カテゴリー: 2020年

カテゴリー
2020年 Linux LPIC コマンド コンピューター トラブルシューティング 技術一般 認定資格

Linux の基本コマンドが変更されて困った

2020年09月27日作成

Linux って、コマンド操作が多いのですが、コマンドが変わりましたね。例えば、「ifconfig」で各インターフェースに割り当てられている IP アドレスが見られたのですが、これは「ip address」に変わってます。

これくらいなら、大きな問題にはならないのですが、「nmcli」という Network Service コマンドになると、もうさぱりです。何だたっけ?と、インターネットでその都度調べないと使えません。

私は古いコマンドで Linux を使っていた人ですが、5 年くらい前に対応していたある案件で、久しぶりに Linux を触った時に、「え、何これ?」って感じでした。確か、その時に触ったのが、CentOS 7 だったと思います。

最近は、自宅での動作確認で使用している仮想環境や AWS などのパブリッククラウド上で、Linux を再びよく使うようになりました。やはり、何らかのサーバーを作る際に、Windows よりも Linux が便利である面は多いです。

そこで、迷って Linux のコマンドを確認したい時にすぐに見られるように、ちょっとまとめておこうと思いました。

IP コマンド

オブジェクト省略形    説明
addr aIP アドレスの設定や確認します
link lネットワークデバイスの設定や確認します
route rルーティングテーブルの設定や確認します
neighbor nARP キャッシュの表示します
addr のコマンド省略形    説明
show s指定したデバイスのみのIP アドレス情報を表示します
add aIP アドレスの追加します
del dIP アドレスの削除します

IP アドレスの表示

ip addr / ip a

全てのデバイスの IP アドレス情報を一覧で表示します。

ip addr show <device-name>

デバイス名を指定し、特定のデバイスに割り当てられた IP アドレスの情報を表示します。

以下の例では、ens33 を指定して表示しています。

以下の例では、Loopback インターフェースを指定して表示しています。

IP アドレスの追加と削除

ip addr add <ip-address>/<prefix> dev <device-name>

dev でデバイス名を指定し、指定したデバイスに対して、IP アドレスを追加します。

以下の例では、ens33を指定して、IP アドレスをマニュアルにて設定しています。

ip a で表示してみると、指定した IP アドレスが設定されていますね。

ただ、上書きされると思っていたのですが、追加されるみたいです。これは気をつけないといけない点です。

ip addr del <ip-address>/<prefix> dev <device-name>

dev でデバイス名を指定し、指定したデバイスに対して、IP アドレスの削除を行います。

以下の例では、ens33を指定して、IP アドレスを削除しています。

ip a で表示してみると、指定した IP アドレスが削除されていますね。

疎通確認コマンド

疏通確認

ping

ping は非常によく使用する疏通確認コマンドですが、さすがにこれは変わってませんね。

経路確認

traceroute

宛先ホストに到達するまでの経路情報を表示します。

オプション説明
-UUDP パケットを送信すします(デフォルト)
-IICMP パケットを送信します

Linux の traceroute って、Cisco 機器と同じ様に、デフォルトは UDP なんですね。Windows と同じく ICMP を使っていると思ってました。オプションで切り替えられるのは便利ですね。

以下の例では、Google DNS である「8.8.8.8」に対して、Traceroute を打ってみました。

ついでに、Linux のTraceroute のデフォルトがUDP であることも確かめてみようと思い、隣で動かしているWindows マシンで、Wiresharkを取って見てみました。確かにUDP を使っていますね。TTL exceed などの応答は、ICMP を使うんですね。

「-I 」オプションも試してみましょう。今度はICMPを使ってTraceroute を打つはずです。

Wireshark でパケット見てみると、UDP はなくなり、ICMP のみ見えています。

IPv6 の環境では、traceroute6 コマンドを使用します。

tracepath

宛先ホストに到達するまでの経路情報を表示します。traceroute との違いは、PMTU (Path MTU)を表示できるという点です。

以下の例では、Google DNS である「8.8.8.8」に対して、Tracepath を打ってみました。PMTU の値が表示されていますね。

これもついでに、パケットキャプチャを見てみました。UDP を使っていますね。

ちなみに、私が先日受講した Linux のオンライン講義では、「ICMP を使う」と言っていましたが、実際に見てみるとICMP ではなくUDP を使っています。ここにもそう書いてありますね。

やはり、実機でちゃんと見てみるというのは重要ですね!

ルーティングコマンド

経路情報の確認

ip route

経路情報(ルーティングテーブル)を表示します。昔からの「netstat -r」は非推奨になってしまったみたいです。

以下の例が、ip route の出力結果です。1行しかなく、非常にシンプルですが、NIC が1つでスタティックルートも使っていませんので、PC として使っていれば大体こんなものでしょう。

でも、デフォルトゲートウェイは、どうやって確認しましょうか?

route -n コマンドを使えば良いみたいですね。先日の講義で、route コマンドも非推奨だという話を聞きましたが、インターネットでいろいろ調べてみた限り、そのようなことはなさそうです。とりあえず、デフォルトゲートウェイの確認には、このコマンドを使っておきましょう。

経路情報の追加と削除

オプション説明
addルーティングテーブルに、経路情報を追加します
delルーティングテーブルから、経路情報を削除します
経路情報の追加
ip route add <dest-network> via <gw-ip-addr> dev <device-name>

dev でデバイス名を指定し、ルーティングテーブルに経路情報を追加します。

以下の例が、「10.10.10.0 /24」ネットワーク向けのネクトホップを「192.168.45.2」に設定した出力です。

route -n コマンドでも、追加した経路が見られますね。と言うか、初めから route -n お使っていた方が早い気がしてきました。デフォルトゲートウェイも見られますし。

