AWS関連のことを調べてみた2022年03月11日

API Gatewayのカスタムドメイン設定で躓いたお話

# はじめに
みなさま，はじめまして．
[株式会社オプティマインド](http://www.optimind.tech)にて，GISエンジニアをしている@tkmbnです．
Qiitaへの2回目の投稿です．

# 概要
SAMを用いてデプロイしたアプリケーションの，AWS API Gatewayカスタムドメインにおけるマッピングの設定方法についてまとめました．

# なぜ書いたか
「開発環境でデプロイもできたし，次は本番や！」と思っていた矢先，CloudFormation上でエラー．．．
どうやら，マッピングの設定でエラーを吐いていた模様．．．
公式ドキュメントなどをさらってみましたが，解決方法が見つからず，試行錯誤でトライしていた際に無事原因がわかったので，備忘録として書き記します．

# 本題
## 現状の環境
– SAM テンプレートの内容
– API Gateway
– カスタムドメインは，別途設定済み
– エンドポイントタイプ：エッジ最適化
– 最小TLS：1.0
– 適用しよう

Fargate タスクのエフェメラルストレージの最大サイズを変更する

# はじめに
本記事では、AWS CLI を使用して、Fargate タスクのエフェメラルストレージの最大サイズをデフォルトの20GBから変更する方法を記載しています。
（2022/03/11 時点では、管理コンソールによる変更はサポートされていない。）

[AWS Fargate 上の Amazon ECS でタスクのエフェメラルストレージのサイズが設定可能に](https://aws.amazon.com/jp/about-aws/whats-new/2021/04/amazon-ecs-aws-fargate-configure-size-ephemeral-storage-tasks/)
>AWS Copilot CLI、CloudFormation、AWS SDK、および AWS CLI を使用して、AWS Fargate が利用可能なすべてのリージョンで AWS Fargate プラットフォームバージョン 1.4.0 以降で実行される Amazon ECS タスクのエフェメラルストレージのサイズを設定できます。

# 変更手順

動作確認済みのAWS CLIのバージョン
`

AWS DevOps – AWS Controllers for Kubernetesを使って各種AWSサービスをマニフェストファイルで管理しよう

# はじめに

みなさん、こんにちは。今回はさまざまなAWSサービスをKubernetesから管理できるようにするAWS Controllers for Kubernetesのお話です。

みなさんはAmazon EKSを活用してKubernetesクラスタをAWS上で動かすとなった際に、他のマネージドサービスの利用はどうされていますか。もちろんすべてKubernetes上で動かしてシステムを完結させるという選択肢もあるかと思いますが、やはり多くの方が他のAWSのマネージドサービスの併用も検討されるのではないでしょうか。その一方で、これら併用環境のコード化 (IaC、Infrastructure as Code) を実現しようとすると、Kubernetesアプリケーションの管理はHelm、AWSリソースの管理はTerraform、などという別々のツールでの管理になってしまいがちです。

そんな悩みを解決する1つの手段がAWS Load Balancer ControllerやAWS Controllers for KubernetesといったKubernetesクラスタ機能を拡張する各

CloudFormation Hookを試してみる

[CloudFormation Hook](https://aws.amazon.com/jp/about-aws/whats-new/2022/02/aws-announces-general-availability-aws-cloudformation-hooks/)が利用可能になったので、試してみる。

## やりたいこと

**IaCに予防的統制を組み込み**たい。
これまで、例えばS3で暗号化を強制したい場合、以下のような手段はあった。

– SCPでS3暗号化設定の変更を禁止する。
– Config RulesでS3暗号化が設定されていないバケットを検知する。
– CFn GuardでS3暗号化設定が入っているかどうかを事前にチェックする。

いずれも有益な統制ではあるが、より直截的に「S3暗号化設定が入ってなければスタックの作成を禁止」したい場合、これらの方法では難しかった。
フックならそれが実現できそうだ。

## 準備
CFnテンプレートを二つ用意する。

一つ目は何も設定されていないテンプレート。
“`yaml:hook-test-ng.yml
AWSTempl

AWS S3 で静的サイトを公開する(SSL化まで)

