投稿者: K&K International :)

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 証明書 認定資格

AWS を学ぶ(20)AWS Certificate Manager を使ってみる


にほんブログ村

前回に引き続き、今回も暗号化に関する記事です。

インターネット通信に、暗号化は必須となりました。サーバーとのやり取りの暗号化、そのアクセス先のサーバーの信頼性を確認するために、サーバー証明書が使われています。

その際に利用されるプロトコルが、SSL (Secure Sockets Layer) / TLS (Transport Layer Security) となります。

そこで使用される証明書は、SSL 証明書と呼ばれます。実際に使用されているのは、SSL 3.0 をベースにした後継のプロトコルであるTLSとなります。

SSL 証明書の種類と役割

証明書は、主に以下の2つのために使用されます。

  • 通信経路での安全性の確保
  • 通信している相手が誰であるかの証明

通信経路の安全性の確保は、通信内容を盗聴されない様にすることと、通信内容を改ざんされない様にすることのために使用されます。

通信している相手が誰であるかの証明には、証明局(CA: Certification Authority)を使用し、ここで証明書を発行・管理します。

証明書の種類

証明書には、以下の 4 種類があります。

  1. 自己証明書:自分で証明局を建てて証明書を発行
  2. ドメイン証明(DV):ドメインの所有のみを証明し、組織情報の証明はされない
  3. 組織証明(OV):組織情報を証明
  4. 拡張認証(EV):OV よりも厳しい審査で認証し、アドレスバーに組織名が表示される

Vは「Validation」の略で、DV = Domain Validation、OV = Organization Validation、EV = Extended Validationになります。それぞれのもう少し細かい説明は、ここのページが参考になります。

AWS Certificate Manager

AWS Certification Manager (以下、ACM)は、AWS が証明局となり、DV 証明書を発行するサービスです。

2048ビットRSA鍵と、SHA-256 の SSL/TLS サーバー証明書の「作成と管理」を行います。ACM が発行する証明書の有効期限は13ヶ月となり、自動で更新するという設定も可能となります。

ACM を利用できる対象は、AWS のサービスのみとなりますが、無料で使用できるというメリットがあります。

ACM の初期設定時には、ドメインの所有の確認が必要で、メール送信、またはDNS を利用して確認します。

ACM が利用可能なサービス(2020年9月現在)

  • Elastic Load Balancer (ELB)
  • Amazon CloudFront
  • AWS Elastic Beanstalk
  • Amazon API Gateway

AMC を使ってみる

AWS 管理コンソールの検索テキストボックスに「Certificate Manager」と入力し、Certificate Manager をクリックします。

証明書の管理画面が表示されます。

「証明書のリクエスト」をクリックします。

証明書のリクエスト画面が表示されます。

今回は、EC2 上に稼働させている Web サーバー向けに証明書を発行したいと思います。「パブリック証明書のリクエスト」を選択します。

画面下部の「署名書のリクエスト」をクリックして、次へ進みます。

対象となるドメイン名の指定です。

ドメイン名のところに、EC2 上で稼働させている Web サーバーで使用しているドメイン名を入力します。

画面下部の「次へ」をクリックして、次へ進みます。

証明書の確認方法の選択です。

今回は、自分が管理している Web サーバーで、DNS の方も管理していますので、「DNS の確証」を使います。

画面下部の「次へ」をクリックして、次へ進みます。

タグの設定です。

後から分かりやすい様に、名前を付けておきます。

最終確認です。

今まで設定した内容を確認し、間違いがなければ、画面下部の「確証とリクエスト」をクリックします。

証明書が発行されました。

「DNS の設定をファイルにエクスポート」をクリックし、ファイルをダウンロードしておきます。

画面下部の「続行」をクリックします。

証明書は発行されたのですが、確証状態のところが、「確証保留中」になっています。証明書はまだ使えない状態です。

先ほどダウンロードしたファイルの内容を、DNS (AWS ならRoute 53) 側に設定します。

しばらく時間がかかりますが、確証が完了すると、確証状態が「成功」に変わります。これで、証明書が使える状態になりました。

ちなみにこの記事を表示している Web サーバーも EC2 上にあり、Route 53 やACM を使用しています。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(19)AWS の暗号化サービス

KMS と CloudHSM

機密性の高いデータを扱う際には、暗号化が必要となります。まず、鍵管理サービスです。AWS の鍵管理サービスは 2 種類あります。

  • KMS: Key Management Service
  • CloudHSM: Cloud Hardware Security Module

KMS は、AWS が管理するマネージドサービスです。

CloudHSM は、AWS 内に専用のハードウェアを用意し、これを利用して鍵管理するサービスです。

この2つのサービスの違いは、信頼の起点(Roots of Trust)です。ユーザー自身なのか、AWS に任せるのか、です。

KMS

KMS には、以下の 3 つの API が用意されています。

  • Encrypt: ユーザーデータ暗号化のための API で、4KB までの平文データをサポート
  • Decrypt: ユーザーデータ復号化のための API
  • GenerateDataKey: ユーザーデータの暗号化に利用するカスタマーデータキーを生成
マスターキーとデータキー

KMS では、2 つの鍵を管理しています。

  • マスターキー: Customer Master Key (CMK)
  • データキー: Customer Data Key (CDK)

