アクセスキーを利用した認証が面倒になってきたので、AWS SSOの利用を試す。いつもありがとうクラスメソッドさん。AWS SSO を設定し AWS Organizations 管理のメンバーアカウントへサインインするまでの全体の流れを把握してみる | DevelopersIO

AWS Organizationを作成

ルートユーザでOrganizationを作成。運用的にどうなのかはちょっとわからない。

IAM Identity Center を有効化

SSOの後継サービスであるIAM Identity Centerを有効化する。

ユーザ・グループを追加

IAMのユーザ・グループとは別なのだろうか。とりあえずそれぞれ新規作成する。

するとAWSアクセスポータルのURL(https://d-*********.awsapps.com/start)が作成された。実際に開いてログインしてみる。

認証はできた。しかしログイン後のポータルには何の選択肢も出てこない。アプリケーションの指定が必要らしい。

許可セットの作成

わからないまま許可セットの作成にうつる。さきほどのグループは何をしてもよいと思ったので、AdministratorAccessを与えられるように作っておいた。

ユーザーとグループの割り当て

ここでやっと理解。アプリケーションをここでグループにひもづける必要があるのだ。許可セットもここで選択して、作成したグループに許可セットをひもづけた状態で割り当てることができた。

まだ興行すべては見れていないのだけれど。NOAHの『武藤敬司引退試合 プロレス”ラスト”LOVE～HOLD OUT～』を観た。夜の予定が空いていたので、会社の人を誘い、飲みながら鑑賞した。

とにかく泣いてしまったのだけれど、あらためて帰宅したあとにまず観た内藤哲也のバックステージの声質でまた泣いてしまった。こんな声色・声量の内藤哲也を観たことがなかった。

相当の歴史が終わったのだろう。まだその重みは理解できていない。ただ蝶野正洋がサングラスを外し、互いのデビュー戦の相手とロックアップを組み、必死に戦っている表情と姿を見て、何を感じたのだろうか。端的に言えば「生きてるって素晴らしい」ということであり、もっと限定すれば「生きて帰ることは素晴らしい」ということである。

どのようなストーリーを思い描いていたかは知らないけれど、武藤敬司が2回目にムーンサルトを断念した瞬間は、私は全力でアプローズを送りたい。そのうえで袈裟斬りチョップ、DDT、エメラルドフロウジョンを繰り出した武藤は、きちんと両足でゴールテープを切ったのだ。

棚橋弘至のいう「引退試合で二度負けるのははじめて」というフレーズが素晴らしかった。バックステージの武藤の飄々とした会見が素晴らしかった。普通のおじさんになった武藤がゴルフをしたり、たまには解説席に座ることを夢見ながら、今日はもうすこしだけ感動に浸ろうと思う。

仕事でACMの作成をやれることになったので、[初心者向け]AWS Certificate Managerを使用してインターネットからELBへの通信をHTTPS化してみた | DevelopersIOを読みながら学習。

ACMの作成

ACMから「パブリック証明書をリクエスト」を実行して、あらかじめ取得してもらったドメイン名を指定して作成した。

作成後、該当の証明書のステータスが「発行済み」であることを確認…したかったのだが、ずっと「保留中の検証」になってしまった。これを有識者の仲間に聞いている途中。自分で原因解決できたらよかった。

この件は、Route53にCNAMEのレコードを入れてなかったことによるもの。勝手に作成されると思いきやそうではなかった。とはいえRoute53を見ても原因がわからなかったんだから、理屈を理解してないんだよな。

CNAMEレコードとは - 意味をわかりやすく - IT用語辞典 e-Wordsを参照すると、これはエイリアスで、CNAME名をCNAME値にリダイレクトするようなイメージだろうか。

ALBにACMを設定する

上記の解決後、次にALBのリスナー設定でHTTPSのものを作成。セキュリティポリシーに対する言及はなかったのでデフォルトの「ELBSecurityPolicy-2016-08」を指定したままに。証明書をACMから拾って追加した。

