ブログ
S3 アカウントリージョナル名前空間でバケット名の衝突と乗っ取りを防ぐ
S3 汎用バケットのアカウントリージョナル名前空間を CLI で検証。リージョン別の prefix 文字数制限、IAM 条件キーによる組織強制、グローバル名前空間での名前保護の挙動を実測データで確認した。
← すべてのタグ
タグ: #aws
「aws」タグが付いたコンテンツ一覧
ブログ記事
ブログ
AWS DevOps Agent 検証 — EKS ナレッジグラフで Kubernetes 障害の根本原因を自動特定する
DevOps Agent の EKS 統合を検証。Learned Topology による Kubernetes オブジェクトの自動検出、アプリ障害とインフラ障害での調査プロセスの違い、audit ログからの操作者特定能力を実測データで評価する。
ブログ
AWS Agent Registry の承認ワークフロー・検索精度・MCP エンドポイントを実機検証する
Agent Registry のレジストリ作成からレコード登録・承認・検索までを CLI で検証。セマンティック検索の精度、日本語クエリと英語クエリの差、MCP エンドポイント経由の検索を実測データで評価する。
ブログ
Aurora Blue/Green 実践検証 — RDS Proxy 経由の Switchover でダウンタイムはどう変わるか
Blue/Green Switchover に RDS Proxy を組み合わせた場合のダウンタイムを psql で計測。直接接続の26秒・JDBC BG プラグインの0秒と比較し、RDS Proxy の効果と制約を明らかにする。
ブログ
EKS Warm Pool の poolState 別スケールアウト時間と reuseOnScaleIn の挙動を実測する
EKS マネージドノードグループの Warm Pool を実機検証。Running 28秒・Stopped 48秒・コールドスタート 62秒のスケールアウト時間差と、reuseOnScaleIn の16分ドレイン待ちを計測。poolState 選択の判断基準を提示する。
ブログ
S3 Files の同期遅延と読み取り性能を NFS マウント環境で実測する
S3 Files のファイルシステム作成からマウント、双方向同期の遅延計測、読み取りパフォーマンスまでを CLI で検証。EFS・Mountpoint for S3・FSx for Lustre との比較表と、実測データに基づく選択判断材料を提供する。
ブログ
Route 53 Global Resolver の DNS フィルタリングと DoH 認証を VPC 外から実測する
Route 53 Global Resolver の作成から Do53/DoH 認証、DNS フィルタリングまでを CLI で一気通貫検証。伝播時間の計測データと、VPC Resolver 比 20 倍のコストに見合うユースケースの判断材料を提供する。
ブログ
Lambda Managed Instances のプロビジョニング時間・マルチコンカレンシー・CPU ベーススケーリングを実測する
AWS Lambda Managed Instances を実際にデプロイし、プロビジョニング67秒、マルチコンカレンシーで10実行環境への自動分散、CPU負荷時のスロットリング挙動を計測した。LMI移行判断のチェックリストを提示する。
ブログ
VPC Encryption Controls の Monitor・Enforce 両モードを実トラフィックで検証する
VPC Encryption Controls の Monitor/Enforce 両モードを実機検証。Flow Logs の encryption-status の実態、Enforce 移行に15分以上かかる非同期処理、VPC エンドポイント ENI マイグレーションの落とし穴を計測データとともに報告する。
ブログ
AWS Security Agent 検証 — 自動コード修正(Code Remediation)の品質評価
ペンテストで検出した7件の脆弱性に対して自動コード修正を実行。全件に GitHub PR が生成され、SQL Injection のパラメータ化クエリからクレデンシャルのハッシュ化まで、そのまま適用可能な修正が得られた。
ブログ
AWS Security Agent 検証 — 認証フロー対応と検出範囲の変化
認証なし・単一ロール(2FA 付き)・複数ロールの3条件でペンテストを実行。認証情報なしでも Agent が SQL Injection 経由でクレデンシャルを取得し TOTP を推測して自力ログインする挙動を確認した。
ブログ
AWS Security Agent 検証 — GraphQL API に対するペネトレーションテストの検出能力
AWS Security Agent は GraphQL API をテスト可能と公式に記載しているが、実際の検出能力はどうか。4条件で検証した結果、HTML リンク構造の有無が検出の分岐点であり、条件を満たせば Introspection・ネストクエリ・Mutation 分析など GraphQL 固有のテストが実行されることを確認した。
ブログ
Aurora DSQL Rust コネクタで IAM 認証・OCC リトライを自動化する
Aurora DSQL の公式 Rust コネクタ(SQLx)を実際に動かし、接続コードの簡素化と OCC リトライの実用性を検証する。デフォルト max_attempts=3 では高並行で不足するケースも確認した。
ブログ
CloudWatch Query Studio で AWS メトリクスを PromQL で横断クエリする
CloudWatch Query Studio(Preview)と OTel エンリッチメントを有効化し、AWS ベンダーメトリクスを PromQL で照会・アラーム作成するまでを検証。histogram 関数の必要性やタグベース横断クエリなど、Prometheus ユーザー向けの実践データを共有する。
ブログ
