すべての AWS プリンシパルを信頼ポリシーで許可している IAM ロールが環境にないか確認する

一ヶ月間 毎日ブログを書いてみた

人が使う IAM ロール（信頼されたエンティティが AWS サービスでない IAM ロール）だけを棚卸しする

リソースベースポリシーの Principal に存在しないプリンシパルを指定すると Invalid principal in policy などのエラーが発生する

AWS Systems Manager ランコマンドの出力を AWS CLI で一括で取得する

AWS Systems Manager ランコマンドの出力を AWS CLI で直接確認するためにはひと工夫が必要

NAT Gateway のコストが気になるので CloudWatch ダッシュボードと仲良くなってみた

最小オブジェクトサイズより小さなオブジェクトを格納した際にストレージ料金はどのように課金されるのか

Windows 用 CloudWatch エージェントのバージョンを一括で取得したい

Amazon Route 53 Application Recovery Controller zonal shift 試してみた #reinvent #jawsug #opsjaws

Amazon Verified Permissions について妄想を膨らませ損ねました #reInvent #cmregrowth

AWS Cloud9 環境をちょっとだけ手軽に作ってサッと接続する

AWS CloudShell 上でフェデレーションサインイン用 URL を生成してみた

AWS CloudShell からクロスアカウントのスイッチロールをしてみた

[アップデート] EFS ファイルシステムのライフサイクルポリシーで 1 日を設定できるようになりました

AWS Step Functions ステートマシンで実行されるタスクはそれぞれセッションプリンシパルが異なる

CloudTrail イベントに”errorMessage”: “CallerValidation check failed”と記録されたときに気にすること

特定時刻だけ CloudWatch アラームを抑制する、Amazon EventBridge Scheduler で。

[アップデート] Amazon EBSで ごみ箱(Recycle Bin)の保持ルールをロックできるようになりました

マストドン(Mastodon)のインスタンスを AWS でホストしてみた

[アップデート] SNS サブスクリプションフィルターのスコープとしてメッセージ属性に加えメッセージ本文がサポートされました

IAM ユーザーが所属している IAM グループとアタッチされている IAM ポリシーの一覧を AWS CLI で取得する

AWS の障害分離境界について学べるホワイトペーパー AWS Fault Isolation Boundaries を読んでみた

[アップデート] Amazon AppFlow フローの実行が CloudWatch メトリクスによるモニタリングに対応しました

AWS Nitro System による旧世代のインスタンスのサポートが本格的に始まりそうです

AWSについて調べものをするときに英語版の公式ドキュメントだけが検索結果に現れるようにする

[アップデート] Amazon RDS イベントサブスクリプションを通じた SNS イベントにメッセージ属性が含まれるようになりました

Amazon AppFlow カスタムコネクタで Slack から MySQL にデータ転送してみた

Amazon AppFlow カスタムコネクタで使用する Lambda 関数を VPC Lambda にする場合は Secrets Manager への通信経路を確保する必要がある

Amazon AppFlow カスタムコネクタ入門として amazon-appflow-custom-jdbc-connector をデプロイして MySQL から S3 にデータ転送してみた

Amazon AppFlow 入門として Slack から S3 へデータをロードするフローを作ってみた

[アップデート] CloudWatch Logs エクスポート機能が出力先として SSE-KMS 暗号化 S3 バケットをサポートしました

NAT インスタンス用の AMI を Packer で作ってみた

令和なのに NAT インスタンスを手作りして使ってみた

AWS Resource Explorer のアグリゲータインデックスを削除/降格させると次のアグリゲータインデックスの準備まで 24 時間待つ必要がある

[新機能] リージョン・サービスを横断してリソースを検索できる AWS Resource Explorer が使えるようになっていました

[アップデート] 別アカウントから共有されたプライベート AMI を共有された側でオプトアウトできるようになりました

令和なのに SSL/TLS サーバー証明書を ACM ではなく IAM にアップロードしてみた

AWS Private CA のプライベート CA は利用期間に応じた課金だけど一時的に計算前の金額が請求ダッシュボードに表示されたのでドキッとした

[アップデート] Amazon RDS マルチ AZ DB クラスターが CloudFormation でサポートされました

[アップデート] AWS Private CA のプライベート CA に短期間の証明書のみを発行できるお求めやすい価格のモードが登場しました

[アップデート] EC2 インスタンスの無停止でのルートボリューム置き換え時に任意の AMI を復元のソースとして指定可能になりました！

[アップデート] Elastic IP アドレス（EIP）を AWS アカウント間で移行できるようになりました！

[アップデート] IAM Access Analyzer が新たに 6 つのリソースタイプの分析に対応しました（全12種に！）

RDS には DB インスタンスクラスも DB インスタンスタイプもあるけど DB インスタンスファミリーはない

C5d.xlarge のインスタンスファミリーは C なのか C5 なのか C5d なのか

[58→142] IAM Access Analyzer によるポリシー生成でより多くの AWS サービスがアクションレベルの情報に対応しました（144.8%アップ）

Assumed-role セッションプリンシパルのサービス名前空間を iam にしたが そっと sts に書き換えられた

[アップデート] IAM ロール信頼ポリシーの編集エディタが刷新され IAM Access Analyzer によるポリシー検証と外部アクセスプレビューに対応しました

[仕様変更] IAM ロール信頼ポリシーの挙動が変更になり IAM ロールの「暗黙的な自己信頼」がなくなりました

AWS IAM のコントロールプレーンとデータプレーンに思いを馳せてみました #devio2022

[アップデート] Amazon S3 で SSE-C の使用を制御できる IAM 条件キーが追加されました

Amazon Redshift Serverless にマネージド VPC エンドポイント経由でアクセスでする際にワークグループ側のインバウンド許可は必要ない

Amazon Redshift Serverless ワークグループで指定した RPU によって配置可能なサブネットのサイズが変わる

Amazon Redshift Serverless で Redshift マネージド VPC エンドポイントを作成して任意の場所から名前解決できるか確認してみた

SSE-C 暗号化されたオブジェクトはマネジメントコンソールでどこまで操作できるか確認してみた

Amazon S3 の SSE-C（カスタマー提供キーによるサーバーサイド暗号化）を AWS CLI で試してみた

7 年間溜めた AWS IAM AWS 管理ポリシーへの愛を語りました #devio2022

この EC2 インスタンスを最後に使ったのいつ？EC2 インスタンスの最終起動時刻と停止時刻を一括で取得する

AWS IAM のコントロールプレーンはバージニア北部リージョンにのみ存在しその設定内容は各リージョンのデータプレーンに伝播される