使うサービス
* S3
* AWS　Certificate Manager（以下ACM)
* CloudFront
* Route53
* ドメインレジストラ（ドメイン管理会社のこと。今回はお名前.com）

静的なサイトならこれらだけでSSL化まで出来る

## 独自ドメインを取得し，Route53に設定
今回は私がお名前ドットコムで取得した”suamagaumai.com”というドメインを使う
手順通りで大丈夫なのでここの説明は省略

Route53に新規でホストゾーンを作成し，
NSレコードをお名前.comのネームサーバーに登録してあげる

↓
![スクリーンショット 2022-03-10 18.44.12.png](https://qiita-image-store.s3.ap-northe

よく忘れるcurlで任意のポートを叩くオプション

“`
curl -v telnet://example.com:3268
“`
ちょうべんり

AWS SAA合格体験記

北海道をこよなく愛するピーターです。
先日AWS SAAに合格しましたので体験記です。

# 僕のスペック
・文系
・プログラミングを初めて半年
・前職は営業

# 学習期間
いきなりですが、個人的に一番の反省ポイントです。というのも1週間ほど勉強したら2ヶ月放置して内容を忘れる、また勉強して放置して忘れることを繰り返してしまったからです。
いつでも受験できる学生時代は終わったので、受験するところまで計画をたてるべきでした。帰るまでが遠足です。

__*勉強したら忘れる前に受験しよう。時間がないはずはない。*__

そういうわけなので期間としては11月~3月ですが、実質の勉強時間は3週間ほどだと思われます。自分でもわかりません。

# 学習方法
Udemyとオレンジ本を使って学習しました。
[【2022年版】AWS 認定ソリューションアーキテクト アソシエイト模擬試験問題集（6回分390問）](https://www.udemy.com/share/101OzF3@fyQSGROkoF3KdSJQUGRjnvbNxtalWU9PV_5u-d-AnFUBd82tSwM_QyPZdWeqt

Laravel AmazonSNSでSMS送信

こちらの記事を参考にしています。AWSの設定は省きます。
https://codeeee.net/posts/laravel-amazon-sns-send-sms

AWSのパッケージをcomposerでインストール。
“`
COMPOSER_MEMORY_LIMIT=-1 composer require aws/aws-sdk-php-laravel
“`

プロバイダ追加
“`php:config/app.php
‘providers’ => [
//…
Aws\Laravel\AwsServiceProvider::class,
],
“`

コマンドで設定ファイルを作成
“`
php artisan vendor:publish –provider=”Aws\Laravel\AwsServiceProvider”
“`

以下にファイル設定が作成される
“`php:config/aws.php
‘credentials’ => [
‘key’ => env(‘AWS_ACCESS_KEY_ID’, ”),

terraform を upgradeしてtflintをいれる

DMMの[yuua](https://qiita.com/yuua0216)です
terraformのupgradeとtflintの導入を行ったのでその際の手順的な備忘録です。

# upgrade
使用していたterraformのversionが `0.14` 系だったのでそこから `1.1.x` までupgradeしました。
0.13以前のversionの場合は0.1系ずつあげていく必要がありますが、0.14以降であれば一部versionをskipしての
upgradeも可能なようです。ただ0.14系から1.0.x系に上げる場合は0.15系への[upgrade guid](https://www.terraform.io/language/upgrade-guides/0-15)を確認してからupgradeしましょう。

私のチームでのterraform環境は `circle ci` 上で terraform を実行しています。
そのため各versionの `docker image` を作成し、ECR上で管理します。

baseとなるdocker imageは [hashicor

AWS EC2 インスタンスの起動、開始、停止、休止、終了の違い

AWS(Amazon Web Services) の Amazon EC2 (Elastic Compute Cloud) における**インスタンスの操作**の表記が「**起動、開始、再起動、停止、休止、終了**」、また**インスタンスの状態**の表記が「**実行中、保留中、シャットダウン中、停止中、停止済み、終了済み**」と日本語では大変分かりづらくなっているので、その違いについて整理する。

