Amazon RDS で一部のテーブルに対するアクセス制御を行う方法について調査した内容を備忘録として残しておく 前提 構成および RDS Proxy に接続可能な DB ユーザを追加する方法については前回記事を参照 前回の記事: Amazon RDS で RDS Proxy に接続可能な DB ユーザを追加する方法 手順 Role に対して適宜必要な権限を付与 例. public Schema の全テーブルへの全権限を付与 grant all on all tables in schema public to <<DB ユーザ>>; アクセス制御を行うテーブルからアクセス権限を取り消す 例. public T_USER_HISTORY テーブルのアクセス権限を取り消す revoke select on "public"."T_USER_HISTORY" from <<DB ユーザ>>; 権限の確認 該当テーブルの Access privileges 欄を確認して r(read) がないことを確認する \dp #=> <<DB ユーザ>>=awdDxt/postgres

Amazon RDS で RDS Proxy に接続可能な DB ユーザを追加する方法について調査した内容を備忘録として残しておく 前提 以下の構成を想定 ※RDS は Aurora PostgreSQL Version 13.8 構成図 手順 参考 DB ユーザ追加 以下のコマンドを使用してユーザを追加する ※実運用時は、適宜必要な権限を付与する postgres=> CREATE ROLE <<ロール名>> LOGIN PASSWORD '<<パスワード>>'; # 例. ログイン属性, 接続数制限なし, パスワード指定 postgres=> CREATE ROLE <<ロール名>> WITH LOGIN NOSUPERUSER NOCREATEDB NOCREATEROLE NOINHERIT NOREPLICATION NOBYPASSRLS CONNECTION LIMIT -1 PASSWORD '<<パスワード>>'; Secrets Manager にデータベース認証情報設定 AWS Secrets Manager のマネジメントコンソールから、先ほど登録した DB ユーザに対応するシークレットを作成する 設定 シークレットのタイプ: Amazon RDSデータベースの認証情報 ユーザー名: 該当のもの パスワード: 該当のもの DBインスタンス: 該当のもの RDS Proxy とシークレットの関連付け

GitHub Actions で AWS S3 に静的ファイルのディレクトリごとデプロイする方法を備忘録として残しておく 事前準備 GitHub Actions 用の IAM ユーザを作成 GitHub の Environments に上記 IAM ユーザのシークレットを登録 Environments > Environment Secrets S3 のバケットを作成（ホスティングする場合は公開設定にする） S3 のバケット名はグローバルでユニークにする必要がある 公式ドキュメント 前提 S3 のバケットは作成済 Package Manager は npm を使用(yarn でも可) npm build で dist フォルダ配下にデプロイ資産が作成される 実際のコード name: cd-dev on: push: branches: - "develop" workflow_dispatch: jobs: build-deploy: runs-on: ubuntu-latest environment: develop steps: - name: Checkout uses: actions/checkout@v4 # ① - uses: actions/setup-node@v4 with: node-version: 20 cache: 'npm' cache-dependency-path: ${{ github.

Amazon IAM で登録されているユーザ一覧を取得する方法について調査した内容を備忘録として残しておく 方法 該当の AWS Console にログインして AWS Cloud Shell 上で以下のコマンドを実行する 実際のコード aws iam list-users \ | jq -r '.Users[] | [.UserName, .CreateDate, .PasswordLastUsed] | @csv' \ | tr -d '"' \ > iam_users_list.csv

普段個人で開発している時は Docker Desktop を使用しているが仕事で使用する場合には従業員数等で有償となる そのため、代替ツールとして Rancher Desktop を調査した結果を備忘録として残しておく 設定について 以下の設定を変更することで動作が速くなる可能性がある Preference - Virtual Machine - Emulation Virtual Machine Type に、VZを指定する 右側に出る、VZ Option の Enable Rosetta support にチェックを入れる Rosetta で動作しているか確認 下記コマンドで ubuntu に入り、 ps -ef を実行して、/mnt/lima-rosetta/rosetta と表示されていることを確認 $ docker run -it --platform linux/amd64 ubuntu # ps -ef Unable to find image 'ubuntu:latest' locally latest: Pulling from library/ubuntu 445a6a12be2b: Pull complete Digest: sha256:aabed3296a3d45cede1dc866a24476c4d7e093aa806263c27ddaadbdce3c1054 Status: Downloaded newer image for ubuntu:latest root@0f03298c4ad5:/# ps -ef UID PID PPID C STIME TTY TIME CMD root 1 0 3 03:46 pts/0 00:00:00 /mnt/lima-rosetta/rosetta /bin/bash root 9 1 0 03:46 pts/0 00:00:00 /usr/bin/ps -ef Preference - Virtual Machine - Volumes 「Preferences」ボタンを押下 Virtual Machine > Volumes > Mount Type を以下に変更する Mount Type: virtiofs Preference - Application - Administrative Access 「Preferences」ボタンを押下 Application > General > Administrative Access を以下に変更する Allow to acquire administrative credentials(sudo access) これにチェックをしないとユーザ権限で実行された際に docker.

