VPCエンドポイントにハメられる話

メモ

AWSのPrivateサブネットからいい感じに他のAWSサービスを利用する方法として、VPCエンドポイントがある。

SSMエージェントを使用する時に要求されるエンドポイント4つ（ssm,ec2,ssmmessage,ec2message）の中で、

なぜかssmのエンドポイントだけap-northeast-1d（apne-az2）のサブネットに置けないという謎仕様があった。

サポートに問い合わせてもできないとのことだったので、

特定のサブネットにエンドポイントを置きたい場合は注意が必要。

他のサブネットに置いてもプライベートDNSを有効にしとけばサブネット跨ぎでエンドポイントは利用できるみたいだから、

CIDRブロックをガチガチに管理してるような環境じゃなければ気にしなくても良いと思うけど。

2019/9/27現在、ssmエンドポイント以外にも、SFTP Transfer for S3のエンドポイント2種もapne1dで使えなかった。あと2つぐらいあった気がする。

2020/3/25に確認したところ、ssmエンドポイントはapne1dでも使えるようになってました。

買ってよかったもの（2）

・ニューバランス 247V2(27cm)

通販で4000円ぐらいだった。

緑のスニーカーが欲しくて買ったけど、値段の割に機能性もあった。

紐靴に見えてその実紐はただの飾りのスリッポン的なやつ。

甲の部分が低いので少し大きめを買わないと履けない。

・鳥部製作所 マイクロスニップスgt-170（万能ハサミ）

安心の燕三条製。すげー切れる。

断面は潰れるけど2.5mm厚のPC-ABSすら切れる。

アウトドアとかでも一本あると心強いと思う。

・アルコン　デイリーズトータルワン

コンタクト屋で一番いいやつくださいって言ったらでてきた。

サバゲーするときとか眼鏡持ち歩くのが面倒なときにコンタクト使うんだけど、

安いコンタクトだと4時間ぐらいでむず痒くなってたし、入れるときも中々入らなかった。

これに変えてからはフィット感が違うので夜まで保つようになった。

弱点はフィットしすぎて外すのが難しい。

AWSのリソースポリシーの話

メモ。

AWSの権限管理と言えばIAMポリシーだけれど、S3バケットやAPI Gatewayにはリソースポリシーがある。

IAMポリシーは明示的にAllowされている権限だけが付与されるが、

リソースポリシーは明示的にDenyされていない限り同一アカウントからのアクセスは受け入れてしまう。

従ってリソースにホワイトリスト形式でIPアドレス制限をかけたい場合などは、下記リンクのようにDenyで全てのアクセスを拒否した上で、Condition句にNot条件を書く必要がある。

https://aws.amazon.com/jp/premiumsupport/knowledge-center/block-s3-traffic-vpc-ip/

これと同様の方法で、例えばTrustedAdvisorに付与したIAMロールをホワイトリストで許可したい場合は、StringNotLike条件でuserid:*を記述する方法がある。

https://aws.amazon.com/jp/premiumsupport/knowledge-center/explicit-deny-principal-elements-s3/

ただ、useridはブラウザコンソールから簡単に確認できず、ARNに比べるとどのIAMロールを指しているかがとても分かりにくいのが難儀。

色々試してみたところ、ArnNotEquals条件にPrincipalArnを記述すれば同じ効果が得られそうだった。

"Condition":{
  "ArnNotEquals":{
    "aws:PrincipalArn": "aws:arn:111122223333:role/role-name"
  } 
}

SourceArn条件だとアクセス元のAWSサービスのARNを指定することになるみたい。（Lambdaとか）