### インスタンスの操作
Amazon EC2 のインスタンスの操作は、以下の7つの表記が存在する。

|日本語表記|英語表記|
|—|—|
|インスタンスを起動|Launch instaces|
|テンプレートからインスタンスを起動|Launch instance from template|
|インスタンスを開始|Start instance|
|インスタンスを再起動|Reboot instance|
|インスタンスを停止|Stop instance|
|インスタンスを休止|Hibernate instance|
|インスタンスを終了|Terminate instance|

<

AWSのマネージドサービスをZABBIXで監視する

# 背景
AWS内の監視について、EC2の監視についてはZABBIXサーバを使用している。
マネージドサービス（下記の例だとFSX）の監視についてはCloudWatchを使用している。
メール通知の内容を見やすくするためEventBridgeを挟んでいる。（入力トランスフォーマーを使用）


しかし、これだとマネージドサービスの状態やグラフ確認の際、CloudWatchの画面を参照する必要がある。
下記の様にZABBIXからCloudWatchのAPIをたたいて情報取得すれば、ZABBIXコンソールから一元管理可能となる。

![AWSZABBIX2.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2523652/ff4a156d-5f27-0e86-d

ふらっとAWS Cognitoを使って認証画面を作った話

## はじめに

そういえば・・・と、AWS Cognitoをあまり使ったことが無かったなぁと思ったので、AWS Cognitoを使って認証画面を作ってみることにしました。

AWS Amplifyを使えば楽に作ることができますが、今回はスクラッチで作ろうと思います。
スクラッチで作る理由は以下2つ。

– 1人で作るならAWS Amplifyで良いのですが、フロントエンド、バックエンドで分業するとAWS Cognito単体を使うことになりそう。
– スクラッチで作ると、どうやって認証の仕組みを作れば良いか個人的な学びになりそう。

というわけで、作成してきます。

## AWS 構成図

AWSの構成図を書くと認証の仕組みは、大体このようなイメージ。

Lambda@Edgeを使って、Cookieに保存してあるidT

T3のCPUクレジットの料金確認方法

請求ダッシュボード->請求書に出てた。Elastic Compute Cloudのツリーを展開する。


1vCPUあたり1時間クレジット消費で5円くらいかかるみたいだけど、僕の環境では(CPUクレジット無制限のT3インスタンス複数あるけど)料金は発生していないようだった

ちなみに真ん中の“`0.001 vCPU-Hours“`が実際のクレジット稼働時間のよう。別の月の請求書見ると、そちらは0.002になってた。これが1に達すると課金が発生するということか。

【AWS】GuardDutyイベント通知の構成をCDKで実装する

# はじめに
こんにちは。
AWSアカウントでGuardDutyを有効化した際、イベント発生時にメールなどで通知させる構成を構築することが最近多かったのですが、設定する内容はそれぞれのAWSアカウントで変わるものでもないので、CDKでコード化してしまえたら今後楽になるのではないかな？と思いました。

ということで今回はAWSアカウント上でGuardDutyを有効にし、GuardDutyで発生したイベントをEventBridge経由でSNSにメッセージを送り、Eメール通知させる構成をCDKで実装していこうと思います。

## GuardDutyとは
以下公式ドキュメントから引用します。

https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/what-is-guardduty.html

> Amazon GuardDuty は継続的なセキュリティモニタリングサービスで、以下を分析して処理します。データソース: VPC フローログ、AWS CloudTrail管理イベントログ、CloudTrail S3 データイベントログ、DNS ロ

AWS セキュリティサービスの考察

# AWSセキュリティサービス

ネットワークセキュリティ	AWS Network Firewall
DDos保護	AWS Shield (Advanced)
悪意のあるウェブトラフィックをフィルタリング	AWS Web Application Firewall (WAF)
アクセス元/先およびポートの設定	VPC　Security　Groups
DNS保護	Route 53 Resolver DNS Firewall
※上記ルールの一元管理	AWS Firewall Manager