経路情報の削除
ip route del <dest-network>

ip route del <dest-network> via <gw-ip-addr> dev <device-name>

ルーティングテーブルから、指定した経路情報を削除します。

dev でデバイス名を指定し、特定のデバイスに関連付いているルーティングテーブルに経路情報を削除することもできます。

以下の例が、「10.10.10.0 /24」ネットワーク向けのネクトホップを「192.168.45.2」に設定した経路情報を削除した出力です。

ホスト名の設定

このコマンドは変更された訳ではないですが、個人的に思い出せないことが多いのでメモしておきます。

ホスト名の表示

ホスト名は、/etc/hostnameファイルの中に記載されています。

ホスト名の表示には、hostname コマンドで表示するのと、cat /etc/hostnameとホスト名ファイルを表示する方法があります。

ホスト名の変更

ホスト名の変更には、hostnamectl コマンドを使用します。set-hostname の後に hostnameファルを指定して、ホスト名を変更します。

DNS の設定

DNS で使用するネームサーバーは、/etc/resolve.conf ファイルの中に記載されています。

ネームサーバーの表示

Cat コマンドで、上記ファイルを指定して、内容を表示させます。

ネームサーバーの追加・変更

ネームサーバーは上記ファイルの記載されていますので、vi などのエディターを使って編集すれば、追加・変更が可能です。

ついでに vi エディターですが、最低限のこれくらい知っておけば、とりあえず使えます。

  • i で入力モード
  • ESC ボタンを押して、コマンドモード
  • :wq で保存して終了
  • :q! で終了

NMCLI コマンドは、まだ下書きです。時間のある時に修正していきます。

nmcli コマンド

オブジェクトコマンド説明
なしデバイスの情報を一覧表示
deviceshow <device-name>指定したデバイスの情報のみを表示
connectionshow <connection-name>接続情報を表示
modify <connection-name> <parameter>指定した接続を設定
up <connection-name>接続を有効化
down <connection-name>接続を無効化

IP アドレスの表示

nmcli

各デバイスの IP アドレス情報を表示します。

nmcli show <device-name>

指定したデバイスの IP アドレス情報のみを表示します。

IP アドレスの変更

nmcli connection modify <conn.-name> ipv4.method manual ipv4.addresses <ip-address> / <prefix>

コネクション名を指定して、IP アドレスを設定します。

コネクションの有効化・無効化

nmcli connection up <conn.-name>

設定を反映させるために、コネクションを UP にします。

nmcli connection down <conn.-name>

コネクションを Down させます。

デフォルトデートウェイの設定

nmcli connection modify <conn.-name> ipv4.gateway <default-gw-ip-address>

指定したコネクションに対して、デフオルトゲートウェイを設定します。

nmcli connection modify <conn.-name> ipv4.dns <dns-ip-address>

指定したコネクションの参照先 DNS サーバーのアドレスを設定します。

これを覚えておくと、ちょっと便利です。

IP アドレス、デフォルトゲートウェイ、DNS サーバーのアドレスは、セットで設定することが多い項目です。この様にコマンドを組み合わせることで、これら3つの項目が一度に設定ができます。

nmcli connection modify <conn.-name> ipv4.method manual ipv4.addresses <ip-address> / <prefix> ipv4.gateway <default-gw-ip-addr> ipv4.dns <dns-ip-addr>

これはたまに使うなと思うコマンドあれば、今後も追記して更新していきたいと思います。

関連する記事:

最近の記事:

カテゴリー
2020年 昭和 本・雑誌 歴史

日本の仏師:仏師・円空が刻んだ祈りと芸術の軌跡

プロフェッショナルとは何ぞや?

その道の専門家にして、その分野の技術と知識、経験を生かすことによって報酬を得ている者を指すというのが一般的なところだろうか?

私は憚りながらそれにもう一つ定義を加えたいと思う。

それは「その分野において自分でも頑張ればできるようになると一般人に決して思わせない、神々しいまでの圧倒的技量を有した者」ということだ。

だからこそ、一般人はプロフェッショナルに敬意を払って少なくない報酬を払うのだ。

また、そうあるべきだと思う。

江戸時代前期、円空という僧侶がいた。

円空はその出生地の岐阜県内では特に有名な人物で、名前の通り僧侶だが同時に仏師でもあり、「円空仏」と呼ばれる独特の作風の仏像を多数彫ったことで知られている。

円空の彫った仏像の特徴は簡素化されたデザインで、その素朴でゴツゴツとした野性味に溢れた刀法でありながら、見る者を思わずほっこりさせる微笑をたたえていることだ。

遊行僧として北海道から畿内に渡る範囲を行脚し、その生涯で約12万体の仏像を彫ったとされる円空の作品「円空仏」は、出身地の岐阜県と隣の愛知県を中心に全国各地に約5300体以上現存している。

岐阜県を中心に、その温かみのある個性的な作風は今でも根強い人気があり、円空の作風をまねた円空彫りで仏像を制作する「円空会」のような団体もいくつか存在する。

岐阜県で生まれ育ち、幼いころからことあるごとに「円空仏」を目にしていた私は東京在住の現在、「円空仏」を見ると郷愁に駆られる。

そして同時に、かねてよりこんな不埒な思いを抱いていたことを告白する。

「この程度なら俺でも彫れそうだ」

あまりにも不遜すぎて岐阜県では禁句ですらあるが、公然の秘密というやつだろう。

同じ思いを抱いた者は円空の生前から2020年の現代まで通算で最低数十万人はいたはずだ。

確かに円空の彫る仏像は独特でえもいわれぬ優しい笑みをたたえているとかなんとか評価されているが、ぱっと見で彫り方が大雑把すぎるのだ。

はっきり言って素人っぽい

本気出せばできる気がしてしまうのだ。

ピカソとかゴッホはその気になれば素人には真似できない写実的な絵が描けるが、円空がその気になった作品を見たことがない。 生涯で12万体仏像を彫ったんならもっと上達しろよ、と言いたくなる私は罰当たりが過ぎるだろうか?

とにかく数を彫ることが目的で出来栄えには責任を負わなかったとしか思えず、そんな円空を、私は密かに「日本史上最も高名な粗製乱造者」と呼んだこともある。

私自身が前衛的な美術作品より写実的かつ迫真に迫った作品を好む傾向があるからかもしれないが、芸術作品はその発想力や表現力の前に、それを具現化するための技量も重要だと思う。

ミケランジェロとかのルネッサンス時代の巨匠なら仏像を作らせてもそれなりのものを作っただろうが、「円空のビーナス」や「円空彫りのダビデ像」はヨーロッパ文明への冒涜でしかない有様になるであろう。

もっとも、円空が仏像を彫る目的は「困っている人々を救う」ことであり、それらの人々のよりどころとなるような仏像を各地で彫り続けていたようだ。

より多くの人を救うにはたくさん彫らなければならず、そんなに時間をかけてこだわっている場合ではなかった事情もあった。

だが、彫ってもらった人々の中には「うわ、下手っ!」とか思った辛辣な恩知らずも結構いたと思う。

先ほどのプロフェッショナルの話に戻るが、私の定義から言えばやはり円空は仏師の分野において生涯アマチュアだったと断定せざるを得ない。

だいたい円空会なる円空の作風を真似ようとする人々の団体が複数存在すること自体、円空の仏師としての技量の程度を物語っているのではなかろうか?

