AWSre:Postへようこそ

EC2にリモートデスクトップ接続できなくなり、オートメーションドキュメント(1)”AWSSupport-TroubleshootRDP”を実行し、FirewallをDisableにして解決をはかろうとしていますが、当該インスタンスにアタッチする上記オートメーション実行が可能なロールを作成するにあたって、そのロールに適用すべきポリシーはどれなのかがわかりません。また、このインスタンスに関しては、運用業務として(2)「再起動」や(3)「スナップショットの作成」をできるようにしておきたいのですが、これら(1)～(3)を可能とするポリシーはどれとどれを選択すべきでしょうか？lg...

どのように以前あるいはできるだけ以前に近い状態に復旧できるか知見を伺いたいです。 # 状況 OpenSearch Dashboards ログインができなくなった。初期パスワード、変更後のパスワード、追加したユーザーの id とパスワード、いずれでもログインができない。 S3 から Lambda を利用して取り込んでいるログ取り込みが動作しなくなった。 # 履歴 - 2023-03-20 16:34 JST 頃 OpenSearch 2.3 から OpenSearch 2.5 にアップグレード（関係性は不明） - 2023-03-21 08:10 JST 頃 Lambda からの書き込みのエラー率が増えている（以前より休日の後等は発生していたので、この時点では問題ではない） - 2023-03-21 09:28 JST 頃 Lambda からの書き込みのエラー率が 100% になり、以後復帰しない - 2023-03-21 09:30 JST 頃 DataNode(4B0DAjxpR1-0-hhRKavmoA) が消える（空きストレージ領域 30 GiB） - 2023-03-21 09:54 JST 頃 DataNode(QxOpUYveTtSARE8OPrjZyg) が出現している（空きストレージ領域 78 GiB） # 構築経緯 ダッシュボード類は SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service を利用して構築していた # インスタンス情報 アベイラビリティーゾーン 1-AZ インスタンスタイプ t3.small.search ノードの数 1 # エラーログ Lambda のログは ``` 2023-03-21T10:13:16.387+09:00 {"level":"INFO","message":"version: 2.8.0c","location":"<module>:28","timestamp":"2023-03-21 01:13:16,386+0000","service":"es-loader"} 2023-03-21T10:13:16.428+09:00 [WARNING] 2023-03-21T01:13:16.427Z GET https://search-aes-siem- HIDDEN .ap-northeast-1.es.amazonaws.com:443/ [status:403 request:0.029s] 2023-03-21T10:13:16.429+09:00 [ERROR] AuthorizationException: AuthorizationException(403, 'security_exception', 'no permissions for [cluster:monitor/main] and User [name=arn:aws:iam:: HIDDEN :role/siem-os-LambdaEsLoaderServiceRoleFFD43869-105W98074P6X3, backend_roles=[arn:aws:iam:: HIDDEN :role/siem-os-LambdaEsLoaderServiceRoleFFD43869-105W98074P6X3], requestedTenant=null]') Traceback (most recent call last): File "/var/lang/lib/python3.8/imp.py", line 234, in load_module return load_source(name, filename, file) File "/var/lang/lib/python3.8/imp.py", line 171, in load_source module = _load(spec) File "<frozen importlib._bootstrap>", line 702, in _load File "<frozen importlib._bootstrap>", line 671, in _load_unlocked File "<frozen importlib._bootstrap_external>", line 843, in exec_module File "<frozen importlib._bootstrap>", line 219, in _call_with_frames_removed File "/var/task/index.py", line 341, in <module> DOMAIN_INFO = es_conn.info() File "/var/task/opensearchpy/client/utils.py", line 177, in _wrapped return func(*args, params=params, headers=headers, **kwargs) File "/var/task/opensearchpy/client/__init__.py", line 247, in info return self.transport.perform_request( File "/var/task/opensearchpy/transport.py", line 407, in perform_request raise e File "/var/task/opensearchpy/transport.py", line 368, in perform_request status, headers_response, data = connection.perform_request( File "/var/task/opensearchpy/connection/http_requests.py", line 203, in perform_request self._raise_error( File "/var/task/opensearchpy/connection/base.py", line 300, in _raise_error raise HTTP_EXCEPTIONS.get(status_code, TransportError)( 2023-03-21T10:13:16.589+09:00 START RequestId: 20ea490d-c2d9-422b-9d5b-4e283813bd5d Version: $LATEST 2023-03-21T10:13:16.590+09:00 Unknown application error occurred Runtime.Unknown 2023-03-21T10:13:16.590+09:00 END RequestId: 20ea490d-c2d9-422b-9d5b-4e283813bd5d ``` のように、403 を示している。 ダッシュボードにログインしようとすると > Invalid username or password. Please try again. を示し、ログインができない。 # コメント Single-AZ であるため、SLA 違反に問えないことは了解している。 しかし、動かないものに料金が発生し続けているため、困っている。修復する方法はあるか？ いきなりデータが消失し（空きストレージ領域が増えている）、しかもログインできないため利用ができなくなった。lg...