CMK は、データキー (CDK) を暗号化するために使用される鍵です。ユーザーデータの暗号化には使用されません。

CDK は、ユーザーデータを暗号化するために使用される鍵です。通常は AWS で暗号化されて保存されいますので、ユーザーデータの暗号化や復号化を行う度に、CDK を復号化して使用します。

つまり、CDK でユーザーデータを暗号化し、CMK を使って、 CDK をさらに暗号化します。この手法は、エンベロープ暗号化と呼ばれています。

CloudHSM

CloudHSM は、専用のハードウェアを使用する為、初期コストも月次の固定費も必要となります。大規模なシステム向けや、特定の規制、法令に準拠したい場合に使用されます。

CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。

上記の様に、CMK とCDK があり、2 段階の鍵構造になっています。この理由は、セキュリティーの向上のためです。

データキーは、S3、EBS、Redshift など、暗号化の対象ごとに作成します。これにより、万が一、鍵の漏洩があった際にも、そのリスク範囲を限定することができます。

そして、データキーをマスターキーで暗号化することにより、実際の運用で使用する機会の多いデータを保護します。マスターキーを集中管理することにより、全体としてのセキュリティーを高めています

クライアントサイドとサーバーサイドの暗号化

暗号化は、クライアントサイドで行うのか、サーバーサイドで行うのかも、常用なポイントとなります。

クライアントサイドの暗号化

クライアントサイドの暗号化は、ユーザー側の処理で行います。AWS が提供するSDKを利用するケースが多いです。EC2やLambdaなどでプログラムで暗号化して、S3などにアップロードするというケースも、クライアントサイドの暗号化となります。

クライアントサイドの暗号化の利点は、暗号化れたデータが転送されますので、経路が暗号化されていなくても、ユーザーデータを保護できるという点です。

クライアント側暗号化には、AES 256 ビットが使用できます。

クライアント側のマスターキーと暗号化されていないデータが AWS に送信されることありません。暗号化キーを安全に管理することが重要です。キーを紛失した場合、データを復号することはできません。

AWS オフィシャルサイト

サーバサイドの暗号化

サーバーサイドの暗号化は、AWS内で行います。サーバーサイドの暗号化は限定されていて、S3などの一部のサービスのみで提供されています。

サーバー側の暗号化は、保管時のデータ暗号化に関するものです。  S3 は、ディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、ユーザーがデータにアクセスする時に復号します。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

カテゴリー
2020年 AWS AWS Solutions Architect - Associate CDN キャッシュ クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(18)CloudFront を使ってみる

この記事は、日本語で作成し、機械翻訳で外国語に訳しています。

AWS を学んでみる(8)CloudFront ってなんだろうで、CloudFront について調べてみましたが、今回は、CloudFront を実際に使ってみました。

今回の動作確認では、以下のようなイメージで、構成を作ってみます。

(1) の部分が、Web サーバーと ELB、(2) の部分が CloudFront です。

CloudFront を使ってみる

事前準備

まず、(1) の部分を作っていきます。

VPC やサブネットについては、AWS を学ぶ(1)VPC を理解するAWS を学ぶ(2)VPC を作ってみようで説明しています。

EC2 でのインスタンスの起動については、AWS を学ぶ(4)EC2 を理解するAWS を学ぶ(6)EC2 を使ってみようで説明しています。

EC2 上に、Web サーバーを起動させます。インターネットからアクセスできるように、パブリックサブネットに起動させて下さい。

Web サーバーのグローバルアドレスを確認し、ブラウザーに入力して下さい。

Web サーバーのコンテンツが表示されましたね。

次に、ELB を起動させます。

ELB の起動と設定については、AWS を学んでみる(9)ELB を使ってみようで説明しています。

今回は ALB を使ってみます。ターゲットを、ES2 上の Web サーバーで指定しておきます。

ターゲットのステータスが Healthy になりました。

ELB のDNS 名を確認し、それをブラウザーに入力してアクセスします。

Web サーバーのコンテンツが表示されましたね。ELB 経由で Web サーバーへのアクセスも成功です。

CloudFront の起動と設定

AWS 管理コンソールの検索テキストボックスに CloudFront と入力し、CloudFront を選択します。

CloudFront の管理コンソールが表示されます。

「Create Distribution」をクリックします。

今回試したいのは、Web サーバーのコンテンツキャッシュです。上の「Web」の方の「Get Started」をクリックします。

Create Distribution の画面が表示されます。

Origin Settings の中の「Origin Distribution Name」のテキストボックスをクリックし、プルダウンメニューを表示させます。

その中に、先ほどの事前準備で作成した ELB が表示されていますので、それを選択します。

これ以外の設定は、今回は特に変更しません。

画面下部の「Create Distribution」をクリックします。

CloudFront Distributions の画面に戻ります。

Statusのところが、「In Progress」になっているはずです。導入が完了するまでに、10 分くらいかかります。

Status が「Deployed」になりました。これで CloudFront の導入が完了です。

導入が完了した Distribution の「ID」をクリックして、詳細を表示させます。

「Domain Name」の箇所に表示されているのが、CloudFront を使う時のアクセス先になります。

CloudFront のドメイン名を、ブラウザーに入力してアクセスしてみます。

Web サーバーやELB経由の時と同じコンテンツが表示されましたね。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