EKS ArgoCD Capability 構築 — ApplicationSet で複数環境に自動デプロイする
Git Directory Generator でディレクトリ構造から dev/staging/prod の Application を自動生成。環境追加はディレクトリ push だけ、個別環境の変更は他に波及しない。ポーリング間隔が長い点に注意。
ブログ
EKS ArgoCD Capability 構築 — CodeCommit プライベートリポジトリから GitOps デプロイする
Capability Role に IAM ポリシーを1つ追加するだけで CodeCommit プライベートリポジトリからデプロイできる。URL typo と権限不足が同じエラーになる点と、権限修正後のリカバリに手動 refresh が推奨される点が落とし穴。
ブログ
ECS Managed Daemons の起動順序保証とローリングデプロイの挙動を実測する
ECS Managed Instances の新機能 Managed Daemons を検証した。デーモンはアプリの18〜21秒前に起動し、ローリングデプロイは約5分でダウンタイムなしに完了する。
ブログ
AWS Security Agent 検証 — ソースコード提供で検出率はどう変わるか
AWS Security Agent にソースコードを提供するとペンテストの検出数が5件→13件(documents)/28件(sourceCode)に増加。documents と sourceCode で処理パイプラインが根本的に異なることも判明した。
ブログ
AWS Security Agent 検証 — オンデマンド・ペネトレーションテストの検出品質とコスト
AWS Security Agent のオンデマンド・ペネトレーションテストを東京リージョンで検証。5つの既知脆弱性のうち4つを検出(偽陽性0件)、ビジネスロジック脆弱性も HIGH confidence で検出した。コストは約$136/回。
ブログ
AWS DevOps Agent 検証 — Generic Webhook でアラームから調査を自動起動する
DevOps Agent の Generic Webhook を使い、CloudWatch アラーム → SNS → Lambda → Webhook で調査を自動起動するパイプラインを構築した。HMAC 署名の実装、アラーム発火から調査開始までの所要時間、同一 incidentId 送信時のリンク動作を検証する。
ブログ
AWS DevOps Agent 検証 — EventBridge 連携で調査完了を自動通知する
DevOps Agent の EventBridge 連携を検証。Investigation のライフサイクルイベントをキャプチャし、調査サマリを SNS で自動通知するパイプラインを構築した。IAM アクションプレフィックスや Lambda の boto3 バンドルなど、ドキュメントだけでは分からない実装上の注意点も記録する。
ブログ
AWS DevOps Agent 検証 — 予防機能(Prevention)で改善提案の実態を確認する
DevOps Agent の予防機能に複数パターンのインシデント調査履歴を与え、手動評価を実行した。生成された推奨事項の内容・カテゴリ・エージェント対応スペックの有無を確認し、予防提案の実態を明らかにする。
ブログ
AWS DevOps Agent 検証 — スキルで調査品質はどう変わるか
DevOps Agent のスキルを作成し、同一インシデントシナリオでスキルあり/なしの調査結果を比較した。調査時間が 164秒→64秒に短縮され、報告フォーマットがスキルの指示に従った構造化された形式に変化した。
ブログ
AWS DevOps Agent 検証 — 最小構成でのセットアップ・インシデント調査・Chat の実力
AWS DevOps Agent を東京リージョンでゼロからセットアップし、インシデント自動調査と Chat 機能を検証した。CLI で66秒でセットアップ完了、Chat は stress-ng の根本原因を正確に特定した。
ブログ
JDBC Wrapper Valkey キャッシュ検証 — Spring Boot + HikariCP で導入する
application.yml の設定変更と ApplicationRunner によるウォームアップで、Spring Boot アプリに Remote Query Cache Plugin を統合。ノードベースと Serverless の両構成で動作確認した。
ブログ
Lambda Rust 検証 — 初回リクエスト900ms の正体は TLS ハンドシェイクだった
AWS SDK for Rust の初回リクエスト900ms を DNS・TCP・TLS・API に分離計測。TLS ハンドシェイクが745ms で99%を占めた。接続ウォーミングで合計 Billed Duration を82%削減できる。
ブログ
JDBC Wrapper Valkey キャッシュ検証 — Serverless 長時間安定性とアイドル耐性
1時間の連続負荷でヒット率98.9%を確認。10分アイドル後もタイムアウト再発なし。公式ドキュメントの接続再利用推奨と合わせ、Serverless + ウォームアップが本番で使える条件を整理した。
ブログ
JDBC Wrapper Valkey キャッシュ検証 — Serverless 初回タイムアウトの原因と回避策
ノードベース+TLS構成との比較で初回タイムアウトがServerless固有の問題と確定。ウォームアップ接続+5秒待機でCacheMonitorを回復させ、Serverlessの運用メリットを活かせることを実機検証した。
ブログ
Lambda Durable Functions 不正検知実践 — デプロイ・テスト・運用の知見
SAMデプロイのハマりポイント、LocalDurableTestRunnerによるローカルテスト、実行履歴の追跡方法を実体験ベースで整理。修飾付きARN必須の罠が最初の関門。
ブログ
Lambda Durable Functions 不正検知実践 — 6つのベストプラクティスを実機検証する
冪等性・DurableExecutionName・並行コールバック・タイムアウト設定を実機検証。「リプレイされる前提で設計する」が全BPの共通原則だと分かった。
ブログ
Lambda Durable Functions 不正検知実践 — デモで理解する基本動作と3つの分岐
AWS公式の不正検知デモをデプロイし、リスクスコア別の3分岐とサスペンド動作を実機検証。チェックポイント&リプレイでwait中の課金ゼロを確認した。
ブログ
AWS Payment Cryptography 番外編 — TR-31 による鍵のエクスポート・インポートを実装する
KEK で CVV 鍵を TR-31 エクスポートし、インポート後に同じ CVV2 が生成されることを確認。鍵素材の移動と KCV による同一性検証を Python(boto3)で実装する。
ブログ
AWS Payment Cryptography 番外編 — 決済暗号処理を実装する際の落とし穴と対処法
シリーズ全 3 回の検証で発見した Java SDK v2 のハマりポイントを整理。HMAC 未対応、enum 名の不一致、クラス名の混乱など 6 つの落とし穴と対処法。
ブログ
AWS Payment Cryptography アクワイアラ編 — PIN の鍵間変換と MAC 検証を実装する
TranslatePinData による PIN の平文を経由しない再暗号化と、CMAC によるデータ完全性検証を Java SDK で実装。アクワイアラ処理の核心である鍵の中継を検証する。
ブログ
AWS Payment Cryptography イシュア編 — CVV 生成・PIN 検証・ARQC 検証を実装する
カード発行者の 3 つの主要な暗号処理を Java SDK で実装。GeneratePinData が PEK と PVK の 2 鍵を同時に要求する仕組みなど、複数の専用鍵が協調する決済処理の実態を検証する。
ブログ
AWS Payment Cryptography 入門 — 決済用鍵を作成し、KMS との設計思想の違いを体験する
Java SDK で 4 種類の決済用暗号鍵を作成・使用し、用途外操作のエラーから TR-31 KeyUsage による用途分離を体験する。KMS に慣れた開発者が最初に戸惑うポイントを整理。
ブログ
ECS + NLB で Linear / Canary デプロイを検証 — 10分遅延がステップ設計を左右する
Amazon ECS の NLB 向け Linear / Canary デプロイを実際に構築・計測。NLB 固有の10分遅延が各ステップに累積し、ステップ数がデプロイ時間のボトルネックになることを実測データで確認した。
ブログ
Aurora PostgreSQL が VPC 不要・数秒起動に — Express Configuration の実力を検証する
Aurora PostgreSQL の新機能 Express Configuration を検証。VPC 不要で約30秒起動、Internet Access Gateway 経由の TLS 1.3 接続、IAM 認証デフォルトの挙動を実測データとともに共有する。
ブログ
JDBC Wrapper Valkey キャッシュ検証 — ElastiCache Serverless で初回タイムアウトの落とし穴
AWS Advanced JDBC Wrapper 3.3.0 の Remote Query Cache Plugin を ElastiCache for Valkey Serverless で検証。初回接続で必ずタイムアウトが発生し CacheMonitor が SUSPECT 状態に陥る問題を発見。ノードベースでは発生しない Serverless 固有の課題を整理した。
ブログ
JDBC Wrapper Valkey キャッシュ検証 — 設定変更だけで Aurora の集計クエリをキャッシュする
AWS Advanced JDBC Wrapper 3.3.0 の Remote Query Cache Plugin を Aurora PostgreSQL(100万行)+ ElastiCache for Valkey(ノードベース)で検証。749msの集計クエリが2msに短縮。TTL による整合性制御も期待通り動作した。
ブログ
EKS Pod Identity のセッションポリシーで IAM ロールを増やさずに権限を動的に絞る
EKS Pod Identity の新機能セッションポリシーを検証。IAM ロールの権限をアソシエーション単位で動的に制限でき、ロール数の爆発を防げる。セッションタグとの排他制約やポリシーサイズ上限など、採用前に知るべきトレードオフも整理した。
ブログ
Network Firewall Proxy 検証 — PrivateLink でマルチ VPC 構成を組む
Network Firewall Proxy の集中型構成を検証。PrivateLink エンドポイント経由のクロス VPC アクセスで SourceVpc による VPC 別ポリシー制御が機能する一方、SourceIp は NAT されて使えないことを確認した。
ブログ
Network Firewall Proxy 検証 — ACM PCA で TLS インターセプトを有効化する
Network Firewall Proxy の TLS インターセプトを ACM Private CA で有効化し、PreRequest フェーズの HTTP メソッド制限と PostResponse フェーズの Content-Type ブロックを検証した。PCA 設定の落とし穴と Preview 固有の制約も共有する。
ブログ
Network Firewall Proxy 検証 — セットアップからドメインフィルタリングまで
AWS Network Firewall Proxy(Public Preview)を検証。NAT Gateway 統合のセットアップから PreDNS フェーズのドメインフィルタリング、ソースベース制御、DNS スプーフィング耐性まで実機で確認した。