現在、Citrix社のXenApp仮想環境で運用しているWindows環境をAWSに移行しようと計画しております。 その場合、現行環境と同様に、各ユーザは、XenDesktopからアイコン選択で各種アプリケーションを実行させる事は可能なのでしょうか。 また、XenApp環境では、XenAppサーバーにクライアントが実際に起動するアプリケーションを配備するのですが、AWSの環境下での論理構成としては、XenApp環境(Webサーバー)をEC2上でWebサーバー環境を構築し、Amazon RDSにてDB環境を構築するような構成が想定される認識で宜しいのでしょうか。 AWSに関する知識が浅いため、ご教示頂けますと大変有難いです。lg...

Redshift ServerlessのRPUスケールの挙動を確認したく、以下のような実験をしました。 Redshift Serverlessのクラスタを先日指定できるようになったBase Capacity= 8で作成。 このクラスタにテストデータを投入し、テストクエリを実行。 以下のような結果になりました。 1.テストクエリを一つだけ実行->50秒程度かかる 2.同じテストクエリを5つ同時に実行->それぞれのクエリが3分程度かかる どちらの実行時でもRPU(Compute Capacityのメトリクス)はBase Capacityとして指定した"8"のまま変化なしでした。 期待値としては、1も2も自動でRPUがスケールし、さらに2ではSQLを並行実行しても1と同じ程度の実行時間で済む、だったのですが、どちらでもRPUのスケールは発生せず、並行処理はそのまま時間が長くなってしまいました。 結果だけ見ると、期待通り動いていませんが、RPUのスケールが発生するようなデータとクエリの条件をうまくつくれなかった可能性もあると思っています。 そこで質問ですが、 ・Redshift ServerlessのRPUがスケールする様子を観測できるようなテスト方法（SQLと実行方法)、テストデータの作り方(有用な公開データとそれをつかったテストテーブルの作成方法)はありますか ・どのような条件でRPUはスケールするか、参考となる実例はありますか よろしくおねがいします。lg...

検索画面にて、大量のデータを取得すると（10万件ぐらいなら問題ない） 以下のエラーが出ます 「このページは動作していません 〇〇では現在このリクエストを処理できません。 HTTP ERROR 500」 恐らく大量のデータを扱っていることが原因ですが、 このような場合はどうすれば解消されそうでしょうか？ 例：RDSの〇〇を拡張 等 初歩的な質問かも知れませんが、何卒よろしくお願いいたします。lg...

Cognito "ユーザープールのSAML IDプロバイダの作成と管理" "SAML 2.0 IDP にデジタル署名用証明書を提供するには" "idPがSAMLリクエストとログアウトリクエストの検証に使用できるパブリックキー”の原文は、"your idP can use to validate SAML logout requests" です。 SAMLでのAuthenticateRequestに対してもデジタル署名してくれるように読み取れますが、正しいですか？　仮にAzure　SAML　アプリケーション側で、SAML要求の署名検証を、このキーをアップロード設定して検証可能となることを意味しますか？ 何でこんな翻訳なのでしょう？lg...

## 前提 AWS Device FarmでAppium Pythonフレームワークを用いてテストを実行しています。 testspec.yamlの artifacts フェーズに $DEVICEFARM_LOG_DIR を指定し、Customer Artifacts を生成する設定にしています。 Customer Artifacts のダウンロードリンクはテスト実行後に、Device Farmコンソールで 該当するRun名をクリック、実行したデバイスリンク(Job)をクリックし、FilesタブのTest Suite内に表示されます。 また、 aws devicefarm list-artifacts コマンドでも取得することができます。 ## 原因に関係する前提要素 テスト実行時の画面録画をDevice Farmとは別の機能で行っており、その動画ファイルが $DEVICEFARM_LOG_DIR に格納されています。 ## 表示されないケース テスト実行時間が長時間になる場合、表示されていませんでした。 長時間とは例えば、実行時間が01:19:15の場合などです。 短時間(00:13:36など)の実行では正常に表示されています。 ## 調査した内容 リンクが存在しないだけなのか、そもそも実体が存在しないのかを調査しました。 結論実体が存在していないようです。 aws devicefarm list-artifacts コマンドで Customer Artifacts を示す URL の取得を試みましたが、存在してないことがわかりました。 ## 質問内容 Customer Artifacts が生成されない原因、及びその回避策を知りたいと思っています。lg...

