2016年12月 – テクニカルタイムアウト

AWS EC2（5）ユーザデータによる起動時のコマンドの実行

2016年12月25日2020年1月20日 eijiコメントはこの投稿ではオフになっています。

cloud-init

EC2が起動する際に、cloud-initを使って任意のスクリプトを実行させることが可能である。実行する際に渡すことのできるデータ（ユーザデータ）は、プレーンテキスト・ファイル・Base64エンコードされたテキストで、通常は初回起動時のみ実行されるため、再起動時などは実行されない。スクリプトは、シェルスクリプト形式もしくはcloud-initディレクティブ形式で記述することが可能である。なお、スクリプトは、インタラクティブに動作させることはできないことに注意が必要である。また、このスクリプトは、rootユーザとして実行される。

シェルスクリプトによる実行

シェルスクリプトを実行させるためには、通常のシェルスクリプト同様にインタプリタのパスを最初に記述する必要がある。

#!/bin/bash

その他の処理も、通常のシェルスクリプトと同様に記述することができる。

ユーザデータの登録

ユーザデータの登録は、AWSマネージメントコンソール上、もしくはAWS CLIから行うことが可能である。

AWSマネージメントコンソールから登録

AWSマネージドコンソールで行う場合は、インスタンス作成画面の中で、ユーザデータを登録できる。

また、登録したユーザデータは、「インスタンスの設定」より確認することが可能である。

実行中のインスタンスから値を取得することも可能である。

curl https://169.254.169.254/latest/user-data

AWS CLIから登録

AWS CLIからEC2を起動する際に、user-dataオプションを付与することで、ユーザデータを指定することができる。指定するファイルは、シェルスクリプトが記述された通常のテキストファイルでよい。

aws ec2 run-instances --cli-input-json file:///tmp/ec2_settings.json --user-data file:///tmp/cloud-init_userdata.txt

AWS EC2（4）AWS CLIからEC2インスタンスを起動する

2016年12月24日2020年1月20日 eijiコメントはこの投稿ではオフになっています。

JSONファイルから起動する

EC2をAWS CLIから起動する際、JSONファイルに設定情報を記述しておくと、複雑なオプションコマンドを書き連ねる必要がなく、設定の管理もラクである。JSON形式の設定ファイルの雛形は、

<br>
aws ec2 run-instances --generate-cli-skeleton &gt; /tmp/ec2_settings.json<br>

で取得することが可能であるが、不要な設定も多く含まれているので、どの設定を有効とするかは精査が必要である。AWSマネージメントコンソールで設定可能な項目と同程度の設定であれば、以下の設定で起動することが可能である。

<br>
{<br>
    "DryRun": false,<br>
    "ImageId": "ami-XXXXXXXX",<br>
    "KeyName": "XXXXXXXX",<br>
    "SecurityGroups": [<br>
        "XXXXXXXX"<br>
    ],<br>
    "InstanceType": "t2.micro",<br>
    "BlockDeviceMappings": [<br>
        {<br>
            "DeviceName": "/dev/xvda",<br>
            "Ebs": {<br>
                "VolumeSize": 8,<br>
                "DeleteOnTermination": true,<br>
                "VolumeType": "gp2"<br>
            }<br>
        }<br>
    ],<br>
    "Monitoring": {<br>
        "Enabled": true<br>
    },<br>
    "DisableApiTermination": true,<br>
    "InstanceInitiatedShutdownBehavior": "stop",<br>
    "IamInstanceProfile": {<br>
        "Name": "XXXXXXXX"<br>
    }<br>
}<br>

それぞれの設定項目と、AWSマネージメントコンソール上の表示との対応は、以下の通り。

JSON項目名	AWSマネージメントコンソール上の名称	内容
DryRun	–	設定ファイル作成時は、DryRunで確認する
ImageId	Amazon マシンイメージ	AMIのID
KeyName	キーペアの選択	キーペア
SecurityGroups	セキュリティグループの設定	セキュリティグループ名
InstanceType	インスタンスタイプの選択	インスタンスタイプ
BlockDeviceMappings/DeviceName	デバイス	AWSマネージメントコンソールは、通常/dev/xvdaが指定される
BlockDeviceMappings/EBS/VolumeSize	サイズ（GiB）	ボリュームサイズ
BlockDeviceMappings/EBS/DeleteOnTermination	合わせて削除	インスタンス削除時にボリュームも削除するか否か
BlockDeviceMappings/EBS/VolumeType	ボリュームタイプ
Monitoring	モニタリング	CloudWatch 詳細モニタリングを有効化
DisableApiTermination	削除保護の有効化	誤った削除からの保護
InstanceInitiatedShutdownBehavior	シャットダウン動作	シャットダウン時にインスタンスを削除するか停止するか
IamInstanceProfile	IAM ロール	IAM インスタンスプロファイル

