[AWS] AWS Certificate Manager が Tokyo リージョンにやってきた！

AWS Certificate Manager が Tokyo リージョンでも使えるようになりました。
AWS Certificate Manager now available in more regions

以前、SES を使って ACM の承認メール受信する方法を書いてますので、それ参考にしてくださいねー。

S3 で SES 受信するためのバケットポリシーサンプル

{

    "Version": "2008-10-17",

    "Statement": [

        {

            "Sid": "GiveSESPermissionToWriteEmail",

            "Effect": "Allow",

            "Principal": {

                "Service": [

                    "ses.amazonaws.com"

                ]

            },

            "Action": [

                "s3:PutObject"

            ],

            "Resource": "arn:aws:s3:::BUCKET-NAME/*",

            "Condition": {

                "StringEquals": {

                    "aws:Referer": "ACCOUNT-ID-WITHOUT-HYPHENS"

                }

            }

        }

    ]

}

view raw
ses-s3-bucket-policy.json
hosted with ❤ by GitHub

[AWS] mailq を監視して CloudWatch のカスタムメトリクスに送信

Web サーバにバックドア仕掛けられて spam 送信の踏み台にされていないかを確認するために mailq の値をカスタムメトリクスに定期的に送信してCloudWatch で検出しておくと、ある日突然 AWS から「Your Amazon EC2 Abuse Report」ってメールが来ることが無くなると思うよ。

#!/bin/sh
# EC2 のインスタンス ID を取得
instanceid=$(curl -s http://169.254.169.254/latest/meta-data/instance-id)

# region を取得
az=$(curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone)
_length=$(echo $((${#az} - 1)))
region=$(echo ${az} | cut -c 1-${_length})

namespace="System/Linux"

# mailq
mailq=$(mailq | grep 'Total requests' | awk '{print $3}')
aws cloudwatch put-metric-data \
 --region ${region} \
 --namespace ${namespace} \
 --dimensions InstanceId=${instanceid} \
 --unit Count \
 --metric-name "MailQueu" \
 --value "$mailq"

[AWS] RDS のパラメータグループに設定されてる値を CSV で取得

jq 使えば csv 化は簡単

aws rds describe-db-parameters –db-parameter-group-name {PARAMETER-GROUP-NAME-HERE}

 | jq -r '.Parameters[] | "\(.ParameterName), \(.ParameterValue)"' \

 > rds_parameters.csv

view raw
gistfile1.txt
hosted with ❤ by GitHub

[AWS] Lambda から Lambda を呼ぶ

ようやく AWS Lambda が把握できてきた。
小さい機能単位で Lambda ファンクション作って、それを呼ぶ感じで作っていくとやりやすい。

イベント発生して呼び出される Lambda ファンクション
↓
イベントの情報をもとになんかする Lambda ファンクション
↓
結果を SNS なり、Slack なりに投げる Lambda ファンクション

みたいに Lambda ファンクションから Lambda ファンクションを呼び出して作業させると具合がいい
Lambda から Lambda を呼ぶには

console.log('Loading event');
var aws = require('aws-sdk');

exports.handler = function(event, context) {
    // なんか処理

    var lambda = new aws.Lambda({apiVersion: '2014-11-11'});
    var params = {
        FunctionName: "lambda-function-name",
        InvokeArgs: JSON.stringify({
            "key_1": 'var_1',
            "key_2": 'var_2',
            "key_3": 'var_3'
            }, null, ' ')
        };
    lambda.invokeAsync(params, function(err, data){
        if(err) context.done('error', err.stack);
        else context.done(null, '');
}

Lambda から SNS を呼ぶには

var sns = new aws.SNS({region: 'リージョン'});
var params = {
    TopicArn: 'トピック arn',
    Subject: 'サブジェクト',
    Message: 'メッセージ'
  };
  sns.publish(params, function(err, data) {
    if(err) context.done('error', err.stack);
    else context.done(null, '');
  })