また、同じ仏師でも運慶などはその作品のフィギュアがネットなどで販売されてるのに、私の探したところ円空仏のフィギュアは見当たらない。

運慶とかの作品を真似しようとする気が一般人に起きることはめったにないが、円空仏は自分で作れそうだもの。

つまりアマチュアにナメられている。

もう手遅れかもしれないが、円空会内外の武闘派円空愛好者が私を殺しに来るかもしれないので、円空の仏師としてのレベルについてディスるのはこれくらいにしておこう。

そうは言っても、そもそも私は円空の功績を貶めるつもりは全くない。

彼は仏師である前に宗教家たる僧侶であり、衆生を救うということこそ本分だった。

史実に残る通り円空はそれを実行にうつし、諸国を行脚して仏像を彫り続けたというその行為自体はまさに素人には真似できないことであるはずだ。

そして江戸時代前期のアマチュアレベルの仏像が三百年以上後でも5300体以上現存していることこそ、彼の宗教家としてのレベル、つまり徳の高さを物語っているのではないだろうか。

実際の彼自身は決しておろそかにできない人物であって、その人物が彫った仏像だから無下にはできないと思った人が相当数いなかったら、とっくに薪にされていたはずだからだ。

また、円空の彫った仏像はその人柄が出ていて、円空仏を見るたびに人々は円空を思い出したことだろう。

また円空に会ったことがない我々でも、何となく人となりが分かるようような気がしてこないだろうか?

きっと「いい人」とかいうレベルじゃなくて、仏様に近いかそのものの人物だったんではないかと。

円空彫りを真似ることはできても、生き方まで真似できる人はそうそういない。

円空は仏師としてはアマチュアだったが、僧侶としては疑うことなく最高のプロフェッショナルだったのだ。

今回、ご紹介しました円空についての書籍は、以下のリンクからご購入頂けます。

円空彫のすすめ新装改訂版 [ 三輪年朗 ]

価格:4,180円
(2020/9/26 11:01時点)
感想(2件)

【送料無料】 円空仏 Enku Butsu The Extraordinary Sculptures of Japan / 中村真 (Book) 【本】

価格:2,750円
(2020/9/26 11:03時点)
感想(0件)

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate PaaS クラウド コンピューター サーバレス 技術一般 認定資格

AWS を学ぶ(21)Elastic Beanstalk って何だろう?


にほんブログ村

AWS Elastic Beanstalk (以下、Elastic Beanstalk)は、アプリケーションを実行するインフラを学習することなく、AWS でアプリケーションを素早くディプロイ、管理できます。これにより、管理の複雑さを激減させることが可能となります。

つまり、PaaS(Platform as a Service) ですね。

ユーザーは、アプリケーションをアップロードするだけです。あとは、AWS 側で、Elastic Beanstalk が自動的に、容量のプロビジョニング、負荷分散、拡張、及びアプリケーションの状態のモニタリングを処理します。

つまり、ユーザーは、アプリケーション開発にのみ集中し、インフラの方はAWSに任せてしまうということです。正にクラウドですね。

Elastic Beanstalk は、複数のアプリケーションをサポートしています。

  • Go
  • Java
  • .NET
  • Node.js
  • PHP
  • Python
  • Ruby

アプリケーションをデプロイすると、Elastic Beanstalk は選択されたサポートされるプラットフォームのバージョンをビルドし、複数の AWS リソースをプロビジョニングして、アプリケーションを実行します。

Elastic Beanstalk に関して別途料金が発生することはありません。アプリケーションが使用する基になる AWS リソースに対してのみ支払うだけとなります。

Elastic Beanstalk を使ってみる

Elastic Beanstalkは、便利そうということは分かったのですが、やはりまだピンと来ません。実際に触ってみましょう。

Elastic Beanstalk には、サンプルアプリケーションが用意されています。それを使って試してみましょう。

AWS 管理コンソールの検索メニューから、「Elastic Beanstalk」と入力し、クリックします。

Elastic Beanstalk の管理画面が表示されます。

今すぐ始めるのところの「Create Application」をクリックします。

ウェブアプリケーションの作成画面が表示されます。

アプリケーション名を入力します。

キーも入力します。

プラットフォームは、Tomcat を選択します。そのオプションは、表示されたものをそのまま使います。

画面下部の「アプリケーションの作成」をクリックして、次に進みます。

アプリケーションの作成が始まりました。

完了するまでに、5分くらいかかります。

ログを見ていると、EC2 にインスタンスを作ったり、ELB を作成したり、いろいろしていますね。

アプリケーションの作成が完了しました。

環境名のところに、アプリケーションのアクセス先になるURL が表示されています。それをクリックしてアクセスします。

ブラウザーが開き、サンプルアプリケーションが表示されました。

動作確認成功です。

アプリケーションの作成時に、いろいろとリソースを作成するログが見えましたので、実際に見て見ましょう。

EC2 の画面を見て見ます。インスタンスが新規に作成されてますね。

次に、ELB も見て見ます。ELB が新規で作成されています。

ELB のDNS 名にもアクセスして見ましょう。サンプルアプリケーションの画面が表示されますね。

ELB のターゲットグループも、ちゃんと作成されています。

次に、CLoudFormation を見て見ます。こちらにもスタックが作成されています。

最後に、S3 です。ここにも新規でバケットができています。

必要となるリソースを自動で作成して、アプリケーションを展開するというのは本当ですね。これは素晴らしいです。

先ほどは、サンプルアプリケーションでしたので、今度はサンプルじゃないアプリケーションを動かしてみたくなりました。

しかし、私はコードが書けません。そこで、インターネット上に何かアプリケーションが公開されていないかと探してみたら、ありました!私と同じ様に、Elastic Beanstalk を試してました。それを動かしてみようと思います。

新規でアプリケーションを作成します。

アプリケーション名を入力します。

キーも入力します。

プラットフォームは、先ほどと同じでTomcat です。

そのオプションは、表示されたものをそのまま使ってみましょう。

今回は、アプリケーションを持ち込みますので、「アプリケーションコード」のところは、「コードのアップロード」を選択します。

「ファイルを選択」をクリックして、アプリケーションをアップロードします。

注意点は、アップロードするアプリケーションを圧縮しておく必要があるみたいです。

画面下部の「アプリケーションの作成」をクリックします。

アプリケーションの作成が始まりました。

5分くらいで、アプリケーションの作成が完了しました。

ブラウザーでアクセスしてみましょう。

表示されました。持ち込みアプリケーションでも、動作確認成功です。

Elastic Beanstalk は、アプリケーションのバージョン管理もできるみたいです。

Elastic Beanstalk は、アプリケーション開発者にとって、素晴らしい環境だと思います。自分のアプリケーションを動かすインフラ側の環境は、一切気にすることなく、AWS が自動で作成してくれます。コードを書くことだけに集中できますね。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

AWSに関連する記事:

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 証明書 認定資格

AWS を学ぶ(20)AWS Certificate Manager を使ってみる


にほんブログ村

前回に引き続き、今回も暗号化に関する記事です。

インターネット通信に、暗号化は必須となりました。サーバーとのやり取りの暗号化、そのアクセス先のサーバーの信頼性を確認するために、サーバー証明書が使われています。

その際に利用されるプロトコルが、SSL (Secure Sockets Layer) / TLS (Transport Layer Security) となります。

そこで使用される証明書は、SSL 証明書と呼ばれます。実際に使用されているのは、SSL 3.0 をベースにした後継のプロトコルであるTLSとなります。

SSL 証明書の種類と役割

証明書は、主に以下の2つのために使用されます。

  • 通信経路での安全性の確保
  • 通信している相手が誰であるかの証明

通信経路の安全性の確保は、通信内容を盗聴されない様にすることと、通信内容を改ざんされない様にすることのために使用されます。

通信している相手が誰であるかの証明には、証明局(CA: Certification Authority)を使用し、ここで証明書を発行・管理します。

証明書の種類

証明書には、以下の 4 種類があります。

  1. 自己証明書:自分で証明局を建てて証明書を発行
  2. ドメイン証明(DV):ドメインの所有のみを証明し、組織情報の証明はされない
  3. 組織証明(OV):組織情報を証明
  4. 拡張認証(EV):OV よりも厳しい審査で認証し、アドレスバーに組織名が表示される

Vは「Validation」の略で、DV = Domain Validation、OV = Organization Validation、EV = Extended Validationになります。それぞれのもう少し細かい説明は、ここのページが参考になります。

AWS Certificate Manager

AWS Certification Manager (以下、ACM)は、AWS が証明局となり、DV 証明書を発行するサービスです。

2048ビットRSA鍵と、SHA-256 の SSL/TLS サーバー証明書の「作成と管理」を行います。ACM が発行する証明書の有効期限は13ヶ月となり、自動で更新するという設定も可能となります。

ACM を利用できる対象は、AWS のサービスのみとなりますが、無料で使用できるというメリットがあります。

ACM の初期設定時には、ドメインの所有の確認が必要で、メール送信、またはDNS を利用して確認します。

ACM が利用可能なサービス(2020年9月現在)

  • Elastic Load Balancer (ELB)
  • Amazon CloudFront
  • AWS Elastic Beanstalk
  • Amazon API Gateway

AMC を使ってみる

AWS 管理コンソールの検索テキストボックスに「Certificate Manager」と入力し、Certificate Manager をクリックします。

証明書の管理画面が表示されます。

「証明書のリクエスト」をクリックします。

証明書のリクエスト画面が表示されます。

今回は、EC2 上に稼働させている Web サーバー向けに証明書を発行したいと思います。「パブリック証明書のリクエスト」を選択します。

画面下部の「署名書のリクエスト」をクリックして、次へ進みます。

対象となるドメイン名の指定です。

ドメイン名のところに、EC2 上で稼働させている Web サーバーで使用しているドメイン名を入力します。

画面下部の「次へ」をクリックして、次へ進みます。

証明書の確認方法の選択です。

今回は、自分が管理している Web サーバーで、DNS の方も管理していますので、「DNS の確証」を使います。

画面下部の「次へ」をクリックして、次へ進みます。

タグの設定です。

後から分かりやすい様に、名前を付けておきます。

最終確認です。

今まで設定した内容を確認し、間違いがなければ、画面下部の「確証とリクエスト」をクリックします。

証明書が発行されました。

「DNS の設定をファイルにエクスポート」をクリックし、ファイルをダウンロードしておきます。

画面下部の「続行」をクリックします。

証明書は発行されたのですが、確証状態のところが、「確証保留中」になっています。証明書はまだ使えない状態です。

先ほどダウンロードしたファイルの内容を、DNS (AWS ならRoute 53) 側に設定します。

しばらく時間がかかりますが、確証が完了すると、確証状態が「成功」に変わります。これで、証明書が使える状態になりました。

ちなみにこの記事を表示している Web サーバーも EC2 上にあり、Route 53 やACM を使用しています。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(19)AWS の暗号化サービス

KMS と CloudHSM

機密性の高いデータを扱う際には、暗号化が必要となります。まず、鍵管理サービスです。AWS の鍵管理サービスは 2 種類あります。

  • KMS: Key Management Service
  • CloudHSM: Cloud Hardware Security Module

KMS は、AWS が管理するマネージドサービスです。

CloudHSM は、AWS 内に専用のハードウェアを用意し、これを利用して鍵管理するサービスです。

この2つのサービスの違いは、信頼の起点(Roots of Trust)です。ユーザー自身なのか、AWS に任せるのか、です。

KMS

KMS には、以下の 3 つの API が用意されています。

  • Encrypt: ユーザーデータ暗号化のための API で、4KB までの平文データをサポート
  • Decrypt: ユーザーデータ復号化のための API
  • GenerateDataKey: ユーザーデータの暗号化に利用するカスタマーデータキーを生成
マスターキーとデータキー

KMS では、2 つの鍵を管理しています。

  • マスターキー: Customer Master Key (CMK)
  • データキー: Customer Data Key (CDK)

CMK は、データキー (CDK) を暗号化するために使用される鍵です。ユーザーデータの暗号化には使用されません。

CDK は、ユーザーデータを暗号化するために使用される鍵です。通常は AWS で暗号化されて保存されいますので、ユーザーデータの暗号化や復号化を行う度に、CDK を復号化して使用します。

つまり、CDK でユーザーデータを暗号化し、CMK を使って、 CDK をさらに暗号化します。この手法は、エンベロープ暗号化と呼ばれています。

CloudHSM

CloudHSM は、専用のハードウェアを使用する為、初期コストも月次の固定費も必要となります。大規模なシステム向けや、特定の規制、法令に準拠したい場合に使用されます。

CloudHSM で、FIPS 140-2 のレベル 3 認証済みの HSM を使用して、暗号化キーを管理できます。

上記の様に、CMK とCDK があり、2 段階の鍵構造になっています。この理由は、セキュリティーの向上のためです。

データキーは、S3、EBS、Redshift など、暗号化の対象ごとに作成します。これにより、万が一、鍵の漏洩があった際にも、そのリスク範囲を限定することができます。

そして、データキーをマスターキーで暗号化することにより、実際の運用で使用する機会の多いデータを保護します。マスターキーを集中管理することにより、全体としてのセキュリティーを高めています