カテゴリー
2020年 おもしろ ナルシスト 事件簿 悲劇 昭和

レオタード愛好紳士たちへ

この記事は、日本語で作成し、機械翻訳で外国に訳しています。


にほんブログ村

昭和の時代、こんな窃盗事件があった。

昭和X年某月某日、某高等学校の女子新体操部の部室から数万円相当のレオタード数着が盗まれた。

後日、窃盗事件として捜査していた警察は、県内に住む25歳の無職の男Aをこの事件の犯人として逮捕。

同時にAが某高校から盗んだレオタードを押収した。

Aが逮捕されたきっかけは、ある住民からの通報だった。

その住民は、道路わきに駐車した車に乗っていたAを見たとたん「変な人がいる」と警察に連絡したのだが、それはAが車内でレオタードに着替えていたからだ。

駆けつけた警察官に不審者として職務質問されたAは、「何をしているのか」「このレオタードの入手先は」と問い詰められ、自分の犯行を認めざるを得なかった。

着用していたレオタードが、盗難届けの出されていたもの以外の何者でもなかったから、ごまかすことができなかったのだ。

こうしてレオタード泥棒は御用となり、盗まれていたレオタードも正当な持ち主である新体操部員に返還されて事件は解決した。

だが、彼女たちが戻ってきたレオタードをためらうことなく再び着ることができたかどうかまでは報道されていない。(出典―VOW 宝島社)

レオタードは見ていて確かに魅力的だが(私も結構好きだ)、盗難はいかん。

新体操部員たちは決して安くはないレオタードを盗まれ、汚染されてしまった。

犯人のAも、報道の規制が緩かった昭和の時代にこんなことをやらかしたがために新聞で実名をさらされ、人生を棒に振ったはずだ。

最初に断っておくが、完全な加害者であるAを擁護するつもりは毛頭ない。

だが、もしAが平成から令和の時代に生きていたのならば、ひょっとしたらこんな犯行を犯すことはなかったのではないだろうかとも思うのだ。

昭和という、今から思えば多様性を社会が認めたがらなかった時代だからこそ、彼は道を外したのではないか?

それは、最近ネットでこんな商品を見つけたからだ。

商品名『FEESHOW(フィーショー)メンズレオタード』というらしい。

昨今はIiniim(アイム)などの男性用ブラジャーまでもが堂々ネットで売られているのを知って、「まさかレオタードも?」と思って調べたら本当にあったから驚きだ。

色違いのものや、半袖、光沢があるタイプもある。

この欧米人の男性モデルも、まるでスポーツウェアか背広を着ているようにさわやかである。

仕事選べよ

お前はモデルの仕事のために男廃業してるぞ、と言いたくなる。

それはさておき、こんなものがたやすく手に入る今の世だったら、Aは盗みに入ることなく健全にレオタードを嗜めたのではなかろうか?

彼は自分のプライベートスペースで、紳士的かつ情熱的にひとりファッションショーを楽しめるはずだ。

この『FEESHOWメンズレオタード』は写真から見てまごうことなきレオタードで、しかもそれなりに筋肉質な体をした男性モデルが無理なく自然体に着ている。

ということは、日本人の平均的な体格の男性ならばレオタードを痛めることなく着用できるだろう。

現実の女性用のレオタードは女性が着るために設計されたもので、

男性が着用することはむろん想定していない

男性が着ようとすれば、形状やサイズが合わず、着用は困難を極める。

仮に着用に成功したとしても、不必要で過剰な圧迫を受けて、着心地は最悪なはずだ。

それどころか、非使用対象者による不適切な使用にあたるため、レオタードの製品寿命は著しく短縮するであろう。

だが、この製品は男のためのレオタード、メンズレオタードなのだ!

見るだけでは飽き足らず、着用したいと願うレオタード紳士の願望を見事にかなえ得る逸品と言えるであろう。

昭和の時代にこれがあったならば、Aもレオタード獣の窃盗犯に墜ちることなく、救われていたかもしれない。

もっともAが着用済みのものを好む純粋な「中古品嗜好」の持ち主だったら、救いようがなかっただろうが。

最後に一言。

私もレオタードは好きだが、見る専門だ。

その主眼はレオタードを着用した新体操の女性選手そのものにある。

自身が着用したいと思ったことは一切ない。

今回ご紹介しました「Feeshow メンズレオタード」は、以下のリンクからご購入頂けます。みなさんも1着どうでしょうか?

お買い物マラソン <すぐ使える★送料無料クーポン>メンズ レオタード シースルー ボディスーツ ボディウェア インナーウェア レオタード フルバック ノースリーブ メンズランジェリー maru-e23349

価格:1,980円
(2020/9/22 20:54時点)
感想(0件)