設定後、VPCのセキュリティグループあたりの設定さえ済んでいれば、ちゃんと思い通りに使えた。

AWSは[Well-Architected Framework](/tags/Well-Architected Framework)の学習もすこし進めた。信頼性の観点では単一障害点を消していくことが重要である、とやっと理解できた。演習問題もとりくんでみて、間違いばかりだったが、なんとなく答えのイメージはつくようになったし、解説を聞けばちゃんと納得する。

帰り道、子どもが「ひゃくえんもってる？」と聞いてきた。この子の中ではお金は「ひゃくえん」である。「持ってるよ」と答えたら「じゃあお店でなにかたべものを買って帰ろうか」と提案してきた。まだ3歳になる手前。コンビニでお菓子とジュースを買って帰宅。

土日は帰省していた。

子どもはもう祖父母にも慣れてこそいるが、やっぱり外面というか、単純に「それぞれの環境によるキャラクタがある」ということがよくわかる。自宅で過ごしているときと、保育園で遊んでいるときと、実家に帰省するときとで、微妙にニュアンスが異なる。たとえば「野菜を食べるかどうか」とか「遊びを止められたときに怒るかどうか」とか。もちろんはたから見ればほぼ同じなのだけれど。

そういえば今日ははじめて電車にいっしょに乗り込んでみた(これまでは抱えて乗り込んでいた)。もう普通に外へ出かけられる。

いろいろと本を買った。『AWSで実現するモダンアプリケーション入門』が面白く、AWSの興味がどんどん湧いてくる。明日からの仕事をしながら、数人でも取り組める工夫を考えてみようかしら。

オーニソロジーの『101』が流れ終わったあと、そのアルバム経由のレコメンドで流れてきたのが、松尾よういちろうの「疫病神」だった。

日付をまたぐ前に聴いたからだろうか。ひさしぶりに身体が震え上がった。トラックも松尾よういちろうのボーカルもラップも(ではないけれどラップにしか聴こえない)、そのすべてにとんでもないエネルギーを感じた。

バスドラの位置が絶妙に踊らせないようになっていることや、入りの不穏なコーラスのピッチの変え方が小さめであることや、ポップスの展開にならないことなど、歌詞以上に曲の構成に怖さを感じる。

そして極めつけが曲の締め。ネタバレになるので書かないが(曲にネタバレなんてあるのか？)、この曲の締めはこれしかないと思わされた。とくにボーカルに対するエフェクトが素晴らしいと思う。

ちなみにまったく彼の歴史は知らないが、後半の「みぃつけた」は、脱退前のバンドに対するメッセージなのか。偶然かもしれないけれど。

仕事でAWS ECRやAWS ECSを触らせてもらっいて、資格の学習もはかどる。

今日はHTTPでALBに接続したときに内部はHTTPSでやりとりさせるような構成をつくったのだけれど(実際にこんな環境にする必要はない)、セキュリティグループの設定など各ルールの設定がイメージ通りだったので嬉しかった。これをチーム内のメンバーにも理解してもらうように説明できれば、自身の理解は十分だろう。

Well-Architected Frameworkの学習も始めた。ホワイトペーパーを読むのが近道なのかしら。明日以降に目を通してみようか。

今日の帰り道は、子どもがマンホールを見つけては、ひとつずつに「みずがつながっている。みずがながれている」と説明するのを聴きながら帰ってきた。とてもかわいい瞬間なのだけれど5,6回目あたりからは、なにか大事な比喩を伝えられているのかと感じるようになってきた。

PROMINENCE×CONVICT コラボレーションTシャツ 鈴季すず BLACK - CONVICTが予約開始となったので急いで買った。こんな風に買い物したことあったっけかな。なんとか時間をとってプロミネンスの興行にも行きたい。鈴季すずのデスマッチを目の前で観たとき、自分の身体の中はどうなるのか想像もつかない。

子どもから下記の遊びを誘われた。

• 恐竜ごっこ(なるべく大きな足音を立てて歩く)
• ねずみごっこ(かがんだ状態で歩く)
• うさぎごっこ(ひたすらジャンプする)

ちゃんと遊びの詳細を説明してくれたことにはとても驚くのだけれど、どれも肉体的にはキツすぎた。子どもの体力ってこうして伸びていくんだなということが理解できた。ヤングライオンだってこんな動かないよ、とちょっと思った。

AWS Chatbotが利用したくなったので、調べながら進める。

Chatbotの作成

まずクライアントを作成して、自身のSlackワークスペースとつなげた。次にチャネルをつなげるための詳細設定を行った。

このとき「チャネルガードレールポリシー」の設定につまづく。何を選べばいいのか。【Chatbot】Channelガードレールとは?AWS Chatbotで新しく出来た権限周りについて調べてみた - Qiitaを読むと、どうやらホワイトリストのようなものだということがわかった。自身しか利用しないSlackワークスペースのため、全権限を有効にするつもりでAdministratorAccessを選択。

その後該当チャンネルの詳細から「アプリを追加する」でawsという名前のボットをチャンネルに招待・追加できた。

トピックの作成、テストメッセージの送信

つぎにSNSトピックを作成しないといけないようだ。SNSでトピックを作成した。設定はデフォルトのまま。

あらためてChatbotの設定に戻り、作成したトピックをひもづけると、テストメッセージの送信が実行できた。ためしに実行すると、無事Slackチャンネルにメッセージが届いた。

Budgetのアラートを通知できるよう設定

Budgetのアラート先にはメールアドレスのみを指定していたが、この通知をSNS経由でSlackに届けることができそうだ。Budgetの設定画面で次のようなアクセスポリシーをSNSトピック(のstatement配列)に追加するよう指示があったのでやってみる。ResourceにはSNSトピックのARNを入れる。

{
  "Sid": "AWSBudgets-notification-1",
  "Effect": "Allow",
  "Principal": {
    "Service": "budgets.amazonaws.com"
  },
  "Action": "SNS:Publish",
  "Resource": "<insert-ARN-here>"
}

ちなみにアクセスポリシーについて

毎回混乱するので、下記記事を参考にアクセスポリシーの理解をあらためた。

• 【更新】AWSにおけるアクセスポリシーの評価ロジック - サーバーワークスエンジニアブログ
• 【初心者向け】IAMポリシー(JSON)の見方 - サーバーワークスエンジニアブログ
• AssumeRole について DiveDeep する - サーバーワークスエンジニアブログ

信頼ポリシーつまりAssumeRoleが最後まで理解できなかったのだけれど、すくなくとも上述のリソースベースのポリシーは理解できた。BudgetがSNSトピックのPublish操作をできるようにした、ということ。ここにはユーザつまりIAMは登場しない。ユーザの権限なく勝手に動いてほしいから。

子どもは分類が好きだという記事をどっかで読んで合点がいった。家の中にトミカなどのおもちゃが散乱しているなかで、たくさんの箱を出してあげたら、本人なりにおもちゃを分類して片付けていたからだ。とくにトミカのなかでも「ポケットトミカ」と呼ばれる、クレーンゲームでとった小さなトミカは別のものだと認識しているようで、それ専用の箱にしまっていた(最終的には箱のサイズの問題でごっちゃになってたけど)。

NFLの今年のスーパーボウルは、チーフスの勝利で幕を閉じた。最後のCBブラッドベリーのホールディングは取り返しのつかないファウルだったが、本人の”It was a hold, so they call it.”というコメントがちょっと胸を打った。

しかしマホームズの圧倒的な強さ(足首をケガしているのに)には、もはやヒールっぷりすら漂いはじめている。今年こそトム・ブレイディが引退するはずなので、ちょうど入れ替わりで同じ立場になるのだろう。

来年こそパッカーズが優勝するのだけれど、そのときのQBは誰になっているだろうか。とうとう￥アーロン・ロジャースから卒業しなければいけないのだろうか。そしてそのとき私はまだアメフトファンでいられるか心配だ。

もうひとつ。Rihannaのハーフタイムショーも良かったけれど、やっぱり去年のDr.Dreと比べてしまうとあまりにシンプルだったなと思う。スポンサーがAppleになったことは影響しているのだろうか。だとしたら来年以降もちょっと期待できたいかも。

食べたこともないけど、急に明石焼きが食べたくなって冷凍たこやきを出汁にひたして食べた。だしつゆが適当に作れるようになると生活の質がちょっと変わるかもな、と感じた。