クライアントサイドとサーバーサイドの暗号化

暗号化は、クライアントサイドで行うのか、サーバーサイドで行うのかも、常用なポイントとなります。

クライアントサイドの暗号化

クライアントサイドの暗号化は、ユーザー側の処理で行います。AWS が提供するSDKを利用するケースが多いです。EC2やLambdaなどでプログラムで暗号化して、S3などにアップロードするというケースも、クライアントサイドの暗号化となります。

クライアントサイドの暗号化の利点は、暗号化れたデータが転送されますので、経路が暗号化されていなくても、ユーザーデータを保護できるという点です。

クライアント側暗号化には、AES 256 ビットが使用できます。

クライアント側のマスターキーと暗号化されていないデータが AWS に送信されることありません。暗号化キーを安全に管理することが重要です。キーを紛失した場合、データを復号することはできません。

AWS オフィシャルサイト

サーバサイドの暗号化

サーバーサイドの暗号化は、AWS内で行います。サーバーサイドの暗号化は限定されていて、S3などの一部のサービスのみで提供されています。

サーバー側の暗号化は、保管時のデータ暗号化に関するものです。  S3 は、ディスクに書き込まれるときにデータをオブジェクトレベルで暗号化し、ユーザーがデータにアクセスする時に復号します。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

カテゴリー
2020年 AWS AWS Solutions Architect - Associate CDN キャッシュ クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(18)CloudFront を使ってみる

この記事は、日本語で作成し、機械翻訳で外国語に訳しています。

AWS を学んでみる(8)CloudFront ってなんだろうで、CloudFront について調べてみましたが、今回は、CloudFront を実際に使ってみました。

今回の動作確認では、以下のようなイメージで、構成を作ってみます。

(1) の部分が、Web サーバーと ELB、(2) の部分が CloudFront です。

CloudFront を使ってみる

事前準備

まず、(1) の部分を作っていきます。

VPC やサブネットについては、AWS を学ぶ(1)VPC を理解するAWS を学ぶ(2)VPC を作ってみようで説明しています。

EC2 でのインスタンスの起動については、AWS を学ぶ(4)EC2 を理解するAWS を学ぶ(6)EC2 を使ってみようで説明しています。

EC2 上に、Web サーバーを起動させます。インターネットからアクセスできるように、パブリックサブネットに起動させて下さい。

Web サーバーのグローバルアドレスを確認し、ブラウザーに入力して下さい。

Web サーバーのコンテンツが表示されましたね。

次に、ELB を起動させます。

ELB の起動と設定については、AWS を学んでみる(9)ELB を使ってみようで説明しています。

今回は ALB を使ってみます。ターゲットを、ES2 上の Web サーバーで指定しておきます。

ターゲットのステータスが Healthy になりました。

ELB のDNS 名を確認し、それをブラウザーに入力してアクセスします。

Web サーバーのコンテンツが表示されましたね。ELB 経由で Web サーバーへのアクセスも成功です。

CloudFront の起動と設定

AWS 管理コンソールの検索テキストボックスに CloudFront と入力し、CloudFront を選択します。

CloudFront の管理コンソールが表示されます。

「Create Distribution」をクリックします。

今回試したいのは、Web サーバーのコンテンツキャッシュです。上の「Web」の方の「Get Started」をクリックします。

Create Distribution の画面が表示されます。

Origin Settings の中の「Origin Distribution Name」のテキストボックスをクリックし、プルダウンメニューを表示させます。

その中に、先ほどの事前準備で作成した ELB が表示されていますので、それを選択します。

これ以外の設定は、今回は特に変更しません。

画面下部の「Create Distribution」をクリックします。

CloudFront Distributions の画面に戻ります。

Statusのところが、「In Progress」になっているはずです。導入が完了するまでに、10 分くらいかかります。

Status が「Deployed」になりました。これで CloudFront の導入が完了です。

導入が完了した Distribution の「ID」をクリックして、詳細を表示させます。

「Domain Name」の箇所に表示されているのが、CloudFront を使う時のアクセス先になります。

CloudFront のドメイン名を、ブラウザーに入力してアクセスしてみます。

Web サーバーやELB経由の時と同じコンテンツが表示されましたね。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

カテゴリー
2020年 おもしろ ナルシスト 事件簿 悲劇 昭和

レオタード愛好紳士たちへ

この記事は、日本語で作成し、機械翻訳で外国に訳しています。


にほんブログ村

昭和の時代、こんな窃盗事件があった。

昭和X年某月某日、某高等学校の女子新体操部の部室から数万円相当のレオタード数着が盗まれた。

後日、窃盗事件として捜査していた警察は、県内に住む25歳の無職の男Aをこの事件の犯人として逮捕。

同時にAが某高校から盗んだレオタードを押収した。

Aが逮捕されたきっかけは、ある住民からの通報だった。

その住民は、道路わきに駐車した車に乗っていたAを見たとたん「変な人がいる」と警察に連絡したのだが、それはAが車内でレオタードに着替えていたからだ。

駆けつけた警察官に不審者として職務質問されたAは、「何をしているのか」「このレオタードの入手先は」と問い詰められ、自分の犯行を認めざるを得なかった。

着用していたレオタードが、盗難届けの出されていたもの以外の何者でもなかったから、ごまかすことができなかったのだ。

こうしてレオタード泥棒は御用となり、盗まれていたレオタードも正当な持ち主である新体操部員に返還されて事件は解決した。

だが、彼女たちが戻ってきたレオタードをためらうことなく再び着ることができたかどうかまでは報道されていない。(出典―VOW 宝島社)

レオタードは見ていて確かに魅力的だが(私も結構好きだ)、盗難はいかん。

新体操部員たちは決して安くはないレオタードを盗まれ、汚染されてしまった。

犯人のAも、報道の規制が緩かった昭和の時代にこんなことをやらかしたがために新聞で実名をさらされ、人生を棒に振ったはずだ。

最初に断っておくが、完全な加害者であるAを擁護するつもりは毛頭ない。

だが、もしAが平成から令和の時代に生きていたのならば、ひょっとしたらこんな犯行を犯すことはなかったのではないだろうかとも思うのだ。

昭和という、今から思えば多様性を社会が認めたがらなかった時代だからこそ、彼は道を外したのではないか?

それは、最近ネットでこんな商品を見つけたからだ。

商品名『FEESHOW(フィーショー)メンズレオタード』というらしい。

昨今はIiniim(アイム)などの男性用ブラジャーまでもが堂々ネットで売られているのを知って、「まさかレオタードも?」と思って調べたら本当にあったから驚きだ。

色違いのものや、半袖、光沢があるタイプもある。

この欧米人の男性モデルも、まるでスポーツウェアか背広を着ているようにさわやかである。

仕事選べよ

お前はモデルの仕事のために男廃業してるぞ、と言いたくなる。

それはさておき、こんなものがたやすく手に入る今の世だったら、Aは盗みに入ることなく健全にレオタードを嗜めたのではなかろうか?