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(17)CloudWatch を使ってみる

このページは、日本語で作成し、機械翻訳で外国語に変換しています。

今回は、CloudWatch について学んでみます。

例えば、何らかのしきい値を超えたらアラートを出し、Eメールで通知するということは、運用上必要だと思います。

この機能を、CloudWatch は、簡単に提供してくれます。

実際に使ってみることが早いですので使ってみました。

CloudWatch を使ってみる

AWS 管理コンソールにログインします。

検索テキストボックスで、CloudWatch と入力すると、CloudWatch が見つかるので、それをクリックします。

CloudWatch の管理コンソールが表示されます。

画面右側のメニューから、「アラーム」をクリックします。

アラーム設定画面が表示されます。

画面右上の「アラームの作成」をクリックします。

メトリクスの設定画面が表示されます。

「メトリクスの選択」をクリックします。

EBS、EC2、S3 などの項目が表示されます。表示される項目は、実際に使っている環境で異なります。

今回は、EC2 インスタンスに対して、アラームを設定したいと思います。EC2 をクリックします。

「インスタンス別メトリクス」をクリックします。

さまざまなメトリクスが表示されます。

とりあえず、分かりやすく、CPU 使用率でアラートを設定してみましょう。

一覧の中から、「CPU Utilization」をクリックします。

対象となるインスタンス ID が表示されています。これは EC2 の仮想インスタンスのインスタンスIDです。EC2 の管理コンソールも同時に開いて確認しましょう。

私の場合、テスト向けのインスタンスである、TEST-amz-linux があります。これのインスタンス名とインスタンス ID が同じであるかを確認します。

「CPU Utilization」を選択すると、現在の対象インスタンスの CPU 使用率が表示されます。

メトリクスの条件と指定の画面が表示されます。

今回は、CPU 使用率をメトリクスとして使用します。そのメトリクスは、AWS が用意しているので、メトリクス名は、そのまま使います。

今回は、CPU 使用率が 70% を超えたらアラートメールを出すようにしようと思います。「しきい値の種類」は、静的にします。

「より大きい」を選択し、「よりも」の項目で「70」を入力します。

まだトピックがありませんので、「新しいトピック」を選択し、「通知を受け取るEメールエンドポイント」に、メールの送信先になるEメールアドレスを入力します。このEメールアドレスが、アラートメールの受け取り先です。

名前と説明の画面が表示されます。

アラームの名前とその説明を入力します。

「次へ」を押すと、設定が完了します。

アクションのところを見ると、まだ「保留中の確認」になってますね。

先ほどメールの送信先に設定したメールを確認してみましょう。AWS からメールが届いているはずです。

メールの本文中にある「Confirm Subscription」をクリックします。

以下のような画面が表示されるはずです。これで、サブスクリプションは完了です。これからアラートメールが飛んできます。

CloudWatch の管理画面に戻ると、先ほど保留中だったステータス項目が、「確認済み」に変わります。

設定は、これで完了です。

CloudWatch のアラートを確認してみる

では、実際にアラートを発生させてみましょう。

今回設定しているのは、「CPU の使用率が 70% を超えたら、Eメールでアラートを出す」です。

Linux の top コマンドで、現在の CPU 使用率を確認してみます。テスト機を使ってますので、現在の CPU 使用率は 0% です。

top

次に、Linux の yes コマンドを使って、CPU 使用率を上げてみたいと思います。

これは不思議なコマンドです。Null にリダイレクトし続けると、CPU 使用率がどんどん上がっていきます。

yes > /dev/null

これを 4つ か 5つ 繰り返すと、すぐに CPU 使用率が上がります。今回は、5つ 繰り返してみましょう。

yes > /dev/null &
yes > /dev/null &
yes > /dev/null &
yes > /dev/null &
yes > /dev/null &

すぐに CPU 使用率が 99% まで上昇しました。

しかし、CloudWatch の方は、5分間の平均値で表示しています。すぐには結果が反映されませんので、5分から10分くらい待ってみましょう。

CloudWatch 側でも、CPU 使用率の上昇がみられるようになりました。

アラートメールが飛んでいるはずです。

メールボックスを確認してみると、70% のアラートのメールが届いてますね。動作確認は成功です。

今回は、CPU 使用率でアラートメールを飛ばすように設定してみましたが、CloudWatchは、いろいろなメトリクスが用意されています。いろんなアラートを飛ばして、試してみて下さい。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWSを学ぶ(16)IAMについて

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのサービスです。

IAM は基本的な機能なのですが、非常に重要な機能です。AWS のアカウントを作成したばかりの状態ですと、Root ユーザーのみが作成され、そのユーザーでログインしています。

このRoot ユーザーですが、非常に権限のあるユーザーで、名前の通り、AWS 上のオペレーションを何でも行うことができます。

このアカウント情報が、仮に外部に漏れてしまうと、AWS アカウントが乗っ取られ、何でもできてしまうという危険があります。

これを避けるために、IAM ユーザーを作成し、そのユーザーを使って運用するというのが、ベストプラクティスとなります。

IAM の基本機能

IAM の設定項目として、以下の4つがあります。

IAM ポリシー: 何を許可し、何ができるのかを定義します。例えば、EC2の操作は閲覧と開始、起動のみ許可し、削除は許可しないなどです。

IAM ユーザー: ユーザー名のことです。

IAM グループ: 複数のユーザーをグループ化します。

IAM ロール: 何ができるかを定義するポリシーを指定し、サーバー(仮想インスタンス)に適用します。

これらの設定項目が、それぞれどの様なものなのか見ていきましょう。

IAM ユーザーとIAM ポリシーを作成します。

作成したポリシーを、権限内容に応じて、必要なIAM ユーザーに割り当てます。これで、IAM ユーザーに何ができるかの権限が割り当てられます。これをインラインポリシーと呼びます。

インラインポリシーでも良いのですが、IAM ユーザーの数が増えた場合はどうでしょうか。運用が煩雑になりますよね。権限の許可忘れや、意図しない権限を割り当ててしまったりして、事故に繋がるケースもあり得ます。

