インフラ系SEの技術メモ

雑なエンジニアが低信頼性のメモを書いています。参考程度にとどめてください。

(Keycloak)ヘルスチェック用のエンドポイントを有効化してみた

confから設定 conf/keycloak.conf を開くと中に # If the server should expose healthcheck endpoints. # health-enabled=trueという記載が。このままでは反応がないですが # curl localhost:8080/health # コメントアウトを外した上でsystemctl restartを…

(SiteMinder)XPSExportのXMLから情報を抜き出してみた

Symantec SiteMinderにはXPSExportというポリシーストアデータを移行するためのツールがありますが、そのXMLファイルからリソース情報やポリシー情報を引き抜いた際の試行錯誤をメモとして残しておきます。バージョンはSymantec SiteMinder Ver 12です。 ASC…

(Linux) Failed with result 'exit-code'のエラーはSELinuxが怪しい

UNIX

systemctl startで失敗 # systemctl status test.service × test.service - ... Loaded: loaded (/etc/systemd/system/rtestservice; enabled; preset: disabled) Active: failed (Result: exit-code) since Mon 2024-04-01 13:08:11 UTC; 3s ago Duration: …

(Linux)シェルスクリプトでファイル指定でwhile readするも一行で終わってしまう

謎事象 INPUT_FILE_NAME=./test.csv while read LINE do ... done < ${INPUT_FILE_NAME}こんな感じで記載をすると、指定したファイルを一行ずつ末尾までループしてくれますが、なぜか一行で終了する事象に遭遇。デバッグとして確認してもread LINEで終わって…

(Keycloak)アクセストークンの有効期限を60秒から変更する

レルムの設定で変えれる コンソールにログインをしてRelms Settingの中で Access tokens Access Token Lifespan という項目があるので1 minuteから変更が行えます。試しに 1 Hours にすると It is recommended for this value to be shorter than the SSO se…

(AWS)BedrockでAPIとのやり取りを覚えさせておく方法

基本は一度きり... API経由だと過去のやり取りは保管されませんが、過去の回答を自分で「Human: Assistant:」で入れることで対応できます。 例えば Human:今、公園に20人います。野球とサッカー、どちらをすべきですか? Assistant: 公園に人数が20人と限…

(AWS)AWSアカウントの請求額の減額交渉

クラウドの請求額に不明点がある場合 サービスの落とし忘れなどがある場合、サポートに「こういう理由で使ってないのに費用請求されている」と伝えると交渉が可能です。 以下がテンプレートのようで、その質問事項に対して回答をしていきます。 1. Have you …

(認証用語)リソースとスコープとポリシーとパーミッションの違い

RedHatSSOやRHBKで利用する用語 URLに対して認証保護を行うアプリケーションの用語を整理しました。まずリソースは、認証保護を行うURLに相当します。 続いてスコープですが、これは権限が同じリソースを束ねたものです。 そしてポリシーは条件(所属がA な…

(AWS)WindowsのEC2でawscliコマンドを使う

最初から入っていない AmazonLinuxなどと違い、AMIのイメージの中にawsコマンドは入っていないです。 なので公式ホームページに記載がある通りでcmdから以下コマンドでインストール。 >msiexec.exe /i https://awscli.amazonaws.com/AWSCLIV2.msiGUI上で許諾…

(AWS)EC2にRDPできない場合はセキュリティグループが怪しい

Fleet Managerから接続できない 以下が出て接続できない事象が発生しましたが It's taking longer than expected to render the Remote Desktop connection 3389の穴が空いていないことが原因でした。ここをセキュリティグループで開けると正常に接続ができ…

(RHEL9)AWSCLIを入れるための試行錯誤メモ

RHELにはawsコマンドが入っていない AWSでAmazonLinuxをEC2で立てると、ありがたいことに最初からawsコマンドが入っています。 が、RedHatEnterpriseLinuxではそうは行かない。ちなみにバージョンは9.3で試しています。 NAME="Red Hat Enterprise Linux" VER…

(AWS)EKS作成時に Subnets specified must be in at least two different AZsとエラーが出る

サブネットのAZ違いが必要 EKSのクラスターを作成時、VPCとSubnetを入れる箇所があります。 基本的にはVPCを選択するとその中にあるSubnetが全て選択されていますが、作成時にタイトルのエラーになることが。原因は読んでの通りですが、Subnetは異なるAZにあ…

(認証)SAMLとKerberosの違いは?

一言で言うと登場人物の数 SAML(Security Assertion Markup Language)はユーザ、サーバー、ID管理システムの三要素が登場人物ですが、ケルベロス認証はユーザとサーバのみです。 他にもSAMLは​Web 環境でのシングルサインオンの標準規格であり、​Kerberos…

(AWS)Fleet ManagerにEC2が表示されない時はIAM Roleが怪しい

AWS

SSMとの通信が必要 タイトルに全て書いてしまいましたが、EC2にてWinodws Serverを立ち上げてGUI操作をしようとするとFleet Manager(フリートマネージャー)と呼ばれるSystem Managerの一機能を利用することになります。なお、「fleet」には「艦隊」や「車…

(AWS)CroudTrailのログが格納されたS3から特定操作を探す

AWS

一ヶ月分の操作から調査 とある事情でログから特定操作をいつしたか探していました。まずはデータを手元に持ってくる。 aws s3 cp s3://xx/AWSLogs/xx/CloudTrail/ap-northeast-1/2023/08/ . --recursive続いてそれを解凍。gz形式なので。 find . -name '*.g…