なお、Tagはインスタンスを起動しないと指定できない。
この設定ファイルを用いてEC2インスタンスを起動する場合は、以下のコマンドを実行する。

<br>
aws ec2 run-instances --cli-input-json file:///tmp/ec2_settings.json<br>

この際、設定ファイルに誤りがある場合には、

<br>
Parameter validation failed:<br>
Invalid type for parameter SecurityGroups, value: XXXXXXXX, type: &lt;type 'unicode'&gt;, valid types: &lt;type 'list'&gt;, &lt;type 'tuple'&gt;<br>

などのように、エラーメッセージが返される。

Amazon Web Services 業務システム設計・移行ガイド

AWS Identity and Access Management（2）ARN（Amazon Resource Name）

2016年12月23日2020年1月20日 eijiコメントはこの投稿ではオフになっています。

ARN

ARN（Amazon Resource Name）を用いることで、AWSサービスのリソースを一意に決定することが可能となる。ARNは通常以下のフォーマットで記述される。

arn:partition:service:region:account-id:resource
arn:partition:service:region:account-id:resourcetype/resource
arn:partition:service:region:account-id:resourcetype:resource

各項目の内容は以下の通りである。

項目名	内容	例
partition	パーティション	aws
service	AWSサービス名	dynamodb
region	リージョン	ap-northeast-1
account-id	アカウントID	123456789
resource	リソース名	* \| table/test

リソース名はサービスごとに異なることから、詳細はAWS サービスの名前空間を参照のこと。

サービス名	名前空間	ARNの例
API Gateway	apigateway	arn:aws:apigateway:region::resource-path
CloudFront	cloudfront
CloudWatch	cloudwatch
CloudWatch Logs	logs	arn:aws:logs:us-east-1:account-id:log-group:log_group_name など
Amazon Cognito	cognito-identity
DynamoDB	dynamodb	arn:aws:dynamodb:region:account-id:table/tablename
Amazon EC2	ec2	arn:aws:ec2:region:account-id:instance/instance-id など
IAM	iam	arn:aws:iam::account-id:user/user-name など
Amazon Kinesis	kinesis	arn:aws:kinesis:region:account-id:stream/stream-name
Lambda	lambda	arn:aws:lambda:region:account-id:function:function-name など
Amazon S3	s3	arn:aws:s3:::bucket_name など

AirPods（1）Apple Storeで当日にAirPodsを購入する方法

2016年12月23日2018年1月17日 eijiコメントはこの投稿ではオフになっています。

Apple Storeアプリで購入し店舗で受け取る

12/14に突如発売がアナウンスされたAirPods。当初は最短で12/19お届けだった配送スケジュールも、予約が殺到した結果、あっという間に伸びていき、今や6週間待ち。では、2月中旬まで待てない人は、どうやって入手したら良いのか。一番手っ取り早いのは、Apple Storeまで出向き直接購入する方法だが、これも下の写真のとおり、開店前から長蛇の列で、おまけに入荷されない日の方が多いとのこと。実際にApple Storeに開店前から並んでみたが、開店30分前には、修理や他のApple製品購入の人間も含めて、50人近くが列に並ぶという状況で、列に並んでいる途中にApple Storeの店員から、「在庫が少ないので販売は確約できない」と言われてしまう始末。ではどうしたらよいのか。

列に並んでいる人に対して、開店前にApple Storeの店員からアナウンスがあり、一番早くAirPodsを入手するためには、iOSのApple StoreアプリからAirPodsを購入して、店頭受け取りを指定するという方法が良いとのこと。実際にApple StoreアプリからAirPodsを選択してみると、

まさかの当日店舗受け取りが可能となっている。Apple Storeアプリからすぐさま購入すると、クレジット決済や在庫の確認等のため、15分程度処理中のステータスとなるが、その後すぐに受け取り待ちのステータスとなり、

受け取り待ちのステータスになったことを確認した直後に、店舗で購入を申し出ると、すぐに購入手続きへと移ることが可能でした。Apple Storeアプリの店舗受け取りにしている商品の案内は、（AirPodsに限らず）最優先で手続きしてくれるとのこと。というわけで、年内にAirPodsを購入するための最善の方法は、Apple Storeアプリで購入し店舗で受け取る。これだと寒空の下で列に並ぶ必要が無く、購入完了後の好きな時間に店舗に赴けばよい。ただし、店舗に商品が入荷されたタイミングで、当日店舗受け取りが可能なステータスに変更となるようなので、いつ購入しても当日に受け取れるというものでは無いようである。また、店舗受け取りに指定した場合は、3週間以内であればいつ来店しても確実に商品が受け取れる一方で、3週間以内という期限が設けられているので、期限切れには注意が必要だ。

Apple AirPods 完全ワイヤレスイヤホン Bluetooth対応マイク付き MMEF2J/A

AWS Identity and Access Management（1）IAMの概要

2016年12月22日2020年2月3日 eijiコメントはこの投稿ではオフになっています。

AWS Identity and Access Management （IAM）とは

AWS IAMは、AWSをセキュアに使用するための認証認可の仕組み。UserやGroupを作成してパーミッションを付与することができる。AccessKey, SecretKeyの取り扱いは注意が必要で定期的な更新が望ましい。また、Rootアカウント（アカウントを作成したときのID）はIAMの設定するポリシーが適用されない強力なアカウントになるので極力使用しない。

IAMで作成したユーザでマネージメントコンソールにログインすることが可能で、ログインURLはIAM Dashboardより確認編集することが可能である。

20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part1 from Amazon Web Services Japan

20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part2 from Amazon Web Services Japan

AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) from Amazon Web Services Japan

AWS Black Belt Techシリーズ AWS IAM from Amazon Web Services Japan

AWS Black Belt Techシリーズ AWS Management Console from Amazon Web Services Japan

安全なアカウント管理のために

安全にアカウントを管理するためには以下のような手法を講じることが望ましい。

ルートアカウントのアクセスキーを消去する
ルートアカウントをMFA認証にする
AWSが定期着したポリシーを利用する
ユーザにグループを割り当て、グループごとにポリシーを定義する
最小限の権限のみを与える
EC2で動作するアプリケーションへは、アクセスキーではなくロールで権限を与える

セキュリティ監査

セキュリティ監査を実施することで高いセキュリティレベルを維持することができる。セキュリティ監査は、定期的もしくはユーザの増減があった際や、サービスの開始/停止時、不正アクセスが疑われる際などに推測を交えずに徹底的に行うと良い。

管理ポリシー

AWSアクセスへの管理権限をJSON形式で指定することが可能である。条件（Condition）は、項目を連ねた場合はAND、項目内で条件を連ねた場合はORとして扱われる。全てのアクセスはデフォルトで拒否、Allowが指定されれば許可、Denyが指定されれば明示的な拒否として扱われる。

分類	項目例	内容
Effect	Allow or Deny	許可設定であればAllow, 拒否設定であればDeny
Action	s3:createBucket	操作の指定、ワイルドカードも使用可能
Resource	arn:aws:s3:::mybucket	service:region:account:resouceの順で記述する
Condition	“IPAddress”: {“AWS:SourceIP”: “192.168.0.1”}	条件を指定する

IAMロール

AWSサービスに対してAWSアクセスの管理権限を付与する仕組み。UserやGroupには紐付かない。例えばEC2からDynamoDBやS3にアクセスする場合は、EC2上にCredentialを置くのではなくインスタンス作成時に適切なIAMロールを紐付ける。~~EC2へのIAMロールの紐付けは、インスタンス作成時のみ可能であることに注意が必要である。~~

AWSCredentialsProvider

AWSの各サービスにアクセスするプログラムをEC2上で動作させる場合に、認証情報をCredentialsから取得するのか、IAMロールから取得するのか選択することができる。Credentialsから取得する場合はProfileCredentialsProviderを、IAMロールから取得する場合はInstanceProfileCredentialsProviderクラスを使用する。

// Credentialsから取得する場合
AWSCredentialsProvider credentialsProvider = new ProfileCredentialsProvider();

// IAMロールから取得する場合
//
// 引数（refreshCredentialsAsync）をtrueにすると認証情報を非同期に更新する新しいスレッドが生成される
// falseにすると認証情報の更新は、インスタンスメタサービスに合わせられる
AWSCredentialsProvider credentialsProvider = new InstanceProfileCredentialsProvider(true);

// 認証情報の取得
credentialsProvider.getCredentials();

STS(AWS Security Token Service)

AWSには、STS(AWS Security Token Service) と呼ばれる一時的に認証情報を付与するサービスが存在し、動的にIAMユーザを作成することができる。IAM Role for EC2はこの仕組みを利用している。有効期限は数分から数時間に設定可能である。

テクニカルタイムアウト

Some technical problems have occurred.

月: 2016年12月