これを避けるために、IAM グループを利用します。IAM ポリシーは、IAMグループに割り当てます。そして、IAM ユーザーを、必要なIAM グループに所属させるのです。これにより、運用が楽になります。IAM ユーザーは、所属するグループを変更するだけで、権限内容も変更可能となります。

次に、IAM ロールです。

IAM ロールは、IAM ユーザーに割り当てるのではなく、サーバー(仮想インスタンス)に割り当てます。

IAM ポリシーで、何を許可するのかを定義し、そのIAM ポリシーをIAM ロールに割り当てます。そして、そのIAM ロールをサーバーに割り当てることで、サーバに権限を適用することができます。

IAM を使ってみよう

IAM ポリシーの作成

AWS の管理コンソールにログインし、検索テキストボックスにIAMと入力します。

IAM の管理コンソールに接続します。

左側のメニューから、「ポリシー」をクリックします。

ポリシーの一覧が表示されます。これらは、AWS が用意しているポリシーとなります。

自分で新規にポリシーを作成してみましょう。

「ポリシーのフィルター」をクリックし、表示されるメニューの中から「ユーザーによる管理」をクリックします。

「ポリシーの作成」をクリックします。

「ビジュアルエディタ」のタブの中に、メニューが表示されます。「サービス」をクリックします。

サービスの一覧が表示されます。非常にたくさんのサービスがありますので、検索を使って、使用したいサービスを選択していきます。

まず、EC2を設定してみましょう。検索エキストボックスに、「EC2」と入力します。

EC2関連のサービスのみが表示されますので、「EC2」をクリックします。

実行可能なアクションが表示されます。

リスト:参照系アクション

  • リスト: 表示系のアクション
  • 読み込み: 参照系のアクション
  • タグ付け: タグの追加、削除、編集アクション
  • 書き込み: 書き込み系のアクション
  • アクセス権限の管理: アクセス制御系のアクション

「リスト」をクリックして、表示系アクションの詳細を表示します。

アクションの詳細が表示されます。ここから、具体的に適用したいアクションを細かく選択できます。

今回は、リストは、全てのアクションを選択します。また、読み込みも全てのアクションを選択します。

次に、「書き込み」をクリックします。

書き込み系アクションの一覧が表示されます。今回は、書き込みに関しては、一部のアクションのみを許可してみたいと思います。

アクションはたくさんあるので、CTL+Fで検索すると早いです。

今回許可したいアクションは、EC2インスタンスの起動(StartInstance)と停止(StopInstance)です。それ以外の書き込み系アクションは許可しません。この2つのアクションだけを選択します。

書き込み系アクションで、2つのみが許可されてますね。

次に、アクションの対象の指定です。「リソース」の項目になります。

今回は、「全てのリソース」を選択し、EC2インスタンス全てに対して、上記アクションを適用します。

「リクエスト条件」では、MFA(多要素認証が必要)や、送信元IPアドレスを限定するなどが設定可能となります。

今回はこれらの機能は使用しません。指定せずに進めます。

EC2に対しての権限設定は完了しました。画面の上部に戻り、EC2の横の三角ボタンを押して、詳細画面を閉じます。

再び、サービスの検索に戻ります。

次に、RDSに対するアクションを指定していきます。

検索テキストに「RDS」と入力し、RDS関連のサービス一覧を表示させます。

「アクセスレベル」が表示されます。先ほどのEC2の時と同じ感じで、設定していきます。

表示系と読み込み系の権限は、全て与えます。

書き込み系の権限はですが、今回は何も与えません

次に、「リソース」の右側の三角ボタンをクリックします。

RDSサービスの全てに対して、指定したアクションを適用します。

これで、2つのサービスに対する権限が完成しました。

画面下部の「ポリシーの確認」をクリックします。

ポリシーの確認画面が表示されます。

今、作成したポリシーの名前を入力し、説明のテキストボックスに、そのポリシーの説明を入力します。

最後に、画面下部の「ポリシーの作成」をクリックします。

ポリシーが作成されました。

「ポリシーフィルター」から、実際に見てみましょう。

先ほど作成した、EC2とRDS向けのポリシーが見えますね。

IAM ユーザーの作成

次に、IAM ユーザーを作ってみましょう。

IAM 管理コンソールの左側メニューから、「ユーザー」をクリックします。

「ユーザーを追加」をクリックします。

まず、ユーザー名を入力します。

次に、「アクセスの種類」から、「AWSマネジメントコンソールへのアクセス」を選択します。

次に、「コンソールのパスワード」です。ここには、ログインの際に使用するパスワードを入力します。

最後に、「パスワードのリセットが必要」です。今回はこの機能は使用しませんので、チェックは入れません。

「次のステップ」をクリックします。

アクセス許可の設定画面が表示されます。

今回は、まずはインラインポリシー(IAM ユーザーに直接、IAM ポリシーを割り当てる)を試してみたいと思いますので、「既存のポリシーを直接アタッチ」を選択します。