現状以下のようなアーキテクチャの認証APIがあります [aws cloud front] -> [aws waf] -> [aws alb] -> [(自前の認証API)aws ecs] -> [RDS] 上記、自前の認証APIへの攻撃を検知する方法を模索しているのですが、本ケースにマッチするようなサービス、サービスの組み合わせはありますでしょうか？（WAFで防げるよということであれば、その辺りの詳細もご教示いただけると幸いです） 検知したいのは以下のような攻撃のケースです。 * 同一アクセス元IPアドレスから複数ユーザに対するアクセス試行 * 通常とは大きく地理的に異なる位置からのユーザに対するアクセス試行 認証のURIは全ユーザで同じで、ユーザのIDはpostメソッドのbodyに含まれています。 上記が必要になった背景として、SIEMの導入を検討しており、SplunkとAWSサービス群での比較を行っています。 現状Open Searchでアーキテクチャの各コンポーネントのログをとれているのですが、Open Searchでこのようなケースを検出するQueryの書き方もわからず、手詰まり状態となっています。 理想は自動で検知されてアラートが上がることですが、ログから分析して兆候を検知できればOKな状態です。lg...

質問失礼します。 AmazonConnectにて、チャットウィジェットカスタマイズ機能から生成したコードを使用し、自サイトにチャットを実装したところ、500 Internal server errorが発生しチャットが開始できませんでした。 デベロッパーツール上では以下のように記載されており、StartChatContactAPIのリクエストが500で返ってきていると思われますが、原因の特定に至れておりません。 *POST https://■■■.execute-api.us-east-1.amazonaws.com/prod/widget/■■■/start 500* 「チャットウィジェットのためのセキュリティを追加」を「はい」に設定し、authenticateスニペットを追加・JWTを発行するようにしています。 この設定を「いいえ」にすると正常にチャットを開始できることが確認できています。 [トラブルシューティングページ](https://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/troubleshoot-chatwidget.html)も参考にしてみましたが、インスタンスは今年作ったもので、サービスにリンクされたロールも問題なさそうです。 以下は生成されたJWTをデコードした一例です。 （ヘッダー） "alg": "HS256", "typ": "JWT" （ペイロード） "attributes": "{\"sampleId\":\"xxx-yyy\"}", "sub": "■■■", "nbf": 1677827090, "exp": 1677827270, "iat": 1677827090 知識が乏しく初歩的な問題でしたら恐縮ですが、確認方法・解決方法についてご教授いただけますと幸いです。 よろしくお願いいたします。lg...

Lightsailのインスタンスを誤って削除してしました。 スナップショットも合わせて削除されてしまった場合に復旧する方法はありますでしょうか？lg...

Viteを使用し、TypeScriptを使用したReact AdminにAmplity Authを組み込もうとしています。 viteでサイトを起動しようとするとコンソールに下記のエラーが出ます。 > http://localhost:5173/node_modules/.vite/deps/amplify-authenticator.entry.js net::ERR_ABORTED 504 (Gateway Timeout). > TypeError: Failed to fetch dynamically imported module: http://localhost:5173/node_modules/.vite/deps/amplify-authenticator.entry.js. > Uncaught (in promise) TypeError: Cannot read properties of undefined (reading 'isProxied') App.tsxのソースコードは以下の通りです。 (React AdminのAdminコンポーネントなどが原因かと思い、削除しましたが、結果は変わりませんでした) このため、Cognitoとの接続に問題があるのではないかと質問いたします。 回答よろしくお願いいたします。 ``` const App = () => { const [authState, setAuthState] = useState<AuthState>(); const [user, setUser] = useState<object | undefined>(); useEffect(() => { return onAuthUIStateChange((nextAuthState, authData) => { setAuthState(nextAuthState); setUser(authData); }); }, []); return authState === AuthState.SignedIn && user ? ( <div className='App'> <div>Hello, World</div> <AmplifySignOut /> </div> ) : ( <AmplifyAuthenticator /> ); }; ``` なお、cognitoの情報は下記のように記載しております。情報はマスクしています。 ``` export const cognito = { aws_project_region: "XXX", aws_cognito_region: "XXX", aws_user_pools_id: "XXX", aws_user_pools_web_client_id: "XXX", aws_cognito_identity_pool_id: "", }; ```lg...

本日から以下のエラーメッセージが表示されCodeDeployでのデプロイに失敗するようになりました。 昨日まではデプロイに成功しており、デプロイの設定、AutoScalingの設定は変えていません。 The deployment failed because a non-empty field was discovered on your Auto Scaling group that Code Deploy does not currently support copying. Unsupported fields: [DescribeAutoScalingGroupsResponse.DescribeAutoScalingGroupsResult.AutoScalingGroups.member.TrafficSources.member.Identifier] どこを確認すると良さそうでしょうか？ ■該当のデプロイグループの情報 コンピューティングタイプ：EC2/オンプレミス デプロイタイプ：Blue/Green 環境設定：Amazon EC2 Auto Scalling グループの自動コピー デプロイ設定：すぐにトラフィックを再ルーティング 　　　　　　　デプロイグループの置き換え元インスタンスを修了 Load balancer：Application Load Balancer またはNetwork Load Balancer 　 追記： 引き続きエラーが発生しており、以下のエラーメッセージが表示されるように変わりました。 The following validation error occurred: Setting elasticloadbalancing as traffic sources is currently not supported. Supported sources are none. Provide a supported traffic source in your request and try again. (Service: AmazonAutoScaling; Status Code: 400; Error Code: ValidationError; Request ID:XXXXXXXXXXXXXXXXXXXXX; Proxy: null) 他AWSアカウントでも同様の問題が発生しているため、もしかすると不具合なのかもしれないですね。lg...

お世話になっております。 現在、以下のハンズオンをAWS Cloud9で試しております。 タイトル：Real-time streaming transcription with the AWS C++ SDK https://aws.amazon.com/jp/blogs/developer/real-time-streaming-transcription-with-the-aws-c-sdk/ その際のエラーについて教えてください。 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 【環境について】 Cloud9内の環境構築は、 AWS Cloud9 の C++ サンプル： https://docs.aws.amazon.com/ja_jp/cloud9/latest/user-guide/sample-cplusplus.html を参考にし、実現しました。 【現状について】 実現したいことに記載したAWS公式ハンズオンにおける、 ・portAudioのインストール＆ビルド ・Amazon Transcribe Streaming C++ SDK のインストール&ビルド ・2つのソースファイルの記入と配置 ・CMakeスクリプト(CMakeLists.txt)の作成 まで完了し、残すは、アプリケーションのビルド $ mkdir build $ cd build $ cmake .. -DCMAKE_BUILD_TYPE=Release $ cmake --build . --config Release となっています。 ディレクトリ構成は以下のように設定しております： ├── aws-sdk-cpp ├── cmake-3.18.0 ├── portaudio └── transcribeTestApl 　　　├── CMakeLists.txt 　　　├── audio-capture.cpp 　　　├── build 　　　└── main.cpp 【発生している問題・エラーメッセージ】 上記の「現状について」で記載した、 $ cmake --build . --config Release によってリリースをした際に以下のようなエラーが発生してしまいます。 Scanning dependencies of target demo [ 33%] Building CXX object CMakeFiles/demo.dir/audio-capture.cpp.o In file included from /home/ec2-user/environment/transcribeTestApl/audio-capture.cpp:4:0: /usr/local/include/aws/transcribestreaming/model/AudioStream.h: In member function ‘Aws::TranscribeStreamingService::Model::AudioStream& Aws::TranscribeStreamingService::Model::AudioStream::WriteConfigurationEvent(const Aws::TranscribeStreamingService::Model::ConfigurationEvent&)’: /usr/local/include/aws/transcribestreaming/model/AudioStream.h:47:44: error: invalid use of incomplete type ‘class Aws::Utils::Json::JsonValue’ msg.WriteEventPayload(value.Jsonize().View().WriteCompact()); ^ In file included from /usr/local/include/aws/transcribestreaming/model/ConfigurationEvent.h:9:0, from /usr/local/include/aws/transcribestreaming/model/AudioStream.h:9, from /home/ec2-user/environment/transcribeTestApl/audio-capture.cpp:4: /usr/local/include/aws/transcribestreaming/model/PostCallAnalyticsSettings.h:18:9: note: forward declaration of ‘class Aws::Utils::Json::JsonValue’ class JsonValue; ^~~~~~~~~ /home/ec2-user/environment/transcribeTestApl/audio-capture.cpp: In function ‘int AudioCaptureCallback(const void*, void*, long unsigned int, const PaStreamCallbackTimeInfo*, PaStreamCallbackFlags, void*)’: /home/ec2-user/environment/transcribeTestApl/audio-capture.cpp:17:92: error: no matching function for call to ‘Aws::TranscribeStreamingService::Model::AudioStream::AudioStream(void*&)’ auto stream = static_cast<Aws::TranscribeStreamingService::Model::AudioStream>(userData); ^ In file included from /home/ec2-user/environment/transcribeTestApl/audio-capture.cpp:4:0: /usr/local/include/aws/transcribestreaming/model/AudioStream.h:28:44: note: candidate: Aws::TranscribeStreamingService::Model::AudioStream::AudioStream() class AWS_TRANSCRIBESTREAMINGSERVICE_API AudioStream : public Aws::Utils::Event::EventEncoderStream ^~~~~~~~~~~ /usr/local/include/aws/transcribestreaming/model/AudioStream.h:28:44: note: candidate expects 0 arguments, 1 provided gmake[2]: *** [CMakeFiles/demo.dir/audio-capture.cpp.o] Error 1 gmake[1]: *** [CMakeFiles/demo.dir/all] Error 2 gmake: *** [all] Error 2 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ エラーを確認し、エラーとなっているソースコードまでさかのぼりましたが、手を加えた部分ではなかったため、対処法がわかっておりません。 お手数をおかけしますが、ご回答をお願い致します。lg...

CloudfrontでDistributionを作成しようとしたら、下記が表示されました。 ご対応願えませんか？ Your account must be verified before you can add new CloudFront resources. To verify your account, please contact AWS Support (https://console.aws.amazon.com/support/home#/) and include this error message.lg...

EC2インスタンスに構築したWindowsServer2019のSQL Server Reporting Serverに対し、クライアント端末からHTTP通信(パブリック IPv4 DNSを指定)でアクセスを行っておりますが、Windows資格情報の要求が毎回発生してしまうため、その都度入力が必要となっております。クライアント側はWindowsの資格情報マネージャーから正しい、EC2のパブリック IPv4 DNS、ユーザ、パスワードを登録しているため、デフォルトのAWS DNSサーバ絡みで問題があるのかと考えております。 対応方法やヒントとなる内容があればご教授お願いいたします。lg...

Webアプリケーションのユーザーの一意の識別子として何が相応しいかを検討しています。アクセストークンのsubクレームが使えるかと考えていますが、メールアドレスの変更やその他の要因によって変更される可能性はありますか？このような用途にアクセストークンを使用するのは適切でしょうか？lg...

EventBridgeにてターゲットタイプ「EventBridge API の宛先」を選択し、API送信先エンドポイントへEC2で作成したWebサーバのURLを指定しています。 テストで上記のカスタムイベントバスへメッセージを送信すると全てデッドレターキューへ入ってしまいます。 **EventBridgeのルールのターゲットに指定したデッドレターキューのメッセージの属性に以下のようなエラーが表示されています。** | 名前| タイプ | 値 | | --- | --- | --- | | ERROR_CODE | String | SDK_CLIENT_ERROR | | ERROR_MESSAGE | String | Unable to invoke ApiDestination endpoint: The request failed due to an internal validation error. | | RULE_ARN | String | arn:aws:events:・・・・ | | TARGET_ARN | String | arn:aws:events:・・・・ | ロールは、EventBridgeから作成したので問題ないと思っているのですが、他に見直すべき個所がありましたらご教授いただければ幸いです。lg...

昨日まで作れていたのですが、今日になって作れなくなっています。 CFn ``` Resources: Notification: # slack通知 Type: AWS::CodeStarNotifications::NotificationRule Properties: Name: !Sub ${ProjectName}-slack-notification DetailType: FULL EventTypeIds: - codebuild-project-build-state-failed - codebuild-project-build-state-succeeded - codebuild-project-build-state-in-progress - codebuild-project-build-state-stopped Resource: !GetAtt CodeBuildProject.Arn Targets: - TargetAddress: arn:aws:chatbot::xxxxx:chat-configuration/slack-channel/xxxx TargetType: AWSChatbotSlack ``` Management Console上で表示されているエラー Resource handler returned message: "Invalid request provided: AWS::CodeStarNotifications::NotificationRule" (RequestToken: xxxx, HandlerErrorCode: InvalidRequest) 障害なのでしょうか？lg...