彼は自分のプライベートスペースで、紳士的かつ情熱的にひとりファッションショーを楽しめるはずだ。

この『FEESHOWメンズレオタード』は写真から見てまごうことなきレオタードで、しかもそれなりに筋肉質な体をした男性モデルが無理なく自然体に着ている。

ということは、日本人の平均的な体格の男性ならばレオタードを痛めることなく着用できるだろう。

現実の女性用のレオタードは女性が着るために設計されたもので、

男性が着用することはむろん想定していない

男性が着ようとすれば、形状やサイズが合わず、着用は困難を極める。

仮に着用に成功したとしても、不必要で過剰な圧迫を受けて、着心地は最悪なはずだ。

それどころか、非使用対象者による不適切な使用にあたるため、レオタードの製品寿命は著しく短縮するであろう。

だが、この製品は男のためのレオタード、メンズレオタードなのだ!

見るだけでは飽き足らず、着用したいと願うレオタード紳士の願望を見事にかなえ得る逸品と言えるであろう。

昭和の時代にこれがあったならば、Aもレオタード獣の窃盗犯に墜ちることなく、救われていたかもしれない。

もっともAが着用済みのものを好む純粋な「中古品嗜好」の持ち主だったら、救いようがなかっただろうが。

最後に一言。

私もレオタードは好きだが、見る専門だ。

その主眼はレオタードを着用した新体操の女性選手そのものにある。

自身が着用したいと思ったことは一切ない。

今回ご紹介しました「Feeshow メンズレオタード」は、以下のリンクからご購入頂けます。みなさんも1着どうでしょうか?

お買い物マラソン <すぐ使える★送料無料クーポン>メンズ レオタード シースルー ボディスーツ ボディウェア インナーウェア レオタード フルバック ノースリーブ メンズランジェリー maru-e23349

価格:1,980円
(2020/9/22 20:54時点)
感想(0件)

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWS を学ぶ(17)CloudWatch を使ってみる

このページは、日本語で作成し、機械翻訳で外国語に変換しています。

今回は、CloudWatch について学んでみます。

例えば、何らかのしきい値を超えたらアラートを出し、Eメールで通知するということは、運用上必要だと思います。

この機能を、CloudWatch は、簡単に提供してくれます。

実際に使ってみることが早いですので使ってみました。

CloudWatch を使ってみる

AWS 管理コンソールにログインします。

検索テキストボックスで、CloudWatch と入力すると、CloudWatch が見つかるので、それをクリックします。

CloudWatch の管理コンソールが表示されます。

画面右側のメニューから、「アラーム」をクリックします。

アラーム設定画面が表示されます。

画面右上の「アラームの作成」をクリックします。

メトリクスの設定画面が表示されます。

「メトリクスの選択」をクリックします。

EBS、EC2、S3 などの項目が表示されます。表示される項目は、実際に使っている環境で異なります。

今回は、EC2 インスタンスに対して、アラームを設定したいと思います。EC2 をクリックします。

「インスタンス別メトリクス」をクリックします。

さまざまなメトリクスが表示されます。

とりあえず、分かりやすく、CPU 使用率でアラートを設定してみましょう。

一覧の中から、「CPU Utilization」をクリックします。

対象となるインスタンス ID が表示されています。これは EC2 の仮想インスタンスのインスタンスIDです。EC2 の管理コンソールも同時に開いて確認しましょう。

私の場合、テスト向けのインスタンスである、TEST-amz-linux があります。これのインスタンス名とインスタンス ID が同じであるかを確認します。

「CPU Utilization」を選択すると、現在の対象インスタンスの CPU 使用率が表示されます。

メトリクスの条件と指定の画面が表示されます。

今回は、CPU 使用率をメトリクスとして使用します。そのメトリクスは、AWS が用意しているので、メトリクス名は、そのまま使います。

今回は、CPU 使用率が 70% を超えたらアラートメールを出すようにしようと思います。「しきい値の種類」は、静的にします。

「より大きい」を選択し、「よりも」の項目で「70」を入力します。

まだトピックがありませんので、「新しいトピック」を選択し、「通知を受け取るEメールエンドポイント」に、メールの送信先になるEメールアドレスを入力します。このEメールアドレスが、アラートメールの受け取り先です。

名前と説明の画面が表示されます。

アラームの名前とその説明を入力します。

「次へ」を押すと、設定が完了します。

アクションのところを見ると、まだ「保留中の確認」になってますね。

先ほどメールの送信先に設定したメールを確認してみましょう。AWS からメールが届いているはずです。

メールの本文中にある「Confirm Subscription」をクリックします。

以下のような画面が表示されるはずです。これで、サブスクリプションは完了です。これからアラートメールが飛んできます。

CloudWatch の管理画面に戻ると、先ほど保留中だったステータス項目が、「確認済み」に変わります。

設定は、これで完了です。

CloudWatch のアラートを確認してみる

では、実際にアラートを発生させてみましょう。

今回設定しているのは、「CPU の使用率が 70% を超えたら、Eメールでアラートを出す」です。

Linux の top コマンドで、現在の CPU 使用率を確認してみます。テスト機を使ってますので、現在の CPU 使用率は 0% です。

top

次に、Linux の yes コマンドを使って、CPU 使用率を上げてみたいと思います。

これは不思議なコマンドです。Null にリダイレクトし続けると、CPU 使用率がどんどん上がっていきます。

yes > /dev/null

これを 4つ か 5つ 繰り返すと、すぐに CPU 使用率が上がります。今回は、5つ 繰り返してみましょう。

yes > /dev/null &
yes > /dev/null &
yes > /dev/null &
yes > /dev/null &
yes > /dev/null &

すぐに CPU 使用率が 99% まで上昇しました。

しかし、CloudWatch の方は、5分間の平均値で表示しています。すぐには結果が反映されませんので、5分から10分くらい待ってみましょう。

CloudWatch 側でも、CPU 使用率の上昇がみられるようになりました。

アラートメールが飛んでいるはずです。

メールボックスを確認してみると、70% のアラートのメールが届いてますね。動作確認は成功です。

今回は、CPU 使用率でアラートメールを飛ばすように設定してみましたが、CloudWatchは、いろいろなメトリクスが用意されています。いろんなアラートを飛ばして、試してみて下さい。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWSを学ぶ(16)IAMについて

AWS Identity and Access Management (IAM) は、AWS リソースへのアクセスを安全に管理するためのサービスです。

IAM は基本的な機能なのですが、非常に重要な機能です。AWS のアカウントを作成したばかりの状態ですと、Root ユーザーのみが作成され、そのユーザーでログインしています。