ポリシーの一覧が表示されます。

「ポリシーのフィルタ」をクリックし、メニューから、「ユーザーによる管理」にチェックを入れます。

先ほど作成したポリシーが表示されますので、ポリシーの名前を選択します。

「次のステップ」をクリックします。

タグの追加画面が表示されます。

タグを入力しておきます。

「次のステップ」をクリックします。

最後に、画面下部の「ユーザーの作成」をクリックします。

ユーザーが作成されました。

これで、作成したユーザー「User-01」に対して、作成したIAM ポリシーが適用されました。

権限の確認

今回の手順では、ユーザーを作成し、そのユーザーに対して、自分で定義したポリシーを直接適用(インラインポリシー)しました。

次に、そのユーザーでログインして、想定通りの権限であるかを確認してみましょう。

IAM 管理コンソールの画面左側メニューから、「ダッシュボード」をクリックします。

「IAM ユーザーのサインインリンク」が表示され、その下にログインに使用するURLが表示されます。これをコピーします。

コピーしたURLをブラウザーに入力してアクセスします。

ログイン画面が表示されます。

作成したユーザー名、そのパスワード入力してログインします。

ログインすると、画面右上に、ログイン中のユーザー名が表示されます。「User-01」になってますね。

EC2の管理コンソールにアクセスします。

画面左側メニューの「インスタンス」をクリックして、インスタンスの管理画面にアクセスします。

テスト様のAmazon Linuxのインスタンスがあるので、これを使ってみます。

「開始」をクリックして、インスタンスを起動します。

インスタンスの起動が始まりました。成功ですね。今回適用しているポリシーでは、EC2の全てのインスタンスに対して、起動と停止は許可しています。

次に、インスタンスを終了してみましょう。このアクションは、ポリシーで許可されていないはずです。

終了保護されているので、終了ができないようです。

ならば、終了保護を解除してみましょう。

「アクション」から、「終了保護の変更」をクリックします。

「はい」をクリックして、終了保護を無効化します。

エラーとなり、終了保護の解除ができません。

EC2インスタンスに対して、終了の権限がないためですね。

ここで思いました。

Rootユーザーならば、終了保護を外すことができるので、これを外した後では、どの様になるのだろう?

早速、試してみましょう。Rootユーザーでログインして、先ほどのインスタンスの終了保護を外してみます。

Rootユーザーでログインしています。

「はい」をクリックし、終了保護を無効化します。

インスタンスの終了保護が無効化されましたので、先ほどのUser-01で、再度ログインします。

User-01でログインしました。再度、インスタンスの終了を行ってみます。

終了エラーとなり、終了させられません。

権限がないことが検証できましたね。

IAM グループの作成

次は、IAM グループを作成してみましょう。

前回までの手順では、IAM ユーザーに、IAM ポリシーを直接割り当てる、インラインポリシーで行いましたが、今回は、IAM グループを作成し、IAM ポリシーはグループに割り当て、IAM ユーザーを、そのグループに所属させるという方法を行います。

IAM の管理コンソールの画面左側メニューから、「グループ」をクリックします。

「新しいグループの作成」をクリックします。

グループ名の設定画面が表示されます。

グループ名を入力します。

「次のステップ」をクリックします。

ポリシーのアタッチ画面が表示されます。

「ポリシーフィルタ」から、「カスタマー管理ポリシー」を選択します。

ポシリーのアタッチ画面が表示されます。

ポリシー名のところに、先ほど作成したポリシーが表示されますので、適用したいポリシーを選択します。

確認画面が表示されますので、設定内容を確認します。

画面下部の「グループの作成」をクリックします。

グループが作成されました。

次に、作成したグループに、ユーザーを所属させてみます。

追加したいグループ名を選択し、「グループのアクション」から「グループにユーザーを追加」を選択します。

ユーザー名の一覧が表示されます。

追加したいユーザーを選択します。

画面下部の「ユーザーの追加」をクリックします。

グループ名の隣が、そのグループに所属しているユーザーの数になります。User-01を所属させましたので1になりましたね。

これで、IAM ポリシーをIAM グループに適用し、IAM ユーザーはグループに所属するという形ができました。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)
カテゴリー
未分類

沙巴登陆高日本1,清酒适合从茨城

我介绍给一个朋友,我了解到有清酒,适合牡蛎。有清酒和烧酒。

烧酒:SABA de CHU
清酒: SABA de SHU

据说,这是为"让牡蛎吃得更美味"而酿造的清酒。它是由茨城县的Kashiwa大国,拥有日本最好的风筝。

茨城县是日本最好的炸鱼!"萨巴德什"是专门为鲑鱼从茨城县的吉久保清酒酿造厂发行的。

吉久保酒造

他们说它适合牡蛎,但有什么?我买了它的感觉。它很有趣,我有点感兴趣。

这次我买了烧酒。

瓶子上写着利酒。你失败了,你太甜了?我有点后悔。

我买了它,我想暂时,当我喝一口,它尝了一点柠檬的味道。说没有甜味,你会撒谎,但是没有甜酒的印象。

很快,我在家里做了一个罐子,所以我用牡蛎试了一下。

一口米索拉炖鲑鱼,然后尝试喝SABA de Chu,它肯定适合!与第一次尝试不同。

还有一口米索炖鲑鱼。喝完SABA de Chu后,在米索煮味精后,味道更美味。

我在这里认为,适合这种清酒的清酒不是单独完成的,而是与清酒一起形成,并且第一次成为成品形式。

接下来,我尝试了寿司。简单地说,由于没有味蕾的味道,我觉得我也许能享受更多的牡蛎味。

也一口SABA德楚。和一口寿司。

它很好吃,但个人印象是,牡蛎的味精煮沸比寿司牡蛎更适合。

似乎适合哪种牡蛎菜肴取决于个人喜好,但我觉得它适合牡蛎是正确。

接下来,我想尝试"SABA de SHU",这是清酒。

如果你看看在互联网上的评论,这种清酒是有点辛辣。我喜欢干清酒,但对我来说,这是一个批次。

下次我尝试的时候,我想是清酒和牡蛎的盐烤。

这一次介绍的"适合清酒的清酒"可以从以下链接购买。来试试吧!