ブログ
Aurora Blue/Green 実践検証 — AWS JDBC Wrapper 3.2.0 で挙動は変わるか
AWS JDBC Wrapper を 2.6.4 → 3.2.0 にアップグレードし、PostgreSQL と MySQL で Blue/Green Switchover を再検証。MySQL の接続失敗はタイミング依存(0〜1回)であることが判明。3.x 移行の判断基準をまとめる。
ブログ
Aurora Blue/Green 実践検証 — Aurora MySQL での挙動の違いを確認する
Aurora MySQL で Blue/Green Switchover を検証し、PostgreSQL との違いを比較。IN_PROGRESS フェーズが3秒と短い一方、BG プラグインでも0〜1回の接続エラーが発生する可能性がある。HikariCP の旧 Writer 接続問題はエンジン共通。Plain JDBC は復旧後も旧ホストに31秒間接続し続けた。
ブログ
Aurora Blue/Green 実践検証 — AWS JDBC Driver プラグインでゼロダウンタイムに迫る
Blue/Green Switchover 中のダウンタイムを Plain JDBC・HikariCP リトライ・AWS JDBC Driver BG プラグインの3パターンで比較。プラグインは検証した400クエリ中0回の接続失敗。HikariCP は旧 Writer に接続し続ける落とし穴も発見した。
ブログ
Aurora Blue/Green 実践検証 — メンテナンス時に実際どれだけ止まるのかを実測する
Aurora PostgreSQL のフェイルオーバーと Blue/Green Switchover のダウンタイムを実測比較。フェイルオーバーは12回の接続失敗(2回に分離)、Blue/Green Switchover は約26秒・6回の接続失敗。DNS TTL 60秒の影響も検証した。
ブログ
EKS 1.34 → 1.35 アップグレード — ベストプラクティスに沿った検証記録
EKS アップグレードを AWS ベストプラクティスに準拠して実施。Cluster Insights、非推奨 API スキャン、PDB による可用性保証まで、事前検証から事後確認までの全工程を記録する。
ブログ
EKS ArgoCD Capability 構築 — eksctl の YAML 一枚で GitOps 環境を立ち上げる
eksctl の YAML 設定ファイルで ArgoCD Capability を作成し、サンプルアプリのデプロイまでを実施。AWS CLI 版との違いや CloudFormation 経由の挙動を整理する。
ブログ
EKS ArgoCD Capability 構築 — AWS CLI でマネージド GitOps 環境を立ち上げる
EKS Capabilities として提供される ArgoCD Capability を AWS CLI で有効化し、サンプルアプリのデプロイまでを実施。Identity Center のリージョン指定やアクセスポリシーの関連付けなど、実際に踏んだ落とし穴も共有する。
ブログ
EKS の強化ネットワークポリシーで FQDN ベースのトラフィック制御を実現する
EKS Auto Mode 環境で ClusterNetworkPolicy と ApplicationNetworkPolicy を検証。ドメイン名ベースの Egress フィルタリングにより、特定の外部サービスのみへの通信を許可する多層的なアクセス制御を実現した。
ブログ
Powertools で Lambda AZ メタデータを取得する — Same-AZ ルーティングを3行で実装
Powertools for AWS Lambda の getMetadata() を使った Same-AZ ルーティングを TypeScript で実装・検証。キャッシュ動作や clearMetadataCache() の挙動を実測データとともに共有する。
ブログ
Lambda AZメタデータで同一AZルーティングを実現する — ElastiCacheのレイテンシを半減
Lambda の新しい AZ メタデータエンドポイントを検証。ElastiCache Valkey クラスターへの同一AZ / クロスAZ接続レイテンシを実測し、Same-AZ ルーティングの効果を定量的に示す。
ブログ
EKS Auto Mode の強化ログで Karpenter の内部動作を可視化する
CloudWatch Vended Logs で Auto Mode の4コンポーネント(Compute/Block Storage/Load Balancing/IPAM)のログを収集・分析する手順を検証。Logs Insights クエリでスケールアップからスケールダウンまでの内部動作を時系列で追跡する。
ブログ
EKS Auto Mode で運用負荷を最小化したKubernetesクラスターを構築する
eksctl一発でAuto Modeを有効化したEKSクラスターを作成する手順を解説。ノードグループ管理が不要になるAuto Modeの仕組みと、従来方式との違いを整理する。
ブログ
Lambda Rust 検証 — Managed Instances でマルチコンカレンシーのコールドスタートゼロを確認
Lambda Managed Instances の Rust サポートを検証。run_concurrent で8並列処理を実現し、Init Duration 2.9msでコールドスタートを実質排除。通常Lambdaとの使い分けを考察する。
ブログ
Lambda Durable Functions を実際に動かして分かった4つの特徴
Step・Wait・Callback・Parallel の4パターンを AWS CLI で検証。チェックポイント&リプレイの挙動、Step Functions との使い分けを実測データとともに整理する。
