ブログ
VPC Encryption Controls の Monitor・Enforce 両モードを実トラフィックで検証する
VPC Encryption Controls の Monitor/Enforce 両モードを実機検証。Flow Logs の encryption-status の実態、Enforce 移行に15分以上かかる非同期処理、VPC エンドポイント ENI マイグレーションの落とし穴を計測データとともに報告する。
← すべてのタグ
タグ: #vpc
「vpc」タグが付いたコンテンツ一覧
ブログ記事
ブログ
Network Firewall Proxy 検証 — PrivateLink でマルチ VPC 構成を組む
Network Firewall Proxy の集中型構成を検証。PrivateLink エンドポイント経由のクロス VPC アクセスで SourceVpc による VPC 別ポリシー制御が機能する一方、SourceIp は NAT されて使えないことを確認した。
ブログ
Network Firewall Proxy 検証 — ACM PCA で TLS インターセプトを有効化する
Network Firewall Proxy の TLS インターセプトを ACM Private CA で有効化し、PreRequest フェーズの HTTP メソッド制限と PostResponse フェーズの Content-Type ブロックを検証した。PCA 設定の落とし穴と Preview 固有の制約も共有する。
ブログ
Network Firewall Proxy 検証 — セットアップからドメインフィルタリングまで
AWS Network Firewall Proxy(Public Preview)を検証。NAT Gateway 統合のセットアップから PreDNS フェーズのドメインフィルタリング、ソースベース制御、DNS スプーフィング耐性まで実機で確認した。
TIL
TIL
Security Agent の VPC Config 利用時、CLI のドメイン検証が UNREACHABLE でもペンテストは実行可能
verify-target-domain CLI コマンドはパブリック経由で検証するためプライベート DNS は UNREACHABLE になるが、VPC Config 経由のペンテストでは PREFLIGHT 中に別途 VPC 内部検証が行われる。
TIL
Network Firewall Proxy の PrivateLink 経由アクセスでは SourceIp が NAT される
PrivateLink エンドポイント経由のクロス VPC アクセスでは request:SourceIp がエンドポイントの ENI IP に NAT される。SourceVpc や SourceVpce で代替する必要がある。
TIL
EKS クラスター削除後の VPC 削除は VPC エンドポイントの ENI 解放を待つ必要がある
EKS クラスターを削除しても自動作成された VPC エンドポイントが残り、ENI が in-use のまま VPC 削除が DependencyViolation で失敗する。VPC エンドポイントを明示的に削除し、ENI 解放を待つ。
TIL
agentcore destroy 後の VPC 削除で DependencyViolation が出たら ENI の解放を待つ
AgentCore Runtime が VPC 内に作成した ENI は destroy 後も数時間 in-use のまま残ることがある。サブネットや VPC の削除は ENI が available になってから再試行する。