SABA de SHU 萨巴德什 720ml

价格: 1,162
日元 (2020/9/13 12:08)
印象 (1)

茨城县明里酒株式会社 SABA de CHU 720ml

价格:1,518
日元(2020/9/13 12:10)
印象(0份)

カテゴリー
未分類

Saba landing high japan's best, Ibaraki departure sake to match the salmon (saba)

I was introduced from a friend and learned about the existence of sake that is good for salmon (saba).There are sake and shochu.

Shochu: SABA de CHU
Sake: SABA de SHU

It seems to be a sake made to "eat the salmon (saba) more deliciously".It was made in Ibaraki Prefecture, a large country that boasts the highest landing height of persimmons in Japan.

Ibaraki Prefecture is the best salmon landing high in Japan!"Sabadesh" dedicated to salmon was released from Yoshikubo Brewery in Ibaraki Prefecture.

Yoshikubo Brewery

It's said it's a good fit for a salmon, but what kind of thing is it?I bought it with the feeling.It looks interesting, and I was a little interested in it.

This time, I bought shochu.

The bottle says "Liqueur".You failed, are you sweet?I regretted it a little.

I thought for the time being, and when I drank a bite, it tasted a little lemon.It would be a lie to say that there is no sweetness, but there is no impression that it is sweet sake.

Immediately, there was a can (simmered in miso) in my house, so I tried it with the salmon (saba).

If you take a bite of boiled salmon in miso and then drink SABA de Chu, it will surely fit!You feel a different taste from the first trial only bite.

Then, I tried the salmon (saba) in miso for another bite.The miso stew of the salmon after drinking SABA de Chu also feels even more delicious.

I thought here that sake that is good for this sake is not completed by this sake alone, but it is not completed by this sake alone, but it becomes a complete form for the first time together with the salmon.

Next, I also tried Sme-don.Simply, because there is no taste of miso, I feel that I can enjoy the taste of salmon (saba) more.

I also take a bite of SABA de Chu.And a bite of shime-saba.

It's delicious, but my personal impression is that boil salmon in miso is better match than Shime-saba.

It seems that it depends on the individual's taste, but I feel that it is right that it is good for the salmon.

Next, I would like to try "SABA de SHU" for sake.

Looking at the comments on the Internet, this sake seems to be a little dry.It would be perfect for me because I like dry sake.

The next time I want to try the sake with grilled salmon (saba) with salt.

The "Sake that matchs the salmon" introduced this time can be purchased from the link below.By all means, please try!

SABA de SHU Sabadesh 720ml

Price: 1,162
yen (as of 2020/9/13 12:08)
(1 case)

Ibaraki Prefecture Akitoshi Liquor Co., Ltd. SABA de CHU 720ml

Price: 1,518
yen (as of 2020/9/13 12:10)
(0 items)

カテゴリー
2020年 おすすめ販売 料理 日本酒 焼酎

サバ水揚げ高日本一・茨城発 鯖に合う酒


にほんブログ村

友人に紹介され、「鯖に合う酒」の存在を知りました。日本酒と焼酎があります。

焼酎:SABA de CHU

日本酒:SABA de SHU

鯖をより美味しく食べてもらう」ために作られた酒だそうです。鯖の水揚げ高日本一を誇る、鯖大国の茨城県で作られました。

茨城県は鯖の水揚げ高日本一!そんな茨城県の吉久保酒造から鯖専用の「サバデシュ」が発売されました。

吉久保酒造

鯖に合うとは言うけど、どんなもんだろう?という感じで買ってみました。面白そうだし、ちょっと興味あったので。

今回、私の買ったのは焼酎の方です。

瓶にはリキュールと書いてあります。失敗したな、甘いのかな?とちょっと後悔しました。

せっかく買ったのだし、とりあえずと思い、一口飲んでみると、ほんのりレモンの味。甘さがないと言えば嘘になりますが、甘い酒という印象はないです。

早速、鯖缶(味噌煮)が家にあったので、鯖と一緒に試してみました。

鯖の味噌煮を一口、その後にSABA de Chuを飲んでみると、確かに合う!最初の試しのみの一口とは違う味が感じられます。

そして鯖の味噌煮をもう一口。SABA de Chuを飲んだ後の鯖の味噌煮も、さらに美味しく感じられます。

ここで思ったのですが、この鯖に合う酒というのは、この酒単体で完成ではなく、鯖と一緒になって、初めて完成形になるのだなということです。

次に、しめ鯖でも試してみました。単に、味噌の味がないので、もっと鯖の味を楽しめられるかなという感じで。

またSABA de Chuを一口。そしてしめ鯖を一口。

美味しいのだけど、しめ鯖よりも、鯖の味噌煮の方が合うなというのが個人的感想です。

どの鯖料理に合うかは、個人の好み次第になりそうですが、鯖に合うというのはその通りだなと感じます。

次は、日本酒の方の「SABA de SHU」も、試してみたいと思います。

インターネット上のコメントを見ていると、この日本酒はちょい辛口らしいです。辛口の日本酒が好きな私にはバッチリです。

次に試す時は、日本酒と鯖の塩焼きかなと思ってます。

今回ご紹介しました「鯖に合う酒」は、以下のリンクからご購入頂けます。是非、お試しください!

