ブログ
S3 アカウントリージョナル名前空間でバケット名の衝突と乗っ取りを防ぐ
S3 汎用バケットのアカウントリージョナル名前空間を CLI で検証。リージョン別の prefix 文字数制限、IAM 条件キーによる組織強制、グローバル名前空間での名前保護の挙動を実測データで確認した。
← すべてのカテゴリ
インフラストラクチャ
クラウドインフラ、コンテナ、IaC、プラットフォームエンジニアリングに関する記事
ブログ
AWS DevOps Agent 検証 — EKS ナレッジグラフで Kubernetes 障害の根本原因を自動特定する
DevOps Agent の EKS 統合を検証。Learned Topology による Kubernetes オブジェクトの自動検出、アプリ障害とインフラ障害での調査プロセスの違い、audit ログからの操作者特定能力を実測データで評価する。
ブログ
Aurora Blue/Green 実践検証 — RDS Proxy 経由の Switchover でダウンタイムはどう変わるか
Blue/Green Switchover に RDS Proxy を組み合わせた場合のダウンタイムを psql で計測。直接接続の26秒・JDBC BG プラグインの0秒と比較し、RDS Proxy の効果と制約を明らかにする。
ブログ
EKS Warm Pool の poolState 別スケールアウト時間と reuseOnScaleIn の挙動を実測する
EKS マネージドノードグループの Warm Pool を実機検証。Running 28秒・Stopped 48秒・コールドスタート 62秒のスケールアウト時間差と、reuseOnScaleIn の16分ドレイン待ちを計測。poolState 選択の判断基準を提示する。
ブログ
S3 Files の同期遅延と読み取り性能を NFS マウント環境で実測する
S3 Files のファイルシステム作成からマウント、双方向同期の遅延計測、読み取りパフォーマンスまでを CLI で検証。EFS・Mountpoint for S3・FSx for Lustre との比較表と、実測データに基づく選択判断材料を提供する。
ブログ
Route 53 Global Resolver の DNS フィルタリングと DoH 認証を VPC 外から実測する
Route 53 Global Resolver の作成から Do53/DoH 認証、DNS フィルタリングまでを CLI で一気通貫検証。伝播時間の計測データと、VPC Resolver 比 20 倍のコストに見合うユースケースの判断材料を提供する。
ブログ
Lambda Managed Instances のプロビジョニング時間・マルチコンカレンシー・CPU ベーススケーリングを実測する
AWS Lambda Managed Instances を実際にデプロイし、プロビジョニング67秒、マルチコンカレンシーで10実行環境への自動分散、CPU負荷時のスロットリング挙動を計測した。LMI移行判断のチェックリストを提示する。
ブログ
VPC Encryption Controls の Monitor・Enforce 両モードを実トラフィックで検証する
VPC Encryption Controls の Monitor/Enforce 両モードを実機検証。Flow Logs の encryption-status の実態、Enforce 移行に15分以上かかる非同期処理、VPC エンドポイント ENI マイグレーションの落とし穴を計測データとともに報告する。
ブログ
AWS Security Agent 検証 — 認証フロー対応と検出範囲の変化
認証なし・単一ロール(2FA 付き)・複数ロールの3条件でペンテストを実行。認証情報なしでも Agent が SQL Injection 経由でクレデンシャルを取得し TOTP を推測して自力ログインする挙動を確認した。
ブログ
AWS Security Agent 検証 — GraphQL API に対するペネトレーションテストの検出能力
AWS Security Agent は GraphQL API をテスト可能と公式に記載しているが、実際の検出能力はどうか。4条件で検証した結果、HTML リンク構造の有無が検出の分岐点であり、条件を満たせば Introspection・ネストクエリ・Mutation 分析など GraphQL 固有のテストが実行されることを確認した。