TIL
TIL
AWS SSO の認証情報は Docker コンテナに直接渡せない
~/.aws をマウントしても SSO トークンの解決に失敗する。boto3 から一時認証情報を取得して環境変数で渡す方法が確実。
TIL
Agent Registry の AGENT_SKILLS レコードは CLI と REST API でパラメータ名が異なる
AWS Agent Registry で AGENT_SKILLS レコードを作成する際、CLI では skillMd(dict 型)、REST API では skillMarkdown(文字列型)。descriptorType も SKILL ではなく AGENT_SKILLS。
TIL
Agent Registry の MCP レコード作成は server.json スキーマの制約に注意
AWS Agent Registry で MCP レコードを作成する際、name の reverse-DNS 形式、description の 100 文字制限、schemaVersion の必須指定でバリデーションエラーになる。ドキュメントの Minimal example だけでは分からない。
TIL
RDS Proxy 経由の Blue/Green Switchover では AdminShutdown ではなく SSL 切断が発生する
Aurora PostgreSQL の Blue/Green Switchover 中、ドキュメントでは AdminShutdown エラーが記載されているが、RDS Proxy 経由では SSL connection has been closed unexpectedly が発生する。エラーハンドリングの設計時に注意が必要。
TIL
EKS Auto Mode クラスターにマネージドノードグループを追加するには vpc-cni 等のアドオンが必要
EKS Auto Mode で作成したクラスターにマネージドノードグループを追加すると NodeCreationFailure (cni plugin not initialized) で失敗する。vpc-cni、kube-proxy、coredns アドオンの手動インストールで解決する。
約1分
TIL
amazon-efs-utils v2.x がインストール済みだと公式インストーラーで v3.0.0 にアップグレードされない
S3 Files に必要な amazon-efs-utils v3.0.0 を公式インストーラースクリプトでインストールしようとしたが、v2.x が既に入っていると v3.0.0 にならなかった。未インストール状態で実行すれば解決する。
TIL
AWS Security Agent は SQL Injection で取得したクレデンシャルで自力ログインする
認証情報を提供しなくても、Agent は SQL Injection でデータベースからクレデンシャルを抽出し、TOTP コードを推測して管理者としてログインした。ドキュメントの「認証情報なしでは公開ページのみテスト」は攻撃チェーンによる突破を除外していない。
TIL
AWS Security Agent のペンテストは HTML リンクがないとエンドポイントを発見できない
Security Agent の SCANNER は JSON レスポンスからリンクを辿らない。API-only アプリをテストする場合は HTML の <a> タグやフォームを含むエントリポイントが必要。
TIL
AWS Security Agent の Code Remediation には NAT Gateway が必要
Code Remediation を有効にしたペンテストで Unable to reach GitHub repository エラー。Agent のテスト環境は Agent Space のサブネットで起動し、GitHub にアクセスするためインターネット接続が必要。
TIL
AWS Security Agent の create-pentest で subnetArns は1つしか指定できない
create-pentest の vpcConfig.subnetArns は配列だが、2つ以上指定すると 'Maximum of 1 subnet id is allowed' エラーになる。EC2 と同じサブネットを1つだけ指定する。
TIL
AWS Security Agent の Private VPC ドメインは UNREACHABLE が正常な検証状態
Target Domain の HTTP Route 検証で UNREACHABLE になっても問題ない。Private VPC ドメインの場合、UNREACHABLE がペンテストに使用可能な正常状態。ドキュメントに記載あり。
TIL
ECS Managed Instances のデーモンには専用の IAM ポリシーが必要
ECS Managed Daemons が起動しない場合、インスタンスプロファイルに AmazonECSInstanceRolePolicyForManagedInstances をアタッチしているか確認する。従来の AmazonEC2ContainerServiceforEC2Role では動かない。
TIL
Security Agent の Application はリージョナルリソース(グローバルではない)
Security Agent の Application は1アカウント1つではなく1リージョン1つ。東京で作成した Application は us-east-1 からは見えず、リージョンごとに create-application が必要。
TIL
AWS Security Agent のサービスロールに CloudWatch Logs 権限が必須(ドキュメント未記載)
Security Agent のペネトレーションテストで PREFLIGHT が AccessDeniedException で即失敗する場合、サービスロールに logs:CreateLogGroup 権限が不足している。公式ドキュメントに記載がない。
