むらじゅん風呂具

ITエンジニアとたまに歌手と司会などで活動する村中淳のブログ

じぶんリリースノート_Ver1.36.12.md

技術・開発関連

読了


買い物

  • JINSのメガネを購入
    MMN-18S-075
    竹細工職人の背景や技法から、インスピレーションを得て開発されたメガネらしい。すんげえかけやすい。


イベント・セミナー


仕事

  • 夜間リリース作業
    やはり翌日が辛い。せめてリモートで自宅で作業できるような環境がいいな


趣味

  • BBTAG
    ちょっと面白くてやりすぎてしまうので時間厳守


Keep

  • ストレッチ
    いまだとやらないと大臀筋あたりが痛んでくるので引き続き実行


Problem

  • リュックが痛んできているのでそろそろ買い換えたい
    Rasicalのユニコンーンが良さそう
    性能とデザイン両方とも気に入ったのでこれにしよう


Try

  • 動くものを作る
    ハードルはめっちゃ低くする

お尻が痛くて悩んでたけど、なぁさんストレッチに助けてもらった

いやね、仕事でも自宅でもPC使ってゴリゴリ作業してたら、
どうにもお尻が痛くなってしまったんですよ。

んで、マッサージにいき、施術してもらったおじちゃんから、
「お客さんね、お尻が凝ってますね」と言われて、お尻が凝ることにちょっと驚いてしまった最近。

さすがに頻繁にマッサージ行くにもお金かかるので、
ツイッターで目にしていたなぁさん@nst_nakataのストレッチ情報を参考に日々地味に身体を動かしていたところ、だいぶマシになりました。

そんななぁさん@nst_nakataさんがストレッチ本を出されて、昨日運良く巡り会えたので購入。

生活の質が感動的に上がる なぁさんの1分極伸びストレッチ

身体、大切にしていこ

この地球上に唯一無二である自分という存在。
まず、自分が自分を愛せるようにしていくのが大切ではなかろうか。
この本を通して僕は深くこのことを理解することができたように思います。(多分)

本にはまずストレッチの3大メリットが記載されております。

1.柔軟性が上がり日常動作が格段にラクになる

筋肉が柔らかくなり柔軟性が上がると、日常の様々な動きが軽快になる

  • 柔軟性の向上には、一時的なものと長期的なものがある
    ストレッチを10~20秒行うことによって、筋肉を伸ばそうとする動きを止める「伸張反射」という身体の働きがなくなる
    血流が良くなり、酸素がめぐることで短期的にいつも以上に伸びる状態になる
    筋肉が長くなる


2.自律神経を整えストレスを解消する

ストレッチをすることで身体をリラックスさせてくれる「副交感神経」が優位になり、心身を落ち着かせてくれる働きがある


3.疲労物質を取り除きコリや痛みを軽減

身体のコリや痛みの多くは、「筋肉が硬くなっている」ことが原因
その筋肉に血管が圧迫されることで血流が悪化
疲労物質となる老廃物などがたまってしまい、コリや痛みといった身体の不調が起こる
ストレッチをすることによって、伸ばした筋肉の血流が良くなり、酸素が巡り、老廃物が流されていき、コリや痛みが解消される


これらのことを踏まえて、以降は各身体の部位の具体的なストレッチ方法に関して記載されてます。
嬉しいのが具体的な症状の例を出して、それに効果があるストレッチを掲載してくれてます。
例えば「かがんだ時の腰痛を解消する」ストレッチが記載されていたりします。

これで見ると、僕のお尻のコリは大臀筋(だいでんきん)ってところが原因みたいです。
「お尻疲れを心地よく解消する」っていう症例で書いててくれてありがたし。

ありがとう!なぁさん!まじ助かった!!

