confから設定 conf/keycloak.conf を開くと中に # If the server should expose healthcheck endpoints. # health-enabled=trueという記載が。このままでは反応がないですが # curl localhost:8080/health # コメントアウトを外した上でsystemctl restartを…
Symantec SiteMinderにはXPSExportというポリシーストアデータを移行するためのツールがありますが、そのXMLファイルからリソース情報やポリシー情報を引き抜いた際の試行錯誤をメモとして残しておきます。バージョンはSymantec SiteMinder Ver 12です。 ASC…
systemctl startで失敗 # systemctl status test.service × test.service - ... Loaded: loaded (/etc/systemd/system/rtestservice; enabled; preset: disabled) Active: failed (Result: exit-code) since Mon 2024-04-01 13:08:11 UTC; 3s ago Duration: …
謎事象 INPUT_FILE_NAME=./test.csv while read LINE do ... done < ${INPUT_FILE_NAME}こんな感じで記載をすると、指定したファイルを一行ずつ末尾までループしてくれますが、なぜか一行で終了する事象に遭遇。デバッグとして確認してもread LINEで終わって…
レルムの設定で変えれる コンソールにログインをしてRelms Settingの中で Access tokens Access Token Lifespan という項目があるので1 minuteから変更が行えます。試しに 1 Hours にすると It is recommended for this value to be shorter than the SSO se…
基本は一度きり... API経由だと過去のやり取りは保管されませんが、過去の回答を自分で「Human: Assistant:」で入れることで対応できます。 例えば Human:今、公園に20人います。野球とサッカー、どちらをすべきですか? Assistant: 公園に人数が20人と限…
クラウドの請求額に不明点がある場合 サービスの落とし忘れなどがある場合、サポートに「こういう理由で使ってないのに費用請求されている」と伝えると交渉が可能です。 以下がテンプレートのようで、その質問事項に対して回答をしていきます。 1. Have you …
RedHatSSOやRHBKで利用する用語 URLに対して認証保護を行うアプリケーションの用語を整理しました。まずリソースは、認証保護を行うURLに相当します。 続いてスコープですが、これは権限が同じリソースを束ねたものです。 そしてポリシーは条件(所属がA な…
最初から入っていない AmazonLinuxなどと違い、AMIのイメージの中にawsコマンドは入っていないです。 なので公式ホームページに記載がある通りでcmdから以下コマンドでインストール。 >msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msiGUI上で許諾…
Fleet Managerから接続できない 以下が出て接続できない事象が発生しましたが It's taking longer than expected to render the Remote Desktop connection 3389の穴が空いていないことが原因でした。ここをセキュリティグループで開けると正常に接続ができ…
RHELにはawsコマンドが入っていない AWSでAmazonLinuxをEC2で立てると、ありがたいことに最初からawsコマンドが入っています。 が、RedHatEnterpriseLinuxではそうは行かない。ちなみにバージョンは9.3で試しています。 NAME="Red Hat Enterprise Linux" VER…
サブネットのAZ違いが必要 EKSのクラスターを作成時、VPCとSubnetを入れる箇所があります。 基本的にはVPCを選択するとその中にあるSubnetが全て選択されていますが、作成時にタイトルのエラーになることが。原因は読んでの通りですが、Subnetは異なるAZにあ…
一言で言うと登場人物の数 SAML(Security Assertion Markup Language)はユーザ、サーバー、ID管理システムの三要素が登場人物ですが、ケルベロス認証はユーザとサーバのみです。 他にもSAMLはWeb 環境でのシングルサインオンの標準規格であり、Kerberos…
SSMとの通信が必要 タイトルに全て書いてしまいましたが、EC2にてWinodws Serverを立ち上げてGUI操作をしようとするとFleet Manager(フリートマネージャー)と呼ばれるSystem Managerの一機能を利用することになります。なお、「fleet」には「艦隊」や「車…
一ヶ月分の操作から調査 とある事情でログから特定操作をいつしたか探していました。まずはデータを手元に持ってくる。 aws s3 cp s3://xx/AWSLogs/xx/CloudTrail/ap-northeast-1/2023/08/ . --recursive続いてそれを解凍。gz形式なので。 find . -name '*.g…
時間制限があるけど... 以下のように発行するとURLをゲットできます。 $ aws quicksight get-dashboard-embed-url --aws-account-id xx --dashboard-id xx --identity-type IAM --session-lifetime-in-minutes 15ちなみにminuteの分数の上限は600(10時間)…
IAMでの権限が必要 AWSのCloud9では、環境に招待をすることで同じユーザにて環境を共有することができます。 招待は基本的にIAMユーザに対して行いますが、単純に招待するだけであれば起動しようとすると このオペレーションを実行するのに必要なアクセス許…
デフォルトでS3周りの権限をかなり持っている Cloud9ですが、初期状態でAWSの各サービスに関する権限が一通りついています。しかもそれはEC2にアタッチされたIAMからは見えてきません。具体的にどこでついているかというと右にある歯車マークの「AWS Setting…
構文エラーが起きている a.shというスクリプトがあったとして、動かないケースは /bin/sh a.shで動かすとおそらくエラーになると思います。一方でデフォルトのシェルがbashであれば a.shでは動く。要はcronでは暗黙的にshで動いてしまうので、bashユニークな…
初回ログイン時... Keycloakを立ち上げてブラウザからログインを試みると以下の画面が表示されます。 You need local access to create the initial admin user.これは文字通りで初期ユーザであるadminがいないという話。これを解消する為にはサーバ上で環境…
mvn installに失敗 # mvn clean installを行うも以下のエラー。 [INFO] Scanning for projects... [ERROR] [ERROR] Some problems were encountered while processing the POMs: [ERROR] 'dependencies.dependency.version' for xx is missing. @ line 50, c…
だいたいSecruty Group 新規で用意したEndpointのSecurityGroupに要件となっている通信がいるかどうかを確認。 私の場合はプライベートのサブネットに用意したECRのエンドポイントに繋がりませんでしたがInbound security group rules を割り当ててあげると …
Connect using EC2 Instance Connect Endpointで入れる rootユーザですが、パスワードを設定していたとしてもEC2 Instance Connect Endpoint経由で入るとパスワードなしでログインできてしまいます。rootを切り替え以外でのログイン禁止にしたい場合はSSHで…
簡単に言うと 要はリクエスト元にApacheのバージョンを見せるか見せないかを担っているみたいです。 トークンという言い方なので、何か認証認可で利用されていそうな雰囲気がありますがただのバージョン表示有無の模様。セキュリティを重視する環境では有効…
事象 IPアドレス指定で外部から接続を行う際、再起動直後はpingが通るにもかかわらず一定時間が経つと接続ができなくなる。尚、VM管理基盤からのコンソール接続(IP不要)であれば接続ができる。 原因と解決策 IPアドレスは固定なのにDHCPの設定がONになって…
ALBの特徴 ・静的なIPを取得可能(APIGWは無理) ・HTTPもOK(APIGWは無理) ・タイムアウトの制限が柔軟 ・ヘルスチェックの機構がある APIGWの特徴 ・URIを用いてリクエストの有効化の確認が可能(ALBは無理) ・別のAWSアカウントや多くのサービスと統合…
Credentials Keycloakの管理コンソールでユーザを作成しても、その状態だとパスワードが未設定となっています。 ユーザのタブには Attributes Credentials Role mapping Groups Consents Identity provider links Sessions とありますが、クレデンシャルを選…
ルートテーブルが怪しい EC2にインターネットから接続させる際ですが、流れとしては ・インターネットGWを作成 ・インターネットGWをVPCにアタッチ ・ルートテーブルを作成(同VPCに) ・サブネットを作成(同ルートテーブルに紐付け) ・EC2を同サブネット…
Trusted entities IAMのロールを作成する際にTrusted entitiesというものを選びますが、ここをEC2として作成していないとEC2の検索からは表示されないという話でした。ここで厄介なのは、最初は別のサービスを選んで以下の箇所を手動でEC2に直しても検索に出…
そりゃそうか CloudshellのグローバルIPをセキュリティグループで許可してあげればSSHできるよ〜という記事を発見。 それができると結構便利では・・と思ってよくよく読むと、パブリックIPを持っているEC2インスタンスということが発覚。そりゃパブリックIP…