やりたいこと awscliを利用してSecurityHubで検知されている「CRITICAL」や「HIGH」の脆弱性を一覧化したい。 環境情報 $ aws --version aws-cli/2.15.23 Python/3.11.6 ... やり方 以下のようにSeverityLabelでフィルターをつけることで該当の脆弱性情報がJ…

やりたいこと awscliを利用してECSのタスクが起動するサブネットを指定したサブネットのみにしたい。 環境情報 $ aws --version aws-cli/2.15.23 Python/3.11.6 ... やり方 以下のようにサービスを指定し、subnetsに起動させたいサブネットのみを記載する。 …

事象 Amazon Linuxにてyum updateを行うと以下のように403のエラーとなる。 # yum update Amazon Linux 2023 repository 1.2 kB/s | 275 B 00:00 Errors during downloading metadata for repository 'amazonlinux': - Status code: 403 for https://al2023-…

やりたいこと AWSのCloudWatchLogsのロググループを指定し、S3にログ情報を退避する。 環境情報 aws-cli/2.15.5 やり方 以下のようにロググループとS3のバケットを指定し、ログの範囲をUNIX時間で与える。 $ aws logs create-export-task --task-name "test"…

やりたいこと Fluent Bitの設定ファイル（fluetnt.conf）に環境変数を指定し、環境変数経由で値を指定する。 環境情報 ECS Fargate 1.4 aws-cli/2.15.5 Fluent Bit v1.9.10 やり方 環境変数MYSERVICEを利用したい場合、以下のようにconfファイルに記載を行う…

やりたいこと CloudFrontのオリジンとしてS3のホスティングを利用している際、S3のファイル格納後にエッジキャッシュをクリアしたい。 環境情報 aws-cli/2.15.5 やり方 CloudFrontにて該当のDistribution IDを特定し、以下のコマンドを実行する。 $ aws clou…

はじめに EC2からS3を利用しようとaws s3 lsを打つも、反応がなかった際の調査ログを記載します。尚、EC2はプライベートサブネットに存在し、インターネットへの経路はなくS3のVPCエンドポイントは作成済みとします。 環境情報 aws-cli/2.15.5 調査の流れ 同…

はじめに ECSのタスク定義に修正を加える場合、AWSの管理コンソールにて”新しいリビジョンの作成（Create new revision/Create new revision with JSON）から行います。一方でコンテナイメージのタグのみを変更する等、軽微かつ機械的な置換で行えるものはCU…

はじめに ECSで稼働するコンテナは、awslogsというログドライバーを有効化することで標準出力がCloud Watch Logsに連携されます。 簡易的な使い方であればこれでいいものの、より細かい用件でログルーティングを行う場合は不十分であり、代わりにFirelensコ…

はじめに ECSのサービスにてTaskを1つだけ稼働させ、そのTaskを異常終了させた際にどの程度の時間でECSが別のTaskを復旧させるのかを実機を用いて検証を行いました。尚、構成としてはALBを経由してECSのサービス（Apacheをコンテナとして起動）に割り振りを…

はじめに RAG構成のAmazon Bedrockを利用している際に不審なアクセスがないかどうかを確認したいケースがあります。そのような際にAWSのCloudTrialが利用できるため、実際にログの確認を行いました。 執筆時期 2025/02 CloudTrialの設定 まず初めに、CloudTr…

はじめに ECSのサービスがApplication Load Balancerの後段にある場合、ECSがコンテナを停止（SIGTERMの送信）する前に、ターゲット グループからタスクを解除する挙動をします。具体的には以下のフローとのこと。Graceful shutdowns with ECS より抜粋本記…

はじめに ECSではタスク定義を指定した上で「Run Task」を行うことでコンテナをバッチのようにして起動ができます。また、起動したコンテナの実行結果は、ステータスとして完了したかだけではなくシェル終了時の終了コード（Exit Code）としても取得が可能で…

やりたいこと awscliを利用してメールを送付する。 環境情報 $ aws --version aws-cli/2.15.23 Python/3.11.6 ... やり方 トピックを作成し、そのトピックに紐づくサブスクリプションを宛先メールアドレスと共に設定。作成したトピックのARNを引数に以下のよ…

やりたいこと awscliを利用し、特定のIPアドレスからの通信を拒否する。尚、通信はサブネットをまたぐ通信とする。 環境情報 $ python3 --version Python 3.8.16 やり方 サブネットに紐づくNetwork ACLのIDを利用し、以下のように設定を行う。（インバウンド…