(AWS)Cloud9からQuickSightのログイン不要ダッシュボードURLを生成する

AWS

時間制限があるけど... 以下のように発行するとURLをゲットできます。 $ aws quicksight get-dashboard-embed-url --aws-account-id xx --dashboard-id xx --identity-type IAM --session-lifetime-in-minutes 15ちなみにminuteの分数の上限は600(10時間)…

(AWS)Cloud9で招待を受けてもssmの権限がないと入れない

AWS

IAMでの権限が必要 AWSのCloud9では、環境に招待をすることで同じユーザにて環境を共有することができます。 招待は基本的にIAMユーザに対して行いますが、単純に招待するだけであれば起動しようとすると このオペレーションを実行するのに必要なアクセス許…

(AWS)Cloud9でS3の権限が過剰についているのを解消する

AWS

デフォルトでS3周りの権限をかなり持っている Cloud9ですが、初期状態でAWSの各サービスに関する権限が一通りついています。しかもそれはEC2にアタッチされたIAMからは見えてきません。具体的にどこでついているかというと右にある歯車マークの「AWS Setting…

(Linux)スクリプトがcronでは動かないのでターミナル上では動く時

構文エラーが起きている a.shというスクリプトがあったとして、動かないケースは /bin/sh a.shで動かすとおそらくエラーになると思います。一方でデフォルトのシェルがbashであれば a.shでは動く。要はcronでは暗黙的にshで動いてしまうので、bashユニークな…

(Keycloak)You need local access to create the initial admin userへの対応

初回ログイン時... Keycloakを立ち上げてブラウザからログインを試みると以下の画面が表示されます。 You need local access to create the initial admin user.これは文字通りで初期ユーザであるadminがいないという話。これを解消する為にはサーバ上で環境…

(Maven)dependencies.dependency.versionというエラー

mvn installに失敗 # mvn clean installを行うも以下のエラー。 [INFO] Scanning for projects... [ERROR] [ERROR] Some problems were encountered while processing the POMs: [ERROR] 'dependencies.dependency.version' for xx is missing. @ line 50, c…

(AWS)新規作成したVPC endpointに接続できない時

だいたいSecruty Group 新規で用意したEndpointのSecurityGroupに要件となっている通信がいるかどうかを確認。 私の場合はプライベートのサブネットに用意したECRのエンドポイントに繋がりませんでしたがInbound security group rules を割り当ててあげると …

(AWS)EC2 Instance Connect Endpointでrootにログインできる状態を止める

Connect using EC2 Instance Connect Endpointで入れる rootユーザですが、パスワードを設定していたとしてもEC2 Instance Connect Endpoint経由で入るとパスワードなしでログインできてしまいます。rootを切り替え以外でのログイン禁止にしたい場合はSSHで…

(Apache)ServerTokenは何に利用されている?

簡単に言うと 要はリクエスト元にApacheのバージョンを見せるか見せないかを担っているみたいです。 トークンという言い方なので、何か認証認可で利用されていそうな雰囲気がありますがただのバージョン表示有無の模様。セキュリティを重視する環境では有効…

(RHEL)起動直後は繋がるも一定時間が経つと繋がらなくなる

事象 IPアドレス指定で外部から接続を行う際、再起動直後はpingが通るにもかかわらず一定時間が経つと接続ができなくなる。尚、VM管理基盤からのコンソール接続(IP不要)であれば接続ができる。 原因と解決策 IPアドレスは固定なのにDHCPの設定がONになって…

(AWS)ALBとAPIGWの違いメモ

ALBの特徴 ・静的なIPを取得可能(APIGWは無理) ・HTTPもOK(APIGWは無理) ・タイムアウトの制限が柔軟 ・ヘルスチェックの機構がある APIGWの特徴 ・URIを用いてリクエストの有効化の確認が可能(ALBは無理) ・別のAWSアカウントや多くのサービスと統合…

(Keycloak)ユーザに対してパスワードを設定する

Credentials Keycloakの管理コンソールでユーザを作成しても、その状態だとパスワードが未設定となっています。 ユーザのタブには Attributes Credentials Role mapping Groups Consents Identity provider links Sessions とありますが、クレデンシャルを選…

(AWS)インターネットGWを作成するもEC2に接続できない

ルートテーブルが怪しい EC2にインターネットから接続させる際ですが、流れとしては ・インターネットGWを作成 ・インターネットGWをVPCにアタッチ ・ルートテーブルを作成(同VPCに) ・サブネットを作成(同ルートテーブルに紐付け) ・EC2を同サブネット…

(AWS)EC2に付与するIAMロールが検索から出てこない

Trusted entities IAMのロールを作成する際にTrusted entitiesというものを選びますが、ここをEC2として作成していないとEC2の検索からは表示されないという話でした。ここで厄介なのは、最初は別のサービスを選んで以下の箇所を手動でEC2に直しても検索に出…

(AWS)CloudshellからEC2へのSSH接続はプライベートからではいけない

そりゃそうか CloudshellのグローバルIPをセキュリティグループで許可してあげればSSHできるよ〜という記事を発見。 それができると結構便利では・・と思ってよくよく読むと、パブリックIPを持っているEC2インスタンスということが発覚。そりゃパブリックIP…