Visual Studio Code Dev Containers での開発環境構築について調査した結果を備忘録として残しておく Dev Containers について 以下のような構成になる Architecture Containers 引用元: https://code.visualstudio.com/docs/devcontainers/containers 以下のようなメリットがある プロジェクトごとのミドルウェアなどをコンテナに閉じ込めることができる ホスト環境を汚さない VS Code の Extention もコンテナに閉じ込められる 環境構築を自動化できる 新規に作成したり、別のPCでの作り直しが簡単 環境構築について 前提条件 VS Code で以下の Extention をインストールする Remote Development Dev Containers ※テンプレートを使用する場合 Docker Docker Desktop or Rancher Desktop 実際の例 新規で作成する場合 VS Code の左下の「><」ボタンを押下 「新しい開発コンテナー…」 を選択 ベースとなる設定を選択する 基本的には Dockerfile or Docker Compose の話になるのでそちらに慣れていれば問題なくできると思われる

Amazon SES でカスタムドメインに対して DMARC 対応を行う方法について調査した内容を備忘録として残しておく 前提 対象のドメインを「検証済み ID」として作成済 DKIM が設定済 DNS サービスの提供元が Route 53 方法 Amazon SES > 設定: 検証済み ID を選択 対象の ID を選択 カスタム MAIL FROM ドメイン > 「編集」ボタンを押下 以下のように設定して「保存」ボタンを押下 カスタム MAIL FROM ドメインの使用: チェック MAIL FROM ドメイン: 任意の値 MX 障害時の動作: 以下のどちらか デフォルトの MAIL FROM ドメインの使用 メッセージの拒否 DNS レコードの発行を行う Route 53 > ホストゾーン > {対象のドメイン} を選択 「レコードを作成」を押下 以下を設定する レコード名: _dmarc レコードタイプ: TXT 値: v=DMARC1; p=none テストEメール確認して OK なら値を「v=DMARC1; p=reject」, 「v=DMARC1; p=reject」の順に変更 詳細はDMARC を実装するためのベストプラクティス参照 確認方法 例えば、以下のような方法で確認する

Amazon Cognito のユーザプールのバックアップおよびリストアを行う方法について調査した内容を備忘録として残しておく 方法 以下の２つの方法が考えられる Cognito User Profiles Export リファレンスアーキテクチャ Lambda でユーザプールの一覧を取得して csv で出力して S3 に保存する ※リストアはユーザ CSV インポート機能で行う 実際のコード const { stringify } = require("csv-stringify/sync"); module.exports = async (params) => { const csvString = stringify(params, { header: true, quoted_string: false }) return csvString; }; const { CognitoIdentityProvider } = require("@aws-sdk/client-cognito-identity-provider"); const cognito = new CognitoIdentityProvider(); module.exports = async (param) => { let cognitoUsers = new Array(); let cognitoData; try { let params = { UserPoolId: process.

外形監視に AWS Synthetics Canary を導入する場合に Cognito 認証と組み合わせる方法について調査した内容を備忘録として残しておく 方法 CloudWatch > Synthetics Canary を選択 「Canary を作成」ボタンを押下 以下を設定 設計図を使用する 設計図: API Canary Canary ビルダー: 任意の Canary 名 Amazon API Gateway API を使用中: チェックを入れる API を選択: API Gateway から API とステージを選択 使用している API, ステージを選択 Host Name: 使用している Host Name を指定 HTTP リクエスト HTTP リクエストを追加ボタンを押下 監視したい API の情報を設定 スクリプトエディタ: スクリプトを参照 スケジュール: 任意のスケジュールを選択 アクセス許可 IAM ロール: 既存のロールを選択 ポリシーを参照 「保存」ボタンを押下 実際のコード スクリプト 基本的にはデフォルトのままで良いが Request Header に Cognito の ID トークンを付与する必要がある

Amazon Cognito でコマンドからユーザ登録およびパスワード設定を行う方法について調査した内容を備忘録として残しておく 方法 該当の AWS Console にログインして AWS Cloud Shell 上で以下のコマンドを実行する 実際のコード ユーザ登録 –user-attributes は必要に応じて増やす ※「–message-action SUPPRESS」のオプションを付与することで対象ユーザへの通知を止めることが可能 aws cognito-idp admin-create-user \ --user-pool-id <<ユーザプール ID>> \ --username <<E メールアドレス ※E メールアドレスをユーザ名に設定した場合>> \ --user-attributes Name=email,Value=<<E メールアドレス>> \ Name=email_verified,Value=TRUE \ --message-action SUPPRESS パスワード設定 –no-permanent は仮パスワード扱い ※「–permanent」オプションを付与で恒久パスワード扱いになる aws cognito-idp admin-set-user-password \ --user-pool-id <<ユーザプール ID>> \ --username <<ユーザ名 or sub>> \ --password <<password>> \ --no-permanent