このRoot ユーザーですが、非常に権限のあるユーザーで、名前の通り、AWS 上のオペレーションを何でも行うことができます。

このアカウント情報が、仮に外部に漏れてしまうと、AWS アカウントが乗っ取られ、何でもできてしまうという危険があります。

これを避けるために、IAM ユーザーを作成し、そのユーザーを使って運用するというのが、ベストプラクティスとなります。

IAM の基本機能

IAM の設定項目として、以下の4つがあります。

IAM ポリシー: 何を許可し、何ができるのかを定義します。例えば、EC2の操作は閲覧と開始、起動のみ許可し、削除は許可しないなどです。

IAM ユーザー: ユーザー名のことです。

IAM グループ: 複数のユーザーをグループ化します。

IAM ロール: 何ができるかを定義するポリシーを指定し、サーバー(仮想インスタンス)に適用します。

これらの設定項目が、それぞれどの様なものなのか見ていきましょう。

IAM ユーザーとIAM ポリシーを作成します。

作成したポリシーを、権限内容に応じて、必要なIAM ユーザーに割り当てます。これで、IAM ユーザーに何ができるかの権限が割り当てられます。これをインラインポリシーと呼びます。

インラインポリシーでも良いのですが、IAM ユーザーの数が増えた場合はどうでしょうか。運用が煩雑になりますよね。権限の許可忘れや、意図しない権限を割り当ててしまったりして、事故に繋がるケースもあり得ます。

これを避けるために、IAM グループを利用します。IAM ポリシーは、IAMグループに割り当てます。そして、IAM ユーザーを、必要なIAM グループに所属させるのです。これにより、運用が楽になります。IAM ユーザーは、所属するグループを変更するだけで、権限内容も変更可能となります。

次に、IAM ロールです。

IAM ロールは、IAM ユーザーに割り当てるのではなく、サーバー(仮想インスタンス)に割り当てます。

IAM ポリシーで、何を許可するのかを定義し、そのIAM ポリシーをIAM ロールに割り当てます。そして、そのIAM ロールをサーバーに割り当てることで、サーバに権限を適用することができます。

IAM を使ってみよう

IAM ポリシーの作成

AWS の管理コンソールにログインし、検索テキストボックスにIAMと入力します。

IAM の管理コンソールに接続します。

左側のメニューから、「ポリシー」をクリックします。

ポリシーの一覧が表示されます。これらは、AWS が用意しているポリシーとなります。

自分で新規にポリシーを作成してみましょう。

「ポリシーのフィルター」をクリックし、表示されるメニューの中から「ユーザーによる管理」をクリックします。

「ポリシーの作成」をクリックします。

「ビジュアルエディタ」のタブの中に、メニューが表示されます。「サービス」をクリックします。

サービスの一覧が表示されます。非常にたくさんのサービスがありますので、検索を使って、使用したいサービスを選択していきます。

まず、EC2を設定してみましょう。検索エキストボックスに、「EC2」と入力します。

EC2関連のサービスのみが表示されますので、「EC2」をクリックします。

実行可能なアクションが表示されます。

リスト:参照系アクション

  • リスト: 表示系のアクション
  • 読み込み: 参照系のアクション
  • タグ付け: タグの追加、削除、編集アクション
  • 書き込み: 書き込み系のアクション
  • アクセス権限の管理: アクセス制御系のアクション

「リスト」をクリックして、表示系アクションの詳細を表示します。

アクションの詳細が表示されます。ここから、具体的に適用したいアクションを細かく選択できます。

今回は、リストは、全てのアクションを選択します。また、読み込みも全てのアクションを選択します。

次に、「書き込み」をクリックします。

書き込み系アクションの一覧が表示されます。今回は、書き込みに関しては、一部のアクションのみを許可してみたいと思います。

アクションはたくさんあるので、CTL+Fで検索すると早いです。

今回許可したいアクションは、EC2インスタンスの起動(StartInstance)と停止(StopInstance)です。それ以外の書き込み系アクションは許可しません。この2つのアクションだけを選択します。

書き込み系アクションで、2つのみが許可されてますね。

次に、アクションの対象の指定です。「リソース」の項目になります。

今回は、「全てのリソース」を選択し、EC2インスタンス全てに対して、上記アクションを適用します。

「リクエスト条件」では、MFA(多要素認証が必要)や、送信元IPアドレスを限定するなどが設定可能となります。

今回はこれらの機能は使用しません。指定せずに進めます。

EC2に対しての権限設定は完了しました。画面の上部に戻り、EC2の横の三角ボタンを押して、詳細画面を閉じます。

再び、サービスの検索に戻ります。

次に、RDSに対するアクションを指定していきます。

検索テキストに「RDS」と入力し、RDS関連のサービス一覧を表示させます。

「アクセスレベル」が表示されます。先ほどのEC2の時と同じ感じで、設定していきます。

表示系と読み込み系の権限は、全て与えます。

書き込み系の権限はですが、今回は何も与えません

次に、「リソース」の右側の三角ボタンをクリックします。

RDSサービスの全てに対して、指定したアクションを適用します。

これで、2つのサービスに対する権限が完成しました。

画面下部の「ポリシーの確認」をクリックします。

ポリシーの確認画面が表示されます。

今、作成したポリシーの名前を入力し、説明のテキストボックスに、そのポリシーの説明を入力します。

最後に、画面下部の「ポリシーの作成」をクリックします。

ポリシーが作成されました。

「ポリシーフィルター」から、実際に見てみましょう。

先ほど作成した、EC2とRDS向けのポリシーが見えますね。

IAM ユーザーの作成

次に、IAM ユーザーを作ってみましょう。

IAM 管理コンソールの左側メニューから、「ユーザー」をクリックします。

「ユーザーを追加」をクリックします。

まず、ユーザー名を入力します。

次に、「アクセスの種類」から、「AWSマネジメントコンソールへのアクセス」を選択します。

次に、「コンソールのパスワード」です。ここには、ログインの際に使用するパスワードを入力します。

最後に、「パスワードのリセットが必要」です。今回はこの機能は使用しませんので、チェックは入れません。

「次のステップ」をクリックします。

アクセス許可の設定画面が表示されます。

今回は、まずはインラインポリシー(IAM ユーザーに直接、IAM ポリシーを割り当てる)を試してみたいと思いますので、「既存のポリシーを直接アタッチ」を選択します。

