TIL
Strands Agents の Structured Output は内部的にツールとして動作する
structured_output_model に渡した Pydantic モデルがメトリクスの tool_usage にツールとして表示される。デバッグ時に見慣れないツール名が出たらこれが原因。
TIL
Today I Learned — 日々の学びを記録
TIL
ECS Managed Instances のデーモンには専用の IAM ポリシーが必要
ECS Managed Daemons が起動しない場合、インスタンスプロファイルに AmazonECSInstanceRolePolicyForManagedInstances をアタッチしているか確認する。従来の AmazonEC2ContainerServiceforEC2Role では動かない。
TIL
Security Agent の Application はリージョナルリソース(グローバルではない)
Security Agent の Application は1アカウント1つではなく1リージョン1つ。東京で作成した Application は us-east-1 からは見えず、リージョンごとに create-application が必要。
TIL
AWS Security Agent のサービスロールに CloudWatch Logs 権限が必須(ドキュメント未記載)
Security Agent のペネトレーションテストで PREFLIGHT が AccessDeniedException で即失敗する場合、サービスロールに logs:CreateLogGroup 権限が不足している。公式ドキュメントに記載がない。
TIL
Security Agent のペンテストはシングルスレッドサーバーをクラッシュさせる — gunicorn 等が必須
AWS Security Agent は13カテゴリの攻撃を並列実行するため、Flask 開発サーバーのようなシングルスレッドサーバーは HTTP 503 でクラッシュする。gunicorn 等のマルチワーカー構成が必要。
TIL
Security Agent の sourceCode は東京リージョンで INTERNAL_ERROR、us-east-1 では正常動作
sourceCode を使ったペンテストが東京リージョンで2回連続 INTERNAL_ERROR になったが、us-east-1 では同じ設定で正常に動作した。documents は東京でも問題なし。
TIL
Security Agent の sourceCode は ZIP 必須、documents は生ファイルで指定できる
create-pentest の assets.sourceCode に生ファイルを指定すると「Source code S3 URL must point to a ZIP archive」エラーになる。documents は生ファイルを直接指定可能。
TIL
Security Agent の sourceCode と documents は処理パイプラインが根本的に異なる
sourceCode は CODE SCANNER(BUSINESS LOGIC / IMPORTANT FLOWS / FRAMEWORKS)で体系的な静的分析を実行し PENTEST 前に脆弱性を検出する。documents は DOCUMENTS タスクで文脈処理するのみ。
TIL
Security Agent の VPC Config 利用時、CLI のドメイン検証が UNREACHABLE でもペンテストは実行可能
verify-target-domain CLI コマンドはパブリック経由で検証するためプライベート DNS は UNREACHABLE になるが、VPC Config 経由のペンテストでは PREFLIGHT 中に別途 VPC 内部検証が行われる。
TIL
DevOps Agent の IAM アクションプレフィックスは aidevops だった
AWS DevOps Agent の IAM アクションプレフィックスは devops-agent ではなく aidevops。boto3 のクライアント名は devops-agent だがポリシーでは aidevops:* を指定する。AWS CLI は v2.34.20 以降で対応。