[AWS] Lambda でS3 にファイルをアップロードしたら typetalk チャットに通知するやつ

参考: AWS Lambda でS3 にファイルをアップロードしたらSlackチャットに通知するやつ

元記事では Slack だったけど、typetalk も業務でお世話になってるので、Typetalk 対応もしてみた。
Typetalk API

const TYPETALK_TOKEN = "....";

var req = require('request');

exports.handler = function(event, context) {
    var filename = event.Records[0].s3.object.key;
    typetalk(TYPETALK_TOKEN, "your typetalk toppick id", "Put: "+filename);
};

function typetalk(token, topic_id, message) {
    req.post('https://typetalk.in/api/v1/topics/'+topic_id+'?typetalkToken='+token)
        .form({
            message: message
        })
        .on('response', function (response) {
          response.on('data', function(data) {
            context.done(null, data);
          });
        })
        .on('error', function (err) {
            cotext.done(err, 'Failed post the chat');
        });
}

https://github.com/wokamoto/aws-lambda-samples/tree/master/s3slack

[Nginx] CloudFront を前面に置いたときに css が gzip 転送されないときへの対処

Nginx をオリジンサーバにして CloudFront を設置したときにテキストファイルが gzip 圧縮転送されないときは nginx.conf に以下を追加する。

gzip_proxied any;
gzip_http_version 1.0;

参考: Serving Compressed Files – Amazon CloudFront

網元 AMI で対応するなら、以下の手順で

$ sudo sh -c 'echo "gzip_proxied any;" > /etc/nginx/conf.d/gzip_proxied.conf'
$ sudo service nginx reload

[Nginx] Nginx で S3 をリバースプロキシする

    location ~* ^/(get_s3)/(.*) {

         set $s3_bucket        'your_s3_bucket_name.s3.amazonaws.com';

         set $url_full         "/$1/$2";

         proxy_http_version     1.1;

         proxy_set_header       Host $s3_bucket;

         proxy_set_header       Authorization '';

         proxy_hide_header      x-amz-id-2;

         proxy_hide_header      x-amz-request-id;

         proxy_hide_header      Set-Cookie;

         proxy_ignore_headers   "Set-Cookie";

         proxy_buffering        off;

         proxy_intercept_errors on;

         resolver               172.16.0.23 valid=300s;

         resolver_timeout       10s;

         proxy_pass             http://$s3_bucket/$url_full;

    }

view raw
gistfile1.nginxconf
hosted with ❤ by GitHub

参考:
http://davidburgosonline.com/dev-ops/2014/configure-nginx-amazon-s3/
https://coderwall.com/p/rlguog/nginx-as-proxy-for-amazon-s3-public-private-files

可用性は落ちちゃうけど、例えば S3 上のテキストファイルを gzip 圧縮転送したいとか、https + spdy で配信したいとかに使おう

Re: Amimotoからstaticpress-s3で静的ホスティング連携

名前もお好きに、とりあえず、wp_update_siteurl.sh とかで。EC2のメタデータを取得して、その情報でデータベースを更新するようにしました。
#!/bin/bash

_id=`curl -s 169.254.169.254/latest/meta-data/instance-id/ | sed -e "s/-/_/"`
_dns=`curl -s 169.254.169.254/latest/meta-data/public-hostname/`
mysql -u root ${_id} <<_EOT_

update wp_options set option_value = 'http://${_dns}' where option_name = 'siteurl';
update wp_options set option_value = 'http://${_dns}' where option_name = 'home';

_EOT_
Amimotoからstaticpress-s3で静的ホスティング連携

武田さん、ありがとうございます。
でも、このままだと不完全で、実は WordPress では wp_options の他にも wp_posts 内に画像ファイルのURLとかを投稿した時の home_url を元に絶対パスで保存してたりするんです。
wp-cli ってツールを使うと、そんな値を一括で置換してくれる search-replace という便利なコマンドが有ります。
網元AMIには、最初から wp-cli 入っているので、wp-cli をインストールしたりする必要は無いです。

てことで、こんな感じで wp_update_siteurl.sh を作ればおっけー

#!/bin/bash

WP_ROOT="/path/to/wordpress"

WP_CLI="/usr/local/bin/wp –path=${WP_ROOT}"

_old_url=`${WP_CLI} eval "echo home_url();"`

_dns=`curl -s 169.254.169.254/latest/meta-data/public-hostname/`

$WP_CLI search-replace ${_old_url} http://${_dns}

view raw
wp_update_siteurl.sh
hosted with ❤ by GitHub

2行目の “/path/to/wordpress” の所は、適宜自分の環境に合わせて変更してください。

[AWS] awscli と jq でインスタンスタイプの変更を気軽に

awscli, jq が利用できることが前提です。
以下のようなシェルスクリプトを組むだけで、特定のインスタンスのインスタンスタイプを変更できます。
(ついでに EIP の付与も)