常日頃からツイッター上でストレッチ情報を流してくれるのがほんとうにありがたい。おかげでストレッチ楽しくなってきたもんね。

痛いのが出て来る前にほぐしておきましょ。

生活の質が感動的に上がる なぁさんの1分極伸びストレッチ

とある診断員とSecurity-JAWS でAWSセキュリティを学んできた

先日参加してきたSecurity-JAWSがとっても有意義だったので、
ご紹介します。

connpass.com

今回はScott Piper氏@0xdabbad00がオンラインで公開されている
AWS固有のセキュリティについて学習することができる flaws.cloudというサイトを解説を交えて勉強する回でした。

flaws.cloud


flaws.cloud すごくよくできている

とにかくこのサイトめっちゃよくできます。

権限設定やgitを使用していた場合など、とあるシチューエーションで起こり得るセキュリティ問題がlevel1からlevel6まで用意されており、あれこれと考えて解いて次に進めて、勉強していてとても楽しかった。
ちゃんと解かないと次に進めないようにもなっているのもすんごい。


日本語解説 すごく助かりました

flaws.cloudはすべて英語表記。
サイト上にはヒントも記載されており、
翻訳使えば、ひとりでも解けるようになってます。

この日のために、@tigerszkさんが用意してくださった日本語解説資料が問題の本質を理解するのにすごく助かりました↓

www.slideshare.net

ぼく正直、ヒント見ないと全然解けなかったんですが、
資料も合わせて読み解くことによって実際のシチュエーションを、よりよく想像することができました。

居心地の良い会場、おやつまで提供される手厚いご対応

当日の会場が目黒にあるAmazon Web Services Japan様。
窓から眺めがとってもよく、オシャンティな内装がとても好き。

お昼から夕方までのがっつり講習で、スポンサーのF-Secure様からおやつもご提供されるなど・・・。

もう、感謝しかねえ・・・

とても有意義な回をご提供していただいたSecurity-JAWS 関係のみなさま、 本当に感謝です。
復習と引き続き、勉強に励みたいと思います。

AWSセキュリティにご興味ある方、
おすすめなのでぜひトライしてみましょう!!
僕も時間作ってもう1回やります。

flaws.cloud

www.slideshare.net

Ansibleもくもく会 に参加してきた

11/12 Ansibleもくもく会 に参加してきた。

ansible-users.connpass.com

初めてのもくもく勉強会

connpassなどでよく見ていた「もくもく勉強会」。
ざっくんばらんに言うと以下のような感じ。

  • 場所とサーバ、Wifi などの環境を用意してくれる
  • 講習用テキストがあるので自分ペースで読み進める
  • わからないところは近くのメンターに相談

タイミングが合ったので昨日初参加してきたけど、
とても感触がよかった。

図書館で勉強しているあの感じ

必要以上に干渉されず、ひとそれぞれのペースで勉強ができる。
近くにメンターの方も待機されたけど、共有のテキストメモに質問を書き込めばちゃちゃっと返答してくれたりする対応。
そして軽食を用意してくれる配慮、お腹空いてたので助かった。

時間と場所を共有していることで出る集中力

前日、当日と仕事で突発なタスクが入ってしまい、そこそこ疲れてたけど、
一緒にいた人たちと同じ空間を共有していたおかげか、なかなか良い感じの集中力を出せてた。

サーバ 編とネットワーク編でテキストが分かれており、サーバ 編を読み進めてたけどAnsibleちょろっと触ったことがある自分には、良い感じの内容でもう少し深掘りして見たいところも発見できて、とても良き時間を過ごすことができた。

気兼ねなく参加できたので、次回もぜひ行こうと思う。
他分野のもくもく会にも行ってみよう。

【メモ】AWS IAMのマニアックな話

個人で使うケースしかなかったので、
考慮しないといけない点にいろいろ気づかせてくれた本。
ありがたいっすね。おすすめです。

booth.pm

第1章 AWSとIAM

認証と認可

  • 認証は本人性の確認(Authentication)
  • 認可はリソースに対する利用権限の付与(Authorization)

AWSアカウントの種類

  • AWSアカウント
    ルートユーザ。AWSサービスに対してネットワーク上のどこからでも操作できる権限を持つ
    構築・運用をする場合での利用は避ける
  • IAMユーザ
    WebコンソールやAPIを通じてのAWS操作に使用
    各IAMユーザに対して操作を許可する、しないサービスが定義
    IAMユーザ管理はセキュリティの要