TIL
Security Agent のペンテストはシングルスレッドサーバーをクラッシュさせる — gunicorn 等が必須
AWS Security Agent は13カテゴリの攻撃を並列実行するため、Flask 開発サーバーのようなシングルスレッドサーバーは HTTP 503 でクラッシュする。gunicorn 等のマルチワーカー構成が必要。
TIL
Security Agent の sourceCode は東京リージョンで INTERNAL_ERROR、us-east-1 では正常動作
sourceCode を使ったペンテストが東京リージョンで2回連続 INTERNAL_ERROR になったが、us-east-1 では同じ設定で正常に動作した。documents は東京でも問題なし。
TIL
Security Agent の sourceCode は ZIP 必須、documents は生ファイルで指定できる
create-pentest の assets.sourceCode に生ファイルを指定すると「Source code S3 URL must point to a ZIP archive」エラーになる。documents は生ファイルを直接指定可能。
TIL
Security Agent の sourceCode と documents は処理パイプラインが根本的に異なる
sourceCode は CODE SCANNER(BUSINESS LOGIC / IMPORTANT FLOWS / FRAMEWORKS)で体系的な静的分析を実行し PENTEST 前に脆弱性を検出する。documents は DOCUMENTS タスクで文脈処理するのみ。
TIL
Security Agent の VPC Config 利用時、CLI のドメイン検証が UNREACHABLE でもペンテストは実行可能
verify-target-domain CLI コマンドはパブリック経由で検証するためプライベート DNS は UNREACHABLE になるが、VPC Config 経由のペンテストでは PREFLIGHT 中に別途 VPC 内部検証が行われる。
TIL
DevOps Agent の IAM アクションプレフィックスは aidevops だった
AWS DevOps Agent の IAM アクションプレフィックスは devops-agent ではなく aidevops。boto3 のクライアント名は devops-agent だがポリシーでは aidevops:* を指定する。AWS CLI は v2.34.20 以降で対応。
TIL
DevOps Agent Webhook の同一 incidentId は破棄ではなくリンクされる
ドキュメントには Duplicate messages are deduplicated と記載されているが、実際には同一 incidentId の Webhook は既存の Investigation にリンクされ、リンク先の Investigation が再び In Progress に遷移する動作が確認された。
TIL
Lambda マネージドランタイムの boto3 に新サービスのモデルがない場合は PYTHONPATH でバンドル版を優先する
Lambda の Python マネージドランタイムに含まれる boto3 が古く、DevOps Agent などの新サービスのサービスモデルがない場合がある。PYTHONPATH=/var/task を設定してバンドル版 boto3 を優先させることで解決する。
TIL
Spring Boot + HikariCP ではノードベース ElastiCache でもウォームアップが効く
素の JDBC では不要だったウォームアップが、HikariCP のコネクションプール初期化により Spring Boot 環境では有効。初回リクエストが 2443ms → 264ms に改善した。
TIL
AWS SDK for Rust は初回リクエストに約900msかかる — TLS ハンドシェイクが99%
Lambda で AWS SDK for Rust のクライアントを Init で初期化しても、初回の API 呼び出しに約900msかかる。分離計測の結果、TLS ハンドシェイクが745msで99%を占めていた。
TIL
ElastiCache Serverless の接続は10分アイドルでは切断されない
公式ドキュメントではアイドルタイムアウトが非公開だが、実機検証で10分のアイドル後もキャッシュ接続が維持されることを確認した。
TIL
ElastiCache Serverless の初回レイテンシは公式ドキュメントに記載がある
「初回リクエストは通常より高レイテンシになる」ことが AWS 公式トラブルシューティングガイドの Reuse connections セクションに明記されている。
TIL
Lambda Durable Functions の呼び出しには修飾付き ARN が必須
未修飾の関数名で invoke すると InvalidParameterValueException になる。$LATEST を付けるか publish-version したバージョン番号を指定する。
TIL
Lambda Durable Functions のサスペンド中ステータスは RUNNING
コールバック待ちでサスペンドしていても get-durable-execution のステータスは RUNNING。実行履歴の CallbackStarted イベントで判断する。
TIL
AWS Payment Cryptography の HMAC 鍵は Java SDK v2.31.9 から作成できない
TIL
AWS Payment Cryptography の PVK アルゴリズムでドキュメント間に不整合がある
TIL
ECS の NLB 用インフラロールポリシーの ARN に service-role/ プレフィックスはない