SABA de SHU サバデシュ 720ml

価格:1,162円
(2020/9/13 12:08時点)
感想(1件)

茨城県 明利酒類株式会社 SABA de CHU(さばでちゅう) 720ml

価格:1,518円
(2020/9/13 12:10時点)
感想(0件)

おすすめ

関連する記事:

最近の記事:

カテゴリー
2020年 おもしろ 悲劇 趣味

屈辱的な服装は全裸に勝る

見ていると思わずプッとしてしまう言葉やイラストがプリントされたTシャツがある。

ツボを付いた一言や、ブランドのパロディ、遊び心満載のデザインが売りのいわゆる『おもしろTシャツ』だ。

これらのTシャツはそれを着ているだけで、笑いを取れたり個性を主張したりできる。

だが、中にはそれを着ているだけで痛い奴だと思われ、好奇の視線にさらされてしまうTシャツがある。

ただし、アニメのキャラが描かれたようなのは俗に言うその名もずばり『痛Tシャツ』であり、

ある意味確信犯的で、着用する者はある程度の気概と覚悟を持って着ていると信ずる。

私が問題にしたいのは上記『痛Tシャツ』ではなく、本当に痛いTシャツである。

わざとではないのかもしれないが、そういったTシャツは着用してしまった者を結果的に好奇の視線にさらし、公衆の嘲笑を誘うという未必の悪意が込められているとしか思えない。

だが、私は『I LOVE NY』を超越する痛さのTシャツを着て街を歩いてしまったことがある。

それも、何度もだ。

そのTシャツはおそらく他人から譲られたものだったと記憶するが、今から思えば、黒地に何やら白い英字が胸の部分にプリントされていたのを一切確認せずに着用し続けていた私も悪い。

ある休日、そのTシャツを着て新宿に行って散々歩き回った後で駅のトイレで手を洗っている時だった。

鏡に映る自分の姿が目に入って、Tシャツに何が書かれているか初めて気づいたのだ。

SEXY BOY
SEXY BOYだぞ、セクシーボーイ!!

地味に、そしてそこはかとなく痛々しくないか!?

たったアルファベット七文字なのになぜ気づかなかったんだろう!!

そういえば、これを着用して街に出た時、

すれ違った通行人に笑われたような気がしたことがしばしばあった。

そりゃ笑うだろう、私はその時すでに30代後半だったのだ。

メタボが進行した中年男がセクシーボーイと書かれたTシャツを着て繁華街を歩く姿は、

さぞかし滑稽かつシュールなスペクタクルであったことだろう。

何度もこれを着て繁華街を歩いていたから、無数の人間に笑われていたに違いない。

自分の不注意ぶりとアホさ加減にも腹が立ったが、このTシャツをデザインして販売した奴のセンスの悪さはテロ行為に等しいと思う。

電車に飛び込もうかと思い詰めるくらいの屈辱だったが、はやまったマネは思いとどまり、私は全速力で帰宅する道を選んだ。

電車を待ってる時も乗った後も、ブラジャーを取られた女性のように胸の部分で不自然な腕組みをして、ずっと前かがみ気味になっていた。

上京してからもう二十年近くたつが、あれほど新宿から自宅までの距離を長く感じたことはない。

私は帰宅後、セクシーボーイTシャツをすぐさま破棄したが、今まで不特定多数に嘲笑されていたであろうことを思うと、

ショックのあまりしばらく立ち直ることができなかった

今から思えばあのセクシーボーイTシャツは、始めから純粋にウケを狙った『おもしろTシャツ』の一種だったのかもしれない。

だが通行人たちは面白かったかもしれないが、私自身は断固面白くなかった

『おもしろTシャツ』を着る意義とは、他人も自分も面白くあってこそではなかろうか。

「Tシャツ選びは慎重に」という鉄の教訓を生涯心に刻んだ私の醜態を、他山の岩としていただければ幸いである。

パロディ tシャツ おもしろ tシャツ OSSAN(おっさん) Tシャツ 人気 ギャグ しゃれ ネタ ジョーク ギフト プレゼント メンズ レディース キッズ 半袖 綿100%

価格:2,750円
(2020/9/12 13:27時点)
感想(23件)

■ひじきTシャツ■漢字Tシャツ■面白Tシャツ■綿100%■サイズ S~4L■ホワイト/ブラック/レッド/ブルー■面白いTシャツ■おもしろTシャツ■大きいサイズ■半袖■居酒屋

価格:2,200円
(2020/9/12 13:31時点)
感想(0件)

KOUFUKUYA おもしろ漢字Tシャツ「神」 男女兼用 オールシーズン 綿100% 全4色 140cm-160cm/S-XL 某ユーチューバーも愛用のティーシャツ ka02-09 送料込 送料無料

価格:2,490円
(2020/9/12 13:33時点)
感想(31件)

関連する記事:

最近の記事: