AWS Startup ブログ

【週刊 Ask An Expert #31】疎通がうまく出来ない? VPC Flow Logs は確認しましたか?先週の #AWSLoft で受けた質問10選

こんにちは、スタートアップ ソリューションアーキテクトの松田 (Twitter: @mats16k) です。

AWS AmplifyAWS Chalice をまだ触ったことがない方は ↓ このイベントで AWS Loft にきて体験しましょう。Amplify や Chalice を使ってとても簡単に GraphQL API や AI 機能、REST API を作る手段が学べる開発者の方向けワークショップです。お待ちしてます!

さて、このブログ記事では週刊 Ask An Expert 第31回目をお届けします。「参考になった」「いい内容だ」と思っていただけたら、ぜひハッシュタグ #AWSLoft を付けてシェアしてください。改善点・ご要望もお待ちしております。

Ask An Expert ?

皆さん AWS Loft Tokyo はご存知でしょうか?
目黒セントラルスクエア17Fにある、AWS を利用中のスタートアップとデベロッパーのためのコワーキングおよびイベントスペースです。その一角に AWS のエキスパート – Solutions Architect (SA) や Cloud Support Engineer (CSE) – といった中の人に技術的な質問ができる、Ask An Expert カウンターがあります。そこでは毎月、来場者の方から100件以上にものぼるご相談をお受けしています。

ある日のAsk An Expert – テーブルに伺ってレクチャー中の SA 焼尾(写真奥)

この連載「週刊 Ask An Expert」では、多くのご相談を中から我々スタートアップソリューションアーキテクトが 独断で面白かった質問を 10 個選び紹介していきます。他の AWS Loft 利用者がどんな質問をしているのか、自分が知らなかった新しいトピックはないか、Ask An Expert ってどんなところなのか、一緒に見ていきましょう。Let’s ask an expert!

 

週刊 Ask An Expert #31 (2019/11/11 – 11/15)

この週の対応者は SA: 江原・宮本・飯田・藤倉・畑・川村・大村・辻・半場・園田・川野・金杉・石井・新久保・小園・渡辺・能仁、 CSE: 古野 ・榎本でした。

 

Q1: AWS AppSync で Amazon DynamoDB に対してクエリを発行しているが、取得できる件数が突然減った。

item 件数が増え、一度の scan でデータを取得出来なくなっていたのが原因でした。nexttoken による pagination をご紹介しました。「チュートリアル : DynamoDB リゾルバー」も合わせてご覧ください。

 

Q2: クレジットカードではなく、銀行振込で利用料を払いたい。

一定額以上で銀行振込がご利用いただけますが、詳しくは「アカウント・請求関連のご質問」をご確認の上お問い合わせ下さい。

 

Q3: Amazon CloudFront でもリザーブドインスタンス(RI)は利用可能か。

Amazon CloudFront の料金」にも記載がありますが、一定の最小トラフィックのコミット(通常 10 TB/月以上)を行って頂けるお客様向けに割引料金を用意しております。詳しくは お問い合わせ 下さい。

 

Q4: Amazon Cognito で Facebook フェデレーションを実装、ログインはできたがユーザ情報が取れない。自分たちが DB に持つユーザ情報との紐付けをどのように行えばよいか。

Facebook が返すのは内部で持っている ID で、メールアドレスや URL に指定した文字列ではない。この ID と自分たちのシステムが持っているユーザ ID は別の形式とのことなので、どう紐づけるかは自社で考える必要がある。自社のユーザ ID との紐付けは Cognito UserID を使うとよい。今後 Facebook 以外の IdP が増えた場合でも、同一の Cognito UserID で識別することができる。

 

Q5: AWS の技術情報を入手する場にはどのようなものがあるのか知りたい。

一例ですが下記のようなものがあります。

 

Q6: EC2 + RDS で構築しているサービスの認証部分を Amazon Cognito に切り出したいが何を用意すれば良いか、認可のためのトークンをどう処理するのがいいか教えてほしい。

Amazon API Gateway は Cognito と連携することで、JWT の検証を容易に設定することが可能ですので、API Gateway のバックエンドに EC2 を置くのが簡単かと思います。自前のアプリケーション内で JWT の検証を行う場合は、ご自身で実装する必要がございます。

 

Q7: EC2 インスタンスから CMK (カスタマーマスターキー)によって、サーバーサイド暗号化された S3 上のオブジェクトにアクセスする際、EC2 インスタンスにアタッチした IAM ロールに KMS API のポリシーを付与すれば十分か。

CMK を所有する AWS アカウントに対するアクセス許可をキーポリシーで付与する必要が有ります。

詳しくは「AWS KMS でのキーポリシーの使用」をご覧ください。

 

Q8: HTML フォームから Amazon API Gateway に submit で POST すると 415 エラーが返ってくる。

統合リクエストを確認したところ Content-Type に application/json が登録されていたものの、フォームから POST する際の Content-Type がapplication/x-www-form-urlencoded となっておりました。API Gateway に application/x-www-form-urlencoded に対応したマッピングを登録いただくか、クライアントから Content-Type: application/json で JSON データを POST いただくか、いずれかの対応が必要であることをお伝えしました。

API Gateway コンソールを使用したリクエストとレスポンスのデータマッピングのセットアップ」も合わせてご覧頂ければと思います。

 

Q9: EC2 インスタンスにアタッチされている EBS のボリュームサイズを小さくしたい。

既存ボリュームの縮小はできないため、新規リソースの作成とデータ移行が必要であることをお伝えしました。

 

Q10: Amazon FSx for Windows ファイルサーバーがオンプレミスの Active Directory に繋がらない。

VPC Flow Logs を確認したところ、Active Directory からの UDP の通信が Reject されていた。ネットワーク ACL を確認すると TCP しか許可されていなかったので変更をお願いし、疎通ができることを確認しました。

 

週刊 Ask An Expert まとめ、今回はここまで

最後までお読み頂きありがとうございます。冒頭に書いたように、執筆者の独断により興味深かった質問を選び、かつざっくり要約して記載しています。実際にはより具体的な質問をより多く頂いていますが、様々なご相談があることが伝わっていれば幸いです。まだ Ask An Expert カウンターをご利用になったことがない方も、AWS Loft Tokyo をご利用の際はぜひお気軽にご質問ください。
※Ask An Expert が混雑してお待ちいただく場合、またはエキスパートが不在の場合がございます。何卒ご容赦ください。

 

このブログの著者

Kazuki matsuda松田 和樹 (Kazuki Matsuda) @mats16k

コンテナやビッグデータが得意分野なスタートアップソリューションアーキテクト。好きなサービスは AWS FargateAWS Chalice 。最近は AWS Amplify が好きです。

最近のヒット作は「スタートアップのためのコンテナ入門 – 導入編 & Fargate 編」です。