AmazonECSInfrastructureRolePolicyForLoadBalancers の ARN は service-role/ なし。他の ECS ポリシーと同じパターンで書くと AttachRolePolicy が失敗する。
TIL
ECS の update-service で Linear ↔ Canary を動的に切り替えられる
ECS サービスの再作成なしに、update-service の --deployment-configuration で Linear と Canary を動的に切り替えられることを確認した。
TIL
ElastiCache for Valkey のノードベースクラスターは CreateCacheCluster ではなく CreateReplicationGroup で作る
aws elasticache create-cache-cluster --engine valkey が InvalidParameterValue で失敗する。Valkey エンジンは CreateReplicationGroup API が必須だった。
TIL
RDS の StorageEncrypted: false は「暗号化されていない」を意味しない
Aurora Express Configuration のクラスターで StorageEncrypted: false が返るが、公式ドキュメントには RDS サービス所有キーで暗号化されていると明記されている。API レスポンスとドキュメントの記述が矛盾する例。
TIL
EKS Pod Identity セッションポリシーの AccessDenied は原因が明示される
セッションポリシー起因の拒否は「no session policy allows」、IAM ロール起因は「no identity-based policy allows」とエラーメッセージで区別できる。IAM の権限トラブルシューティングが格段にやりやすい。
TIL
Network Firewall Proxy は HTTP でも PreRequest フェーズのルールが効く
TLS インターセプトなしでも HTTP の absolute-form リクエストに対しては PreRequest フェーズの HTTP メソッドやヘッダーの検査が可能。ドキュメントの記述は HTTPS に限定した話だった。
TIL
Network Firewall Proxy の PrivateLink 経由アクセスでは SourceIp が NAT される
PrivateLink エンドポイント経由のクロス VPC アクセスでは request:SourceIp がエンドポイントの ENI IP に NAT される。SourceVpc や SourceVpce で代替する必要がある。
TIL
Aurora PostgreSQL の Blue/Green でカスタムパラメータグループ使用時は Green 用も事前作成が必要
カスタムパラメータグループを使っている Aurora PostgreSQL クラスターでメジャーバージョンアップグレードを伴う Blue/Green デプロイメントを作成すると InvalidParameterCombination で失敗する。Green 用のパラメータグループを明示的に指定する必要がある。
TIL
Aurora Blue/Green デプロイメントは論理レプリケーションの事前有効化が必須
デフォルトパラメータグループのまま create-blue-green-deployment を実行すると SourceClusterNotSupportedFault で失敗する。PostgreSQL は rds.logical_replication = 1、MySQL は binlog_format = ROW を設定し、全インスタンスの再起動が必要。
TIL
HikariCP は Blue/Green Switchover 後も旧 Writer に接続し続ける
Blue/Green Switchover 中に全接続が切断された後、HikariCP が DNS キャッシュ経由で旧 Writer に再接続してしまう問題。書き込みワークロードでは read-only transaction エラーが発生する。PostgreSQL でも MySQL でも同じ挙動。
TIL
AgentCore CLI は AWS_REGION 環境変数が aws-targets.json より優先される
aws-targets.json に us-east-1 を指定しても、AWS_REGION=ap-northeast-1 が設定されていると ap-northeast-1 にデプロイされる。CLI のドキュメントに明記されていない挙動。
TIL
CloudFormation スタックが DELETE_FAILED で残ると eksctl create cluster が失敗する
eksctl create cluster が AlreadyExistsException で失敗する場合、DELETE_FAILED 状態の CloudFormation スタックが残っている可能性がある。手動で削除すれば解決する。
TIL
EKS Auto Mode は Pod が載っていない空ノードを自動で削除する
EKS Auto Mode(Karpenter)は空ノードを DisruptionTerminating: Empty で自動ターミネートする。コスト最適化のための正常な挙動。
TIL
aws eks list-insights でアップグレード前のブロッカーを事前検出できる
EKS Cluster Insights は kubelet version skew やアドオン互換性の問題を自動検出する。kubent/pluto と併用するとアップグレード判断が楽になる。
TIL
topologySpreadConstraints は hostname だけでなく zone も設定すべき
hostname だけだと同一 AZ 内の別ノードに分散するだけ。topology.kubernetes.io/zone を追加して AZ 間分散を保証する。
