本日勉強したことをメモします。
Auto Scalingグループで作成されたインスタンスに証明書を付与する
Auto Scalingグループで作成されたインスタンスに証明書を付与するには、AutoScalingグループからSNS通知をAWSS Certificate Managerに送るようにし、ACMで証明書を設定する方法がある。
ELBにクライアント側のHTTPS設定を行う
ELBにクライアント側のHTTPS設定を行う際は、リスナーはTCPリスナーを443ポートで設定する。
HTTPSリスナーはクライアントの証明書はサポートしていない。
LambdaでVPC内のリソースにアクセスする
Lambdaをプライベートサブネットに置いて、VPCのプライベートサブネット内のリソースにアクセスするには、プライベートサブネットのルートテーブルでアウトバウンドをNATゲートウェイに送るようにする。
Lambda関数がプライベートサブネット内に置かれている時はVPCで設定しないとインターネットにアクセスできない。
IAMでSAML Idpの設定
IAMでSAML IDプロバイダーを設定するには以下の手順が必要になる。
- IdPからSAMLメタデータドキュメントを取得
- SAML IAM IDプロバイダーをAWSコンソールかCLIから作成する
- SAML IdPを信頼できるパーティと設定
- IdPにて、認証レスポンスのためのSAMLアサーションを設定
Cognitoで認証されていないユーザーのログイン
Amazon Cognito ID プールは、認証されたユーザーと認証されていないユーザーの両方をサポートします。認証されていないユーザーは、ID プロバイダー (IdP) を使用してログインしていない場合でも、AWS リソースへのアクセス権を受け取ります。
Cognitoで認証されていないゲストアクセスを設定するには、CognitoのIdentity Poolでunauthenticated acessを有効にする。ゲストユーザーはGetId APIを通してIdentity IDをリクエストできる。
別のアカウントへEBSスナップショットを共有しAMIを作成する
別のアカウントへEBSスナップショットを共有しAMIを作成するには以下の手順が必要になる。
- アカウントAからEBSスナップショットを別アカウント(アカウントB)に共有する。
- アカウントBのIAM adminユーザーでEBSスナップショットをアカウントAからアカウントBにコピーする。共有されているのでコピー可能。
- アカウントBのIAM adminユーザーでEC2 AMIをコピーしたEBSスナップショットから作成する。
Cognitoでユーザーをグループ分けする
Cognitoでユーザーをグループ分けして適切な権限を与えることができる。
CognitoのUser Poolでグループを作成しIAMロールをアサインする。その後ユーザーを適切なグループに追加する。