事象 EC2にログイン後、AWSコマンドとして利用しているユーザを表示するとRoleの権限ではなくユーザのArnが表示される。 $ aws sts get-caller-identity { "UserId": "..", "Account": "...", "Arn": "arn:aws:iam::..:user/xx@yy" } 環境情報 # aws --versi…

やりたいこと Cloud9からRAG構成のAmazon Bedrockを利用する。尚、KnowledgeBaseによるS3及びベクトルDBは事前に作成/配置済みとする。 環境情報 $ python3 --version Python 3.8.16 やり方 作成したKnowledge Baseから以下を値を確認した上で KnowledgeBase…

はじめに テキストで与えた入力情報を元に、AWSの生成AIであるBedrockに画面遷移図を作成させる検証を行いました。尚、できるだけ自動化を行うために画像出力部分はマーメイド記法のテキストを元に画像化するmmdcコマンドを利用しています。尚、全体の流れは…

事象 InstanceProfileとしてIAMロールを設定していたEC2に対して「Modify IAM role」を実行すると Failed to replace instance profile The association iip-assoc-xx is not the active association というエラーとなる。 環境情報 $ aws --version aws-cli…

やりたいこと Lambda関数にてRoute 53に登録してあるドメインのAレコードを変更する。 環境情報 Python 3.2 やり方 変更したい Hosted zone ID Record name を確認し、IPアドレスをValue欄に入力を行い実行する。 import boto3 AWS_HOST_ZONE_ID="XX" AWS_RE…

事象 CloudWatchのActionにて以下のような設定が"Actions enabled"になっているが Type Description Config Lambda When ALARM, invoke "xx" Lambda Function - アラーム発動時にHistoryには以下のような失敗のログが表示される。 Date Type Description xx …

やりたいこと Cloud9からAmazon Bedrockを利用する。尚、サンプルとしては「こんにちは」と入力する。 環境情報 Python 3.7.16 Anthropic | Claude Instant やり方 boto3をインストールした上で $ pip install --upgrade boto3 Defaulting to user installat…

事象 マネージメントコンソールから作成したEKSに対してCloud9からkubectlコマンドで接続に行くも以下のようなエラーとなる。 $ kubectl get svc error: You must be logged in to the server (Unauthorized)詳細なデバッグログは以下。 $ kubectl get svc -…

事象 Cloud9から「API server endpoint access」が「Private」であるEKSに対し、接続ができない。 具体的にはaws eks update-kubeconfig --name xxによってコンフィグファイルに接続先情報が入っているにも関わらず以下のように応答が返ってこない。 $ kubec…

やりたいこと プライベートサブネットに立てたRed Hat Enterprise Linuxを搭載したEC2に対し、EC2 Instance Connect Endpoint経由での接続を行う。 環境情報 RHEL-9.3.0_HVM やり方 初期状態でオーダーをしただけでは以下のようなエラーとなる。 Failed to c…

事象 EC2にて用意したWindowsServerに対してSystem Manager > Fleet Manager > Remote Desktop にてキーペアを指定して接続を試みるも以下のエラーとなる。 An error occurred while calling the StartConnection API operation. AccessDeniedException: Use…

やりたいこと AWSコマンドで予算を管理するバジェットを作成し、作成したバジェットを確認する。 環境情報 aws --version aws-cli/1.19.112 Python/2.7.18 Linux/4.14.322-244.536.amzn2.x86_64 botocore/1.20.112 やり方 作成方法は以下。 $ aws budgets cr…

やりたいこと Lambdaを利用してEC2に特定のRoleを付与する。 尚、言語はPythonとした上でAWSリソースをPython から操作するためのライブラリであるboto3を利用する。 環境情報 aws --version aws-cli/1.19.112 Python/2.7.18 Linux/4.14.322-244.536.amzn2.x…

やりたいこと Amazon EventBridgeにて特定のユーザ群がEC2インスタンスをLaunchした場合のパターンを記述する。尚、ユーザ名はTESTで始まるとする。 環境情報 aws --version aws-cli/1.19.112 Python/2.7.18 Linux/4.14.322-244.536.amzn2.x86_64 botocore/1…

やりたいこと 使用していないドメインを削除することでAWSの機械学習系サービスであるSagemakerに伴って発生している以下のコスト請求を停止させる。以下はCostExplorerにて表示されるタグ。 APN1-Canvas:Session-Hrs APN1-Studio_DW:KernelGateway-ml.m5.4x…