞれに関連性があること だと思っています。 なので以降の説明は、 図の左半分 インスタンス管理 の説明が大半です。 さっそく インスタンス管理で使える機能を上から舐めていきましょう。 #1 なにはともあれマネージドインスタンス なにはともあれ EC2インスタンスを マネージドインスタンス 化するところから始まります。 マネージドインスタンスにするために、ざっくりいうと 3つの作業が必要です。 SSM エージェント をインストールすること 適切なIAMインスタンスプロファイル※ をアタッチしていること SSM関連エンドポイント※ へのアウトバウンド方向の通信ができること ※ 詳細は以下参照 EC2 インスタンスが AWS Syst
はじめに 踏み台サーバー経由で接続する方法 ①セキュリティグループを作成する ②パブリックサブネットに踏み台サーバを作成する ③プライベートサブネットにEC2インスタンスを作成する ④踏み台サーバーにプライベートサブネットに配置されたEC2インスタンスのキーペアをコピーする ⑤踏み台サーバーにアクセスする ⑥踏み台サーバーからプライベートサブネットにあるEC2インスタンスにアクセスする SSMセッションマネージャー経由で接続する方法 VPCエンドポイントを使用した方法 ①セキュリティグループとIAMロールを作成する ②プライベートサブネットにEC2インスタンスを作成する ③VPCエンドポイントを作成する ④SSMセッションマネージャー経由でEC2インスタンスに接続する NATゲートウェイを使用した方法 ①IAMロールを作成する ②プライベートサブネットにEC2インスタンスを作成する ③NA
小西秀和です。 前回は「歴史・年表でみるAWSサービス(Amazon S3編) -単なるストレージではない機能・役割と料金の変遷-」の記事でAmazon S3の歴史や料金の変遷などを紹介しました。 今回は数年の間に名称変更や様々な機能が統合されてきたAWS Systems Manager(SSM)について歴史年表を作成してみました。 ただ、前回とは異なり、今回は料金の変遷や細かいアップデートは省略してSSMの主要な機能だけに着目しています。 また、本記事執筆時点の「現在のAWS Systems Managerの機能一覧と概要」もまとめました。 今回の記事の内容は次のような構成になっています。 AWS Systems Manager歴史年表の作成経緯と方法 AWS Systems Manager歴史年表(2014年10月29日~2021年12月31日までのアップデート) AWS System
はじめに SREチームの中島です。 現在、SREチームでは Terraform コードや開発プロセスだけでなく、普段の業務を広く AI エージェントでサポートさせることに取り組んでいます。 それらの流れの中で、各プロジェクトに適切な権限とガイドラインを与えることで、サーバーやクラウド内部の調査についても SRE が直接対応することなくサーバーエンジニア・クライアントエンジニア問わず、現場で調査できる環境が整いつつあります。 一方で、メトリクスではわからない EC2 インスタンスの内部調査が必要な例が本番・開発・社内ツールなど様々な場面で依然として発生しているのは皆さんご承知のとおりかと思います。 CPU を実際に食っているプロセスの調査、ディスク全体使用量ではなくどのファイルが問題になっているのか、Datadog や CloudWatch に出てこないエラーログファイルの調査、宛先のネット
どうも。小林です。 みなさん、自動化してますか? 私の課では特定の顧客のシステムを多数運用しています。 かなり多くのシステムがあり、顧客側の担当者も異なるため、弊社側でも複数のチームを組んで手分けしてシステムを担当しています。 チームも顧客担当者も異なるとなれば、当然運用のやり方はシステムごとに変わってきます。その一方で統一できる部分は統一しておかないと全体の統制は効きづらくなってしまいます。 そこで「標準化チーム」を発足し、チーム間で共用するシステムのアカウント管理やその申請ルール、顧客報告やメンバーの勤怠管理といったものの標準化を進めています。 標準化の恩恵のひとつとして、「作業が単純化できて自動化しやすくなる」という点が挙げられます。 例えばアカウント発行の申請フォーマットを統一すると、「フォーマットにしたがって記載されたテキストをバッチに読み込ませてアカウントを自動的に発行する」と
設計まとめ 改めて 実現したい環境と、その解決案をまとめます 原則、全インスタンスを 重要パッチを適用させている状態 としたい (ASGインスタンスも含む) → State Manager 関連付けを活用 定期的にパッチが当たるようにしたい → State Manager 関連付けを活用 事前にどのようなパッチが当たるかを判断するために、「スキャンのみ」も実施できるようにしたい → SCAN用関連付け、INSTALL用関連付けを作成。 PatchAssociationTask タグで分類できるようにする 検証環境/本番環境でパッチ適用タイミングをずらいしたい → STG用ベースライン、PRD用ベースラインを作成。 Patch Group タグで分類できるようにする 構築 Patch Manager ベースライン 以下のような CloudFormation テンプレートを作成して、展開しまし
しばたです。 前回の記事で.NET on AWSの開発環境には「EC2でVS Code Remote Developmentを使う」のがベストと言いました。 本記事ではその具体的な手順を解説します。 VS Code Remote概要 Visual Studio Code(VS Code)はそれ自身がサーバーとして動作し、クライアントからリモート上にあるVS Codeを使ったリモート開発が可能です。 VS Code Remote Development VS Codeのリモート接続は大別して以下の三種の方式があります。 Dev Containers : ホストからコンテナ環境へ接続 Remote SSH : クライアントからリモート環境へSSH接続 Remote Tunnels : セキュアトンネルをつかった接続 Dev Containersはコンテナの話なので除外してRemote SSHと
EC2インスタンスの踏み台を用意したくない こんにちは、のんピ(@non____97)です。 皆さんはEC2インスタンスの踏み台を用意したくないと思ったことはありますか? 私はあります。 VPC上のRDS DBインスタンスやRedisクラスター、OpenSearch Service ドメインなどのリソースに接続したい場合、Site-to-Site VPNやClient VPN、Direct Connectがなければ踏み台(Bastion)が必要になります。 踏み台へのアクセス方法は以下のようなものがあります。 直接SSH SSMセッションマネージャー EC2 Instance Connect そして、踏み台となるリソースとして採用される多くがEC2インスタンスだと考えます。EC2インスタンスの場合、OS周りの面倒をみる必要があります。OS内のパッケージのアップデートが面倒であれば「踏み台が
SREチームの長田です。 今回はssmwrapという拙作CLIツールのはなしです。 ssmwrapとは ssmwrapは、AWS Systems Manager Parameter Store(以下SSM Params)から値を取得し、 環境変数またはファイルに出力した上でコマンドを実行するツールです。 secret類をSSM Paramsに保存している場合、アプリケーション実行時にSSM Paramsから必要な値を取得することになります。 AWSのサービスにアクセスするという操作は、それなりに手間がかかるものですが、 ssmwrapを使えば環境変数とファイルというより簡便な入出力インターフェイスを通してSSM Paramsの値を参照できます。 実装が簡潔になるだけでなく、アプリケーションからのAWS APIへの依存を排除することにもなります。 # SSM Paramsにこんな値が保存され
ジョブ管理システムから抜け出したくないですか? こんにちは、のんピ です。 皆さんはジョブ管理システムから抜け出したいと思ったことはありますか? 私は常に思っています。 ジョブ管理システムとは、バッチ処理やOSの起動の一つ一つの処理をジョブとして、制御・運用をするシステムです。 ジョブ管理システムを使うことによって、定型業務を自動化するなどのメリットがあります。 しかし、私が思うに、ジョブ管理システムが便利だからこその辛みもあると思っています。 私が感じるジョブ管理システムの辛いところを以下にまとめます。 ジョブ管理システムで全てのシステムのジョブネットを管理しているがために、ジョブ管理システムのメンテナンスが大変 ジョブ管理システムが停止すると、全てのシステムに影響があるため、高い可用性が求められる ジョブ管理システムによっては、エージェント毎にライセンスの購入が必要になり、大量のクライ
AWS Systems Manager announces support for port forwarding to remote hosts using Session Manager AWS Systems Manager announces support for port forwarding to remote hosts using Session Manager. AWS Systems Manager is the operations hub for your AWS applications and resources, providing a secure end-to-end management solution for hybrid cloud environments. Session Manager, a capability of Systems Ma
AWS SystemsManagerとは? SSM(SystemsManager)でできることはかなり沢山あるみたいです。 オンプレミスのサーバーも管理できるみたいですが、今回はEC2でのみの使用となります。 AWS Systems Manager は、AWS アプリケーションおよびリソースのオペレーションハブであり、ハイブリッドおよびマルチクラウド環境向けのセキュアなエンドツーエンドの管理ソリューションです。これにより、安全でセキュアなオペレーションを大規模に実現できます。(AWS公式から引用) SSM RunCommandとは? 「AWS マネージドコンソールから各種コマンドを実行できる」機能です。 SSH等で対象サーバー内に入ることなく、マネージドコンソール上から各種コマンドが打てるようになります。 RunCommandを実行するための前提条件 SSM RunCommandを実行する
A critical vulnerability in the AWS Systems Manager (SSM) Agent that could allow attackers to execute arbitrary code with elevated privileges. The vulnerability, stemming from improper input validation within the ValidatePluginId function, affects a core component used to manage EC2 instances and on-premises servers across AWS environments worldwide. According to Cymulate’s report, the vulnerabili
Announcing the ability to enable AWS Systems Manager by default across all EC2 instances in an account AWS Systems Manager customers now have the option to enable Systems Manager, and configure permissions for all EC2 instances in an account, with a single action using Default Host Management Configuration (DHMC). This feature provides a method to help ensure core Systems Manager capabilities such
生まれ変わった AWS Security Hub (Preview) を紹介 #reInforce_osaka / reInforce New Security Hub
コンバンハ、千葉(幸)です。 最近、RHEL 7.7 の EC2 インスタンスを触りたい機会がありました。 Systems Manager を使って操作する気まんまんですが、Red Hat 社から標準で提供されている AMI ではエージェントがプリインストールされていません。 「インスタンスを作成してからインストールする」でもいいのですが、せっかくなので前々から触ってみたいと思っていた Packer を使用してエージェントインストール済みの AMI を作ってみることにします。 パカっていきましょう。 Packer とは Terraform などでお馴染みの HashiCorp 社が提供している、マシンイメージの作成・管理を行うコマンドラインツールです。 AWS に限らず様々な環境で使用できます。 今回やりたいことは AMI の作成ですので、そこに限定し、かつ今回の構成にあわせてイメージ図を
【3月18日 AFP】米軍は17日、原油輸送の要衝ホルムズ海峡付近にあるイランのミサイル基地を、米軍が保有する最も強力な爆弾の一つである特殊貫通弾(バンカーバスター)で攻撃したと発表した。 中東とパキスタン以西の中央アジアを担当する米中央軍(CENTCOM)は声明で、「米軍は、ホルムズ海峡付近のイラン沿岸にある硬式の(敵の誘導弾攻撃に対して地下コンクリート構造による強化防御設備を施した)イランのミサイル基地に対し、5000ポンド(約2270キロ)の貫通弾を複数発使用した攻撃に成功した」と説明。 「これらの基地に配備されたイランの対艦巡航ミサイルは、ホルムズ海峡を通航する国際船舶にとって脅威となっていた」と付け加えた。 イランは米国とイスラエルによる攻撃への報復として、世界で海上輸送される原油と液化天然ガス(LNG)の5分の1が通過するホルムズ海峡を事実上封鎖している。 2022年のエアフォ
AWS SSM Session Managerを利用することで、ポートフォワーディングが可能になります。 EC2インスタンスに対してローカルからアクセスしたいポートは多岐にわたります(SSH,FTP,HTTP,rsync,DB...)。 ポートフォワーディングを行うことでセキュリティグループの変更なしに、EC2インスタンスのポートへアクセスが可能となります。 Session Managerについて Session ManagerはAWS Systems Manager(SSM)の機能の一つです。 Session ManagerはEC2インスタンスなどのエージェントがインストールされたマシンとクライアントの間にセッションを作成してくれます。 特徴としてはホスト側がプル式でセッションを作成するため、セキュリティグループによるポートの開放が不要になります。 不必要にポートを解放する必要がなくなり
はじめに 突然ですが、EC2インスタンスにアクセスするとき皆様はどのような方法でアクセスしていますか。 私は今までキーペアを使ってローカルPCからSSH接続をする方法が当たり前だと思っていましたが、AWSマネジメントコンソールから直接アクセスできることを知って驚きました! AWS Systems Managerの機能の1つであるSession Managerを使うと、キーペアを使うSSH接続よりもセキュアな接続を実現できます。具体的には次のようなメリットがあります。 キーペアを使わないので、キーペアを紛失した際の情報漏洩を防ぐことができる インバウンドルールでSSHポート(ポート番号22)を開ける必要がなくなる プライベートサブネットにあるEC2インスタンスにも踏み台サーバーなしでアクセスができる ※これにはNat GatewayもしくはVPCエンドポイントが必要となる(詳細は後述) 本記
こんにちは。AWS事業本部トクヤマシュンです。 以前、SSHトンネルを利用して、DBクライアントツールからPrivateサブネットに構築した踏み台経由でRDSに接続するエントリを投稿しました。 少し前のアップデートで、SSMリモートポートフォワーディングを使ってPrivateサブネットに構築した踏み台経由でRDSに接続することも可能になりました。 今回はこちらを使ってDBクライアントツールからRDSに接続してみます。 何が嬉しいのか? SSHトンネルではなくSSMリモートポートフォワーディングを使って接続する利点で一番大きいのは、踏み台EC2サーバのSSH鍵管理をなくせることだと思います。 認証・認可をIAMですべて完結することができるため、踏み台EC2サーバ作成時に鍵を作成し、管理する必要がなくなります。 構成 Session Managerを使って、クライアントマシンとPrivateサ
【読売新聞】 政府は、通常の攻撃用に加え、敵の偵察、防空妨害用の計3種の弾頭を交換可能な新型巡航ミサイルを開発する方針を固めた。それぞれを時間差で発射することで敵艦船などへの攻撃精度を高め、抑止力を向上させる狙いがある。新年度から試
この記事はAWS Containers Advent Calendar 2021の7日目です。 業務でAWS Fargateを使ってシステムを構築しているんですが、手元から直接DBにアクセスしたい作業などがあるのでポートフォワーディングをなんとかできないかと考えていました。 ECS ExecがマネージドなSSMエージェントで動いているようだったので、なんとなくポートフォワーディングできそうな雰囲気を感じていたのですが、マネージドなSSMエージェントを使う具体的なやり方は不明。 New – Amazon ECS Exec による AWS Fargate, Amazon EC2 上のコンテナへのアクセス | Amazon Web Services ブログ デバッグ用にAmazon ECS Exec を使用 - Amazon ECS − AWS Fargateで動いているコンテナにログインしたく
初めに本記事は自分が業務で経験した内容を忘れない為に備忘録的に記載しています。色々アドバイスをいただけるとありがたいです。 アジェンダ ・SSMとは ・KMSとは ・terraformでの記述方法 ・ECS タスク定義に変数として埋め込むSSMとはインスタンス管理を行う機能群であり、多様な機能があります。セッションマネージャ等々...ほんとに他種多様な機能があります。 ここでssm parameter storeに焦点を合わせて説明します。 parameter store AWS Systems Manager パラメータストア (パラメータストア) は、設定データ管理と機密管理のための安全な階層型ストレージを提供します。パスワード、データベース文字列、Amazon Machine Image (AMI) ID、ライセンスコードなどのデータをパラメータ値として保存することができます。par
Published 2022/05/28 21:21 (JST) Updated 2022/05/28 22:31 (JST) ウクライナのレズニコフ国防相は28日、デンマークから供与された対艦ミサイル「ハープーン」の受領作業が始まったと明らかにした。南部オデッサなど黒海沿岸周辺の防衛に使用するという。ロイター通信が報じた。 黒海沿岸周辺ではロシア軍による海上封鎖が続き、ウクライナからの穀物輸送が滞る原因となっている。レズニコフ氏はウクライナ軍が既に使用している巡航ミサイル「ネプチューン」とハープーンの連携により「黒海は再び安全になるだろう」と述べた。 ハープーンは米ボーイング社製。艦船だけでなく陸上や潜水艦、航空機からの発射も可能。
Announcing ability to enable AWS Systems Manager by default for all EC2 instances in an organization AWS customers now have the option to enable Systems Manager, and configure permissions for all EC2 instances in an organization that has been configured to use AWS Organizations, with a single action using Default Host Management Configuration (DHMC). This feature provides a method to help customer
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 6月13日のAWSアップデートでPublic IPを利用することなく、EC2 Instance Connect を用いてSSH/RDP接続ができるようになったというアップデートがありました。 そこで今回はEC2インスタンス(Linux)へのログイン方法について整理してみたいと思います。 aws.amazon.com サマリー ログイン方法の比較表 ログイン対象のEC2インスタンスがインターネットと通信可能な環境に配置されている場合 ログイン対象のEC2インスタンスがプライベート環境に配置されている場合 EC2インスタンスへのログイン方法 ①踏み台サーバーを利用する方法 ②SSM Session Manager を利用する方法 ログイン対象のEC2インスタンスがインターネットと通信可能な環境に配置されている場合 ログ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く