ポリシーの一覧が表示されます。

「ポリシーのフィルタ」をクリックし、メニューから、「ユーザーによる管理」にチェックを入れます。

先ほど作成したポリシーが表示されますので、ポリシーの名前を選択します。

「次のステップ」をクリックします。

タグの追加画面が表示されます。

タグを入力しておきます。

「次のステップ」をクリックします。

最後に、画面下部の「ユーザーの作成」をクリックします。

ユーザーが作成されました。

これで、作成したユーザー「User-01」に対して、作成したIAM ポリシーが適用されました。

権限の確認

今回の手順では、ユーザーを作成し、そのユーザーに対して、自分で定義したポリシーを直接適用(インラインポリシー)しました。

次に、そのユーザーでログインして、想定通りの権限であるかを確認してみましょう。

IAM 管理コンソールの画面左側メニューから、「ダッシュボード」をクリックします。

「IAM ユーザーのサインインリンク」が表示され、その下にログインに使用するURLが表示されます。これをコピーします。

コピーしたURLをブラウザーに入力してアクセスします。

ログイン画面が表示されます。

作成したユーザー名、そのパスワード入力してログインします。

ログインすると、画面右上に、ログイン中のユーザー名が表示されます。「User-01」になってますね。

EC2の管理コンソールにアクセスします。

画面左側メニューの「インスタンス」をクリックして、インスタンスの管理画面にアクセスします。

テスト様のAmazon Linuxのインスタンスがあるので、これを使ってみます。

「開始」をクリックして、インスタンスを起動します。

インスタンスの起動が始まりました。成功ですね。今回適用しているポリシーでは、EC2の全てのインスタンスに対して、起動と停止は許可しています。

次に、インスタンスを終了してみましょう。このアクションは、ポリシーで許可されていないはずです。

終了保護されているので、終了ができないようです。

ならば、終了保護を解除してみましょう。

「アクション」から、「終了保護の変更」をクリックします。

「はい」をクリックして、終了保護を無効化します。

エラーとなり、終了保護の解除ができません。

EC2インスタンスに対して、終了の権限がないためですね。

ここで思いました。

Rootユーザーならば、終了保護を外すことができるので、これを外した後では、どの様になるのだろう?

早速、試してみましょう。Rootユーザーでログインして、先ほどのインスタンスの終了保護を外してみます。

Rootユーザーでログインしています。

「はい」をクリックし、終了保護を無効化します。

インスタンスの終了保護が無効化されましたので、先ほどのUser-01で、再度ログインします。

User-01でログインしました。再度、インスタンスの終了を行ってみます。

終了エラーとなり、終了させられません。

権限がないことが検証できましたね。

IAM グループの作成

次は、IAM グループを作成してみましょう。

前回までの手順では、IAM ユーザーに、IAM ポリシーを直接割り当てる、インラインポリシーで行いましたが、今回は、IAM グループを作成し、IAM ポリシーはグループに割り当て、IAM ユーザーを、そのグループに所属させるという方法を行います。

IAM の管理コンソールの画面左側メニューから、「グループ」をクリックします。

「新しいグループの作成」をクリックします。

グループ名の設定画面が表示されます。

グループ名を入力します。

「次のステップ」をクリックします。

ポリシーのアタッチ画面が表示されます。

「ポリシーフィルタ」から、「カスタマー管理ポリシー」を選択します。

ポシリーのアタッチ画面が表示されます。

ポリシー名のところに、先ほど作成したポリシーが表示されますので、適用したいポリシーを選択します。

確認画面が表示されますので、設定内容を確認します。

画面下部の「グループの作成」をクリックします。

グループが作成されました。

次に、作成したグループに、ユーザーを所属させてみます。

追加したいグループ名を選択し、「グループのアクション」から「グループにユーザーを追加」を選択します。

ユーザー名の一覧が表示されます。

追加したいユーザーを選択します。

画面下部の「ユーザーの追加」をクリックします。

グループ名の隣が、そのグループに所属しているユーザーの数になります。User-01を所属させましたので1になりましたね。

これで、IAM ポリシーをIAM グループに適用し、IAM ユーザーはグループに所属するという形ができました。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)
カテゴリー
2020年 おすすめ販売 料理 日本酒 焼酎

サバ水揚げ高日本一・茨城発 鯖に合う酒


にほんブログ村

友人に紹介され、「鯖に合う酒」の存在を知りました。日本酒と焼酎があります。

焼酎:SABA de CHU

日本酒:SABA de SHU

鯖をより美味しく食べてもらう」ために作られた酒だそうです。鯖の水揚げ高日本一を誇る、鯖大国の茨城県で作られました。

茨城県は鯖の水揚げ高日本一!そんな茨城県の吉久保酒造から鯖専用の「サバデシュ」が発売されました。

吉久保酒造

鯖に合うとは言うけど、どんなもんだろう?という感じで買ってみました。面白そうだし、ちょっと興味あったので。

今回、私の買ったのは焼酎の方です。

瓶にはリキュールと書いてあります。失敗したな、甘いのかな?とちょっと後悔しました。

せっかく買ったのだし、とりあえずと思い、一口飲んでみると、ほんのりレモンの味。甘さがないと言えば嘘になりますが、甘い酒という印象はないです。

早速、鯖缶(味噌煮)が家にあったので、鯖と一緒に試してみました。

鯖の味噌煮を一口、その後にSABA de Chuを飲んでみると、確かに合う!最初の試しのみの一口とは違う味が感じられます。

そして鯖の味噌煮をもう一口。SABA de Chuを飲んだ後の鯖の味噌煮も、さらに美味しく感じられます。

ここで思ったのですが、この鯖に合う酒というのは、この酒単体で完成ではなく、鯖と一緒になって、初めて完成形になるのだなということです。

次に、しめ鯖でも試してみました。単に、味噌の味がないので、もっと鯖の味を楽しめられるかなという感じで。

またSABA de Chuを一口。そしてしめ鯖を一口。

美味しいのだけど、しめ鯖よりも、鯖の味噌煮の方が合うなというのが個人的感想です。

どの鯖料理に合うかは、個人の好み次第になりそうですが、鯖に合うというのはその通りだなと感じます。

次は、日本酒の方の「SABA de SHU」も、試してみたいと思います。

インターネット上のコメントを見ていると、この日本酒はちょい辛口らしいです。辛口の日本酒が好きな私にはバッチリです。

次に試す時は、日本酒と鯖の塩焼きかなと思ってます。

今回ご紹介しました「鯖に合う酒」は、以下のリンクからご購入頂けます。是非、お試しください!

SABA de SHU サバデシュ 720ml

価格:1,162円
(2020/9/13 12:08時点)
感想(1件)

茨城県 明利酒類株式会社 SABA de CHU(さばでちゅう) 720ml

価格:1,518円
(2020/9/13 12:10時点)
感想(0件)

おすすめ

関連する記事:

最近の記事: