JAWS-UG朝会 #24
今回は朝会の前にご飯食べて準備するぐらい早起きできました。
セッション
セッション① EC2 の起動するインスタンスタイプを制限する方法
株式会社サーバーワークス 小倉 大さん
www.slideshare.net
AWS Service Catalog
- ポートフォリオから AWS サービスを起動
- 制限かけるとリスクを最小化できる
- CFn テンプレートから Service Catalog を通じてデプロイ
- 「制約」メニューで制限をかける
- インスタンスタイプを限定できる
IAM ポリシー
"Resource": "arn:aws:ec2:*:*:instance/*"Conditionで制限ec2:InstanceTypeを限定する
AWS Config
- AWS リソースの設定を評価、変更管理できる
desired-instance-typeを追加する- パラメータの値のインスタンスタイプで限定する
- 警告が出るだけで起動できる
- 修復アクションで、ターミネートしてしまう
- Systems Manager オートメーションで削除
- パラメータの値のインスタンスタイプで限定する
セッション② 利用するリージョンを限定しよう 〜 「おひとりさまOrganizationsのススメ」
利用するリージョンを限定したい
- 2019/05/05 香港リージョンGA
- 新リージョンはデフォルト無効
- 既存リージョンはオフにできない
- Organizations のポリシー(SCP)を利用
- 子アカウントなら root も制約可能
- 組織ツリーを作り、SCP アタッチ
SCP で限定する
- グローバルサービスは許可
- 利用しているリージョンのみ許可
AWS: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する より
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideRequestedRegions",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
LT① AppSyncに全集中!subscriptionでハマったところ
北海道テレビ放送株式会社 三浦 一樹さん
ライブコマース
- 動画見ながらお買い物サイト
- 動画に合わせて商品を切り替えたい
- AppSync で実現
- GraphQL のマネージドサービス
- Subscription で WebSocket 貼れる
- これを利用して再読み込み無しで更新させる
クォータは事前に確認しよう
- AppSync の Subscription をきっかけの全ユーザーに Query
- GraphQL API のスロットル 1000/s
- Subscription はセッション貼るときに消費されるので問題なし
- WebSocket 貼ってる数が多いとクォータにかかる
- GraphQL API のスロットル 1000/s
回避策
- AppSync 上限緩和...DynamoDB の制限にかかりそうなので根本解決できず
- APIG + Lambda + DynamoDB で再実装
- Subscription で振ってくるデータだけで表示変更
- これがあるべき姿
LT② ユーザ企業所属の初学者による「AWS認定のすゝめ」
小林未来さん
- テレワーク環境構築で Workspaces と Site to Site VPN 作成
- AWS 認定勉強
- ベストプラクティスを知るため
- 自信を持ってPJ推進したかった
- まとめ
- きちんと利用するきっかけになる
- ユースケース学習ができ新ビジネスの足掛かりに
- ユーザー企業が自走するきっかけに
所感
「ユーザー企業だから資格不要かー」という考えは甘えだと思い知らされました...
ベストプラクティス知るにはいい勉強になるのは確かですね。
プロフェッショナルの3時間試験と落ちた時に金額的にも痛くてチャレンジできずにいます。
他にも思うところはあるけど、仕事が始まっちゃうのでまたの機会に。
