kms:DescribeKeyの日本語翻訳がとても難儀
下記AWS公式ドキュメントの最下段のKMSのAction、kms:DescribeKey について、KMSを使うなら必要なActionという位置づけはなんとなく伝わってくる。しかし、AWS公式の日本語翻訳が「記述する」と […]
ACMのアスタリスク証明証のスコープと独自ドメインレベル
SSLにしたい以下の独自ドメイン sample.com admin.sample.com dev01.sample.com dev02.sample.com admin.dev01.sample.com admin.de […]
AWS開発もアウトバウンドのエンドポイントセキュリティを徹底するべき
AWS開発でプライベートサブネット配下にウェブサーバーやDBなどを配置して、ELBをパブリックサブネットに配置することは定番だと思います。そして、ClientVPN、サイト間VPN、Direct Connectなどによる […]
AWSのIAMセキュリティ運用設計の実践的な基本ルール
エンタープライズ案件におけるAWSのIAMセキュリティ運用設計のざっくり基本ルールです。ご参考ください。主にCIS AWS Foundations Benchmark コントロールの延長線上でAWSをセキュアにより便利に […]
AWSルートユーザーMFAデバイス紛失からMFA解除まで
AWSルートユーザーのMFAデバイスだったiphone6を処分して、iphone6で使っていたSIMカードは別のandroidスマホに引き継いでいました。残念ながらiphone6のMFA設定は引き継がず、新しいMFAをi […]
暗号化されたS3バケットへのアクセスログを暗号化されたS3バケットに保存
暗号化されたS3バケットのサーバーアクセスログの設定 サーバーアクセスログを吐き出す側の暗号化されたS3バケット サーバーアクセスログを保存するS3バケット 上記2つの設定を比べます。暗号化方式の違いに注意してください。 […]
バージニア北部リージョンのCloudWacthLogsをKMSで暗号化出来ない
CloudFrontでSSLを使う場合、バージニア北部リージョンでACM発行となる。そのおかげで、Route53クエリログがバージニア北部にも出来るが、暗号化されていない。既存ロググループの暗号化AWS CLIコマンドを […]
S3暗号化とCloudFrontとACM(SSL)の静的ウェブホスティングの注意点
CloudFront、ACM(SSL)、S3でSSLによる静的ウェブホスティングでブラウザにうまく表示されない場合の気をつけるべきポイントです。 CloudFrontとACMでSSLによる静的ウェブホスティングを行うS3 […]
Route53向けネームサーバー未設定時点のACM「Eメールの検証」は要注意
別の環境からAWSへexample.comのウェブシステムをマイグレーションする準備段階で、AWS内に引越ながら構築している途中です。 独自ドメインexample.comのレジストラのネームサーバーをRoute53に向け […]
NatゲートウェイからNatインスタンスに変えた
EC2のNATインスタンスAMI選び方 Amazon Linux AMI 2018.03 Release Notes で希望するリージョンで amzn-ami-vpc-natに該当するAMIを検索して、一番新しい年月日の […]