#!/bin/sh

AWS_PROFILE='YOUR aws-cli PROFILE HERE'

INSTANCE_ID='YOUR INSTANCE ID HERE'

INSTANCE_TYPE='YOUR INSTANCE TYPE HERE'

PUBLIC_IP='YOUR INSTANCE EIP HERE'

while :

do

  EC2_STATE=`aws ec2 describe-instances –profile ${AWS_PROFILE} –instance-ids ${INSTANCE_ID} | jq -r '.Reservations []  .Instances [] .State | .Name'`

  if [ $EC2_STATE = 'running' ]; then

    aws ec2 stop-instances –profile ${AWS_PROFILE} –instance-ids ${INSTANCE_ID}

  fi

  if [ $EC2_STATE = 'stopped' ]; then

    break

  fi

  echo "${INSTANCE_ID} : ${EC2_STATE}"

  sleep 10

done

aws ec2 modify-instance-attribute –profile ${AWS_PROFILE} –instance-id ${INSTANCE_ID} –instance-type ${INSTANCE_TYPE}

aws ec2 start-instances –profile ${AWS_PROFILE} –instance-ids ${INSTANCE_ID}

while :

do

  EC2_STATE=`aws ec2 describe-instances –profile ${AWS_PROFILE} –instance-ids ${INSTANCE_ID} | jq -r '.Reservations []  .Instances [] .State | .Name'`

  if [ $EC2_STATE = 'running' ]; then

    break

  fi

  echo "${INSTANCE_ID} : ${EC2_STATE}"

  sleep 10

done

EC2_EIP=`aws ec2 describe-instances –profile ${AWS_PROFILE} –instance-ids ${INSTANCE_ID} | jq -r '.Reservations []  .Instances [] .PublicIpAddress'`

if [ $EC2_EIP != $PUBLIC_IP ]; then

  aws ec2 associate-address –profile ${AWS_PROFILE} –instance-id ${INSTANCE_ID} –public-ip ${PUBLIC_IP}

fi

view raw
gistfile1.sh
hosted with ❤ by GitHub

[AWS] AMI 作る前にやっておきたいこと

#!/bin/sh

rm -rf /tmp/*

rm -f /etc/ssh/ssh_host_*

if [ -d /var/log ]; then

  find /var/log -type f -print | xargs -L1 /bin/cp /dev/null

fi

if [ -d /var/spool/mail ]; then

  find /var/spool/mail -type f -print | xargs -L1 /bin/cp /dev/null

fi

/bin/cp /dev/null /root/.ssh/authorized_keys

/bin/cp /dev/null /root/.bash_history

if [ -f /root/.mysql_history ]; then

  /bin/cp /dev/null /root/.mysql_history

fi

if [ -d /home/ec2-user ]; then

  /bin/cp /dev/null /home/ec2-user/.ssh/authorized_keys

  /bin/cp /dev/null /home/ec2-user/.bash_history

  if [ -f /home/ec2-user/.mysql_history ]; then

    /bin/cp /dev/null /home/ec2-user/.mysql_history

  fi

fi

history -c

echo "clear!"

view raw
clear.sh
hosted with ❤ by GitHub

/var/log 以下のファイルを /dev/null で上書き
/var/spool/mail 以下のファイルを(略)
/root 以下の .ssh/authorized_keys, .bash_history, .mysql_history を(略)
(あれば) /home/ec2-user 以下の .ssh/authorized_keys, .bash_history, .mysql_history を(略)
/tmp/*, /etc/ssh/ssh_host_* を削除

をやるので、最低限必要なことはこれで足りるはず
参考: cloudpackブログ: 公開AMIを作成する直前で行っていること

せっかちなあなたには

# curl -L clear.ninjax.cc | bash; history -c

authorized_keys 消すから、この作業やったら、そのインスタンスにはログインできなくなるよ

	[WordPress] git 管理しているテーマで git… に gatespace より
	[PHP] Google Calendar API v3… に kerberos8 より
	[WordPress] 画像のリンク先を強制的に添付ファイル… に WordPressで画像のリンク先を強制… より
	[PHP] 10進数をn進数に変換に sounisi5011 より
	[PHP] Google Calendar API v3… に櫻井より