# AWS Network FireWallとは
– AWS Network Firewall は、すべての Amazon Virtual Private Clou

2021年度 新卒エンジニアが2か月でAWS-SAAを取得できた。

2022年3月5日にAWS認定ソリューションアーキテクトアソシエイトに合格できたことから、経験の浅い人でも合格できる、その理由を解説したいと思います。初投稿！！

# 1.資格取得の理由
　はじめに、私がなぜAWS-SAAを取得しようと考えたのか。
　1番は実務に活かしたいから。ただそれだけではやる気出ない方が多いと思います（私もそうでした）:relaxed::relaxed:
あと2つほどやる気がでるかなあと思ったのが以下2つ

## 2.やる気だすために知っておきたいこと！！！
### 2-1.世界シェアの高さ
上記画像を見てわかるように、amazonのAWSは世界シェアトップ(30~35%)を占めています。
　また、amazonはAWSへの投資額を毎年増やしています。規模の経済というものがあるように

Lightsail の WordPress で E メール を有効にする

# 環境
* AWS LightSail
* 512 MB RAM、1 vCPU、20 GB のSSD
* WordPress
* 独自ドメイン（お名前ドットコム）

# 経緯
SESのUIが新しくなったのか分からないが、公式の手順も他の手順も無いため、備忘として残す。

# Identityの作成
>Amazon SES では、ドメインを検証して、それを所有していることを確認し、他のユーザーに使用されないようにする必要があります。
1. アイデンティティの作成
Verified identities＞Create Identity
1. 以下を選択
Identity type：domain
domain：（Lightsail上で利用している独自ドメイン）
Identity type：Easy DKIM
Publish DNS rec

AWS CLIのバージョンアップ試してみた

# はじめに
以前からなんとなく気になっていたので、AWS CLIを`v1` → `v2`へバージョンアップしてみた！

AWS CloudFormationで、EC2とEIPをセットしたAWS CLIのバージョンアップを試すだけの贅沢なスタックを作成し、スタックの作成・削除だけで簡単にグローバルIPを紐づけたEC2の立ち上げを行う。

AWS CLIだが、ver1とver2では同じ`aws`コマンドが使用されるので共存はできるみたいなのだが、あまり推奨はされていないらしいので、今回はver1とはおさらばしてみる。

– 実行環境：Amazon Linux2

# インストール手順
アップロードしたいEC2にSSH接続し、以下の手順で行なっていく。
“`shell:EC2
##################################
■ 現状確認とv1の削除
#################################
$ aws –version
=> aws-cli/1.18.147 Python/2.7.18 Linux/4.14.243-185.433.a

Dataマニアの完全保存版 リンク集

2020年-後半2021年初めにデータ系のプロジェクトにドハマりしてたときのものです。

クオンツアナリストやエンジニアになりたいわけでもないのですが、
Machine LearningやBig dataのAWSトレーニングもがっつり受けました。

~~AWSトレーニングまとめはこちら（3月末頃更新予定）~~
　
# AWS関連資料
###### 各種ドキュメント一覧
[Big data　ホワイトペーパー](https://aws.amazon.com/whitepapers/?whitepapers-main.sort-by=item.additionalFields.sortDate&whitepapers-main.sort-order=desc&awsf.whitepapers-tech-category=tech-category%23analytics&awsf.whitepapers-content-type=content-type%23whitepaper&awsf.whitepapers-global-methodology=*all&awsf.whitepaper

AWS PrivateLinkで別AWSアカウントのサービスへアクセスする

# 概要
– AWS PrivateLinkとは
– https://qiita.com/alingogo/items/aa964b5ba6f8320b5cbe
– インタネット経由しなくて、別のAWSアカウントのサービスへアクセスする種類
– S3
– Private API Gateway
– Gateway Load Balance

# 内容
### S3
– [VPCエンドポイント経由して別AWSアカウントのS3バケットにアクセスしてみた](https://dev.classmethod.jp/articles/s3-cross-account-access-iamrole/)

### Private API Gateway
– [インターフェース VPC のエンドポイントを使って、別の AWS アカウントにある API Gateway のプライベート REST API にアクセスするにはどうすればいいですか。](https://aws.amazon.com/jp/premiumsupport/knowledge-center/api-ga