第2章 IAMの機能

IAMユーザの認証は2種類あり
- ID・パスワードの組み合わせ
- アクセスキーID・シークレットアクセスキー
AWSマネージメントコンソールへのログインはID・パスワードを利用
API操作についてはアクセスキーIDとシークレットアクセスキーを利用
認証をより安全にするために、Multi-Factor Authentication(MFA)をオプションとしてつけることが可能

IAMグループ

同一の役割を持つIAMユーザをグループ化する機能
IAMユーザは複数のグループに所属することも可能
一般的な運用として、IAMユーザには直接権限を付与せず、IAMグループに権限を付与することを推奨

IAMポリシー

AWSリソースへのアクセス権限を制御権限をまとめたもの
ポリシーはJSON形式、AWSのビジュアルエディターにより選択式で作成可能
AWSが最初から設定している管理ポリシーもあり

AWS管理ポリシーとカスタマー管理ポリシーの使い分け

足し算(管理ポリシーで基本的な権限を付与)、引き算(カスタマー管理ポリシーで権限を制限)の組み合わせで使用する
AdministratorAccessとIP制限を組み合わせて、
全権限を持っているが特定のネットワークからのみAWSを操作できない権限を持ったグループ作成が可能

IAMロール

AWSサービスやアプリケーションに対してAWSの操作権限を与える仕組み
EC2にIAMロールを与えることにより、アクセスキーID・シークレットアクセスキーを設定することなく、
割り与えられたAWSの操作権限を利用することができる
IAMロールを正しく使うことで、安全性も利便性も格段に高まる

パーミッションバウンダリー

IAMユーザまたはIAMロールに対するアクセス権限として動作
許可した権限とBoundaryで許可した権限と重なり合う部分のみ有効な権限として動作する


第3章 IAMチュートリアル

ここは割愛


第4章 IAMポリシーのデザインパターン

  • ホワイトリスト・パターン
    許可する権限のみ付与していくパターン
  • ブラックリスト・パターン
    許可してはいけない権限のみを剥奪するパターン
  • ハイブリットパターン
    上記2つの組み合わせ

ホワイトリスト・パターンのメリット

必然的に最小権限を付与することになり、セキュリティ面での信頼性が高い
設計・運用するには、事前に充分な設計が必要となる

ホワイトリスト・パターンのデメリット

事前に役割が決まっていないと権限が付与できない
新たなアクションが必要な場合、都度増やしていくため負荷が高い

ホワイトリスト・パターンのユースケース

業務・運用設計が確率している本番環境に適用すべき
監査証跡など求められるようなシステムであれば、必須とも言える

ブラックリスト・パターンのメリット

禁止事項のみを定義すればよいので、設計・設定が最小限で済む
利用者に高い自由度を与えながら、組織として許容するセキュリティレベルを保つポリシー戦略となる

ブラックリスト・パターンのデメリット

Admin権限にブラックリストを加えて運用している場合、AWSに新しいサービスが始まると自動的に新しい機能も使えるようになる

ブラックリスト・パターンのユースケース

AWSの進化のスピードが速いため、一般的なIAMの運用としてはブラックリスト・パターンの利用が多くなる

ハイブリット・パターンのメリット

AWSの定義済みのポリシーと自分で作ったブラックリストを組み合わせて利用することにより、
最小の労力で実用的なポリシーを作ることが可能
ポリシーを組み合わせて権限を実現するため、個々のポリシーはシンプルに作ることができる

