-
AWS SQSキューへのメッセージ送受信をエンドポイント経由でのみに制限する
今回のゴール SQSキューのメッセージ中に機密データがある 社内のコンプライアンス上インターネットを経由しないでSQSメッセージを送受信したい 等の要件はよくあると思います。 そこで今回はVPCエンドポイント経由でのみSQSにメッセージ送受信できるように設定していきます。 まず、現状を確認します。V[…続きを読む]
-
AWS LambdaからDynamoDBをVPCエンドポイント経由で使用する
今回のゴール プライベートサブネットからインターネットを経由せずに直接DynamoDBにアクセスしたい 社内のコンプライアンス上インターネットを経由しないでDynamoDBと通信したい 等の要件はよくあると思います。 そこで今回はVPCエンドポイント経由でDynamoDBを使用できるように設定してい[…続きを読む]
-
AWS AD Connectorを使用して、別アカウントのADにリクエストをリダイレクトする。
経緯 AWSのSingle Sign-On(SSO)を使用するにあたり、ルートアカウント以外のDirectoryServiceのADをIDソースとする為にルートアカウントのVPCにAD Connectorを配置しました。 設定 ActiveDirectryにAD Connector用のサービスアカウ[…続きを読む]
-
AWS S3へのアクセスがEndPoint経由で行われているか確認する
経緯 VPCにエンドポイントを作成して、S3にアクセスする設定にしたものの、本当にエンドポイント経由でアクセスされているか確認したかったので、検証してみました。 確認する方法は、 S3のサーバーアクセスログ CloudTrailのデータイベントの記録 がありますが、今回はCloudTrailで検証し[…続きを読む]
-
AWS Site To Site VPNのトンネルの障害を検知して通知する
今回のゴール 以前に、AWSとオンプレのネットワークをSite To Site VPNで接続したのですが、そのトンネルの障害をCloudWatchを利用して検知して通知しようと思います。 Site To Site VPNはデフォルトでトンネルを2つ作成するので、1つのトンネルがダウンしたときに障害を[…続きを読む]
-
AWS Site To Site VPNでオンプレ環境とVPNで接続する
今回のゴール 今回は、オンプレのネットワークとVPCとをsite to site VPNで接続します。 AWSの設定 仮想プライベートゲートウェイの作成(VPC側) VPC側のエンドポイントを作成します。 VPCサービスより[仮想プライベートゲートウェイ]-「仮想プライベートゲートウェイの作成」をク[…続きを読む]
-
AWS VPCピアリングで異なるVPC(リージョン)間で通信をする
今回のゴール 同一アカウントの別リージョンのVPCにあるAD(DirectoryService)のドメインに参加するためにVPCピアリングを使用しました。 今回は大阪リージョンをVPCピアリング元(リクエスタ)として、東京リージョンをVPNピアリング先(アクセプタ)として設定します。 設定 VPCピ[…続きを読む]
-
AWS Configルールの修復アクションでセキュリティグループのSSH・RDPパブリック公開ルールを自動削除する
経緯 Configルールの修復機能で使えそうなパターンなのでやってみました。 設定 IAMポリシーの作成 セキュリティポリシーから指定されたルールを削除するポリシー(RevokeSecurityGroupIngress)を作成します。 IAMサービスより、[ポリシー]メニューを選択して「ポリシーの作[…続きを読む]
-
AWS Client VPN Endpointを作成してクライアントからAWSのプライベートサブネットにVPN接続する(サーバー証明書&クライアント証明書による相互認証+AD認証)
今回のゴール 以前、AWS プライベートサブネット環境からインターネットに接続環境を構築したのですが、そこからClientVPN経由でAWSのプライベートサブネットに直接アクセスできるようにします。 事前準備 サーバー証明書とクライアント証明書の作成してACMへアップロード 下記サイトを参照して、サ[…続きを読む]
-
AWS Directory Service(MicrosoftAD)環境を構築したらすべき事
VPCのDHCPオプションセットの変更 VPCを作成すると、デフォルトでAmazonProvidedDNSのDHCPオプションセットが作成されます。VPC内にDirectory Serviceを運用している際、VPC内のホストがDirectory ServiceのDNSを向くように変更します。VPC[…続きを読む]