TIL
agentcore destroy 後の VPC 削除で DependencyViolation が出たら ENI の解放を待つ
AgentCore Runtime が VPC 内に作成した ENI は destroy 後も数時間 in-use のまま残ることがある。サブネットや VPC の削除は ENI が available になってから再試行する。
TIL
Identity Center のホームリージョンは sso-admin list-instances を各リージョンで叩いて特定する
Identity Center はグローバルに見えるが実体は特定リージョンにある。EKS Capabilities の idcRegion を間違えると AccessDeniedException になる。
TIL
Bedrock Foundation Model の IAM ポリシーではアカウント ID を空にする
Foundation Model の ARN は arn:aws:bedrock:region::foundation-model/... のようにアカウント ID が空。サンプルの ACCOUNT_ID プレースホルダーをそのまま置換すると権限が効かない。
TIL
EKS のアクセスエントリとアクセスポリシーは別物で、両方必要
EKS Capabilities が自動作成するアクセスエントリにはデプロイ権限がない。associate-access-policy で別途ポリシーを関連付けないと ArgoCD の同期が失敗する。
約1分
TIL
Lambda AZメタデータのPowertools対応はPython版未リリース・TypeScript版は利用可能
公式ドキュメントにはPython/TypeScript両方のPowertoolsコード例があるが、Python版3.25.0にはlambda_metadataモジュールが未収録でModuleNotFoundErrorになる。TypeScript版は@aws-lambda-powertools/commons 2.32.0で対応済み。
TIL
AgentCore の boto3 クライアントはコントロールプレーンとデータプレーンで分かれている
bedrock-agentcore-control(作成・削除)と bedrock-agentcore(セッション操作・コード実行)を混同すると AttributeError になる。
TIL
AgentCore Policyで条件なしのCedar permitはOverly Permissiveで自動拒否される
Bedrock AgentCore PolicyでCedar permitにwhen句を付けずに作成するとCREATE_FAILEDになる。FAIL_ON_ANY_FINDINGSの自動推論が原因。
TIL
AgentCore GatewayとPolicy Engineで命名規則が異なる
Bedrock AgentCore GatewayはハイフンのみでPolicy Engineはアンダースコアのみ。同じプレフィックスを使い回すとValidationExceptionになる。
TIL
AWS CLIの設定ファイルをXDG Base Directoryに準拠させるには環境変数2つで済む
AWS CLIはデフォルトで~/.aws/以下を使うが、AWS_CONFIG_FILEとAWS_SHARED_CREDENTIALS_FILEを設定するだけでXDG準拠にできる。
TIL
Lambda の capacity-provider-config は関数作成時にしか指定できない
update-function-configuration で後から追加しようとすると CapacityProviderConfig isn't supported for Lambda Default functions エラーになる。
TIL
Lambda Managed Instances は --log-type Tail 非対応、Duration は CloudWatch の platform.report で取得する
Invoke API で Tail を指定するとエラーになる。代わりに CloudWatch Logs の platform.report イベントから Duration を取得できる。
TIL
Lambda Managed Instances のオペレーターロールには AWSLambdaManagedEC2ResourceOperator が必須
EC2 FullAccess や AdministratorAccess をアタッチしても InsufficientRolePermissions で失敗する。専用のマネージドポリシーが必要だった。
TIL
AgentCore Memory の CLI パラメータ名はドキュメントのスキーマと異なる箇所がある
batch-update-memory-records の timestamp 必須や、memory-strategies のキー名 semanticMemoryStrategy / namespaceTemplates など、ドキュメントと AWS CLI の差異をまとめた。
TIL
Lambda Durable Functions の IAM アクション名は CheckpointDurableExecution(単数形)
ドキュメントの一部に CheckpointDurableExecutions(複数形)と記載があるが、実際に必要なのは単数形。複数形だと権限エラーになる。
TIL
Lambda Durable Functions SDK の DurableContext は named import できない
import { DurableContext } from '@aws/durable-execution-sdk-js' は SyntaxError になる。withDurableExecution のみ import し、型は推論に任せる。