ハイブリット・パターンのデメリットは特になし

しいて言うなら、許可のIAM Policyと拒否のIAM Policyをグループで組み合わせる前提で作っておいて、拒否をつけ忘れる可能性がある

ハイブリット・パターンのユースケース

あらゆる環境で適用が可能
最初に適用するのがFullAccessだと、権限が大きくなりがちのため、ハイブリット・パターンで一定の制限を付け加えるのをお勧め


第5章 IAMグループのデザインパターン

以下のシチュエーションを想定したグループのデザインパターンを掲載

  • 複数グループに所属
  • グループ内に複数ポリシー


第6章 IAMとセキュリティ

IAMベストプラクティスの遵守

IAMベストプラクティスのリスト
- AWSアカウントのルートユーザのアクセスキーをロックする
- 個々のIAMユーザの作成
- IAMユーザへのアクセス許可を割り当てるためにグループを使用する
- 最小権限を付与する
- AWS 管理ポリシーを使用したアクセス許可の使用開始
- インラインポリシーではなくカスタマ管理ポリシーを使用する
- アクセスレベルを使用して、IAM権限を確認する
- ユーザの強力なパスワードポリシーを設定
- 特権ユーザに対してMFAを有効化する
- EC2インスタンスで実行するアプリケーションに対し、ロールを使用する
- ロールを使用したアクセス許可の委任
- アクセスキーを共有しない
- 認証情報を定期的にローテーションする
- 不要な認証情報を削除する
- 追加セキュリティに対するポリシー条件を使用する
- AWSアカウントのアクティビティの監視
- IAMベストプラクティスについてビデオで説明する

その他、考えるべきポイント

ルートユーザを使わない

IAMに関する権限付与

IAM権限は自他にAWSの権限を付与できる機能なので、実質Administrator権限と同義
AWSのアカウント管理者以外にはIAM権限を与えない

→ IAM権限剥奪をすると、ユーザー自身でパスワード変更やMFAの設定ができなくなる
ユーザ自身でパスワード変更やMFA設定、アクセスキー設定のポリシーを作成する必要あり

Lamdaのリソースベースの権限

Lamdaアクションの中には、アクセス権限の管理に関するものがあり
AWS Lamda リソースベースのポリシー
リソースごとに他のアカウントに使用許可を付与すること

この権限を利用するとIAM権限を利用せずともAWSのリソースのアクセス権を自由にコントロールすることができる
Lambdaに権限を付与する際は、FullAccessではなく必要な権限を選択して付与する

インターネット公開系の権限

読んでいて特に驚いたのが以下

EC2のルートデバイスボリュームに機密情報を入れたままAMIを作成
それを一般公開化(パブリック・イメージ)にしてしまうと他のアカウントから簡単にその情報を抜き出せる EBSのスナップショットについても同様

VPC内からのアクセス

アクセスキーの原則禁止

IAMロールを使用する

これ以降は割愛。

じぶんリリースノート_Ver1.36.11

いろいろと書いてみるがまだ模索中。
12月分は粒度をもっと上げられるようにしたい。

先月の振り返り

GitHubによる自分管理を開始。毎朝、GitHubを開くのが習慣となる
「まずは続ける」ことを基本して、10月分を見返してみるとアウトプットが少ない
それが認識できたことを収穫して11月は外出しすることを意識する


まだ読めていない本が諸々あり
アウトプット前提として読む時から、なるだけメモを取る


読んでいる

  • AWS IAMのマニアックな話


読み終わった


買い物

特に目立ったものはなし


イベント参加

  • 10/19 OSS-DB Exam Silver Ver.2.0 技術解説無料セミナー
  • 10/23 JAWS-UG 初心者支部#20 JAWSなアウトプットのススメ![リモート枠あり]


