タグ付けされた質問 「amazon-ec2」

「aws ec2 run-instances」コマンド（AWS Command Line Interface（CLI）から）を使用してAmazon EC2インスタンスを起動しています。起動するEC2インスタンスにIAMロールを設定したい。IAMロールが設定され、AWSウェブUIからインスタンスを起動するときにそれを正常に使用できます。しかし、そのコマンドと「--iam-instance-profile」オプションを使用してこれを実行しようとすると、失敗しました。「aws ec2 run-instances help」を実行すると、値のArn =およびName =サブフィールドが表示されます。「aws iam list-instance-profiles」を使用してArnを検索しようとすると、次のエラーメッセージが表示されます。 クライアントエラー（AccessDenied）が発生しました：ユーザー：arn：aws：sts :: xxxxxxxxxxxx：assumed-role / shell / i-15c2766dの実行は許可されていません：リソースのiam：ListInstanceProfiles：arn：aws：iam :: xxxxxxxxxxxx：instance -プロフィール/ （xxxxxxxxxxxxはAWSの12桁のアカウント番号です） Web UIでArn文字列を検索し、run-instancesコマンドで「--iam-instance-profile Arn = arn：aws：iam :: xxxxxxxxxxxx：instance-profile / shell」でそれを使用しましたが、失敗しました： クライアントエラー（UnauthorizedOperation）が発生しました：この操作を実行する権限がありません。 「--iam-instance-profile」オプションを完全に省略した場合、インスタンスは起動しますが、必要なIAMロール設定はありません。そのため、許可は「--iam-instance-profile」の使用またはIAMデータへのアクセスに関係しているようです。AWSの不具合（時々起こる）の場合に何度か繰り返しましたが、成功しませんでした。 IAMロールを持つインスタンスが、より強力なIAMロールを持つインスタンスを起動することは許可されないという制限があるのではないかと考えました。しかし、この場合、コマンドを実行しているインスタンスは、使用しようとしているのと同じIAMロールを持っています。「shell」と名付けられました（私は別のものを試してみましたが、運はありません）。