仕事

  • プロジェクト諸々
    進め方はだいぶ馴染んできたので、細かいところの不明点を洗い出し

  • ApacheからNginxへの移行検証
    ほとんどわからないところからやってみたが無事に終わる

  • めんどくさいことを簡単にできるようにしたい
    効率化、中途半端な知識を固めていきたい


Game

仕事と趣味のバランスを取れている状態が一番良い

  • BBTAG
    だいぶ手に馴染んできた。この調子で楽しみながら成長を感じられるようにやっていきたい

Keep

  • ストレッチ
    20秒間 * 3セットが「身体を労っている」気がして良い、プラスアルファで筋トレ実施していい感じの胸板、腹筋を作りたい


Problem

  • リュックが痛んできているのでそろそろ買い換えたい


Try

  • 週末の朝の勉強
    朝の頭が冴えている時間にいろいろやっておきたい

  • AWS Dev Ops 受験
    11月中に受けて合格しておきたい

  • 会社がいろいろあれなので、そろそろあれしとく
    がっかりすることほんと増えたなあ

【メモ】DNSをはじめよう ~基礎からトラブルシューティングまで~ を読んだ

DNS? とりあえず名前解決してくれるやつだべ??」

という浅い知識しか持ち合わせていなかった僕に、良い感じの知識のインプットをさせてくれたのが以下の本です。

【書籍版】DNSをはじめよう ~基礎からトラブルシューティングまで~ 改訂第2版

これ、ほんとめちゃんこわかりやすかったのでweb系絡んでて、
DNSようわからんでぇ〜という方はオススメです。

以下は自分で必要だと思ったところのメモなので、興味ある方はぜひ読んでみてください。


ドメイン名とWhois

ドメイン購入の金額はお店よって異なり、お店には大きく分けて2つの種類がある


ドメイン名を売るお店はレジストラとリセラの2種類

  • レジストラ(登録事業者)

    • ドメイン名をリセラに下ろす、一般消費者に販売
  • リセラ(再販事業者)

    • いわゆる中間業者、一般消費者に販売

中間業者が増えるほど、そのお店が倒産してしまった場合のリスクが大きい
お店を選ぶ際は2年以降の金額(キャンペーンで初期価格が安いだけ)、
設定変更方法(管理画面から実行、メールでの依頼をしないといけない)などの確認を行なったほうが良い


TLDトップレベルドメイン

eample.co.jpや、yahoo.comの一番右側にあるjpやcomのことを指す
1つにつき必ず1つのレジストリ(登録管理組織)によって管理されている
.xxxはアダルトコンテンツ用に用意されたTLD、国によっては閲覧をブロックされる


ドメイン」なのか「ドメイン名」なのか?

「example.co.jp」

example、co、jpとドットで区切られた部分をドメイン
example.co.jpといった名前をドメイン名という
www.example.co.jpというドメイン名の場合は、ドットで区切られた部分をラベルという

※実際にドメイン名を買うドリルあり


Whoisとは

そのドメイン名を所有している組織や担当者の氏名、連絡先、ドメイン名の有効期限がインターネットで誰でも見られるサービスのこと
TLD1つにつき、必ず1つ存在しているレジストリWhois情報を管理・公開している


Whoisを正確に登録しなければいけない理由

トラブルが発生したときにインターネットの利用者同士が連絡しあって、自律的にトラブルを解決できるようにするため
レジストラでは、個人がプライバシーを守るためのWhois情報公開代行というオプションサービスもあり


レジストラが倒産したらドメイン名はどうなる?

レジストリが最長1年の登録・更新しか受付していない場合、 ドメイン名を使う人とレジストラの間で10年の契約を結んでいても、実際は裏側でレジストラが1年ずつ更新の手続きを行なっていた
そのレジストラが倒産して他のレジストラに移管された場合、引き継いだレジストラに改めて登録料が必要になるという事例があった


DNSの仕組み

  • DNSとは
    • Domain Name System ドメイン名の管理システム、「ネームサーバ」と「フルリゾルバ」の2つに分かれている


ネームサーバ

電話帳のような役割を果たす


フルリゾル

秘書のような役割を果たす
ドメイン名に紐づくIPアドレスを調べる。一度調べると一定期間はそのドメイン名とIPアドレスを記憶(キャッシュ)する


ゾーンと委任

DNSは「1台が何もかも知っている」という集中管理ではなく、「いくつかのネームサーバに聞けば答えに辿りつく」という管理権限の分散された仕組みになっている
ドメインごとに区切った範囲をゾーン、自身が任されているゾーンを分割して、その一部を他のネームサーバに任せることを委任と呼ぶ


リソースレコード

ゾーンの中にある、「ドメイン名とIPアドレスの紐付け」ひとつひとつのことをリソースレコードと呼ぶ

Aレコード ・・・ ドメイン名に紐づくIPアドレス
NSレコード ・・・ ドメイン名のゾーンを管理するネームサーバ
MXレコード ・・・ ドメイン名に紐づくメール受信サーバ
TXT(SPF)・・・ このドメイン名のメール送信サーバ
SOA ・・・ ドメイン名のゾーンの管理情報
CNAME ・・・ このドメイン名の別名でリソースレコードの参照先


※この他、AWSのネームサーバ(Route53)を使用したドリル、digとwhoisを実際に叩いて学ぶ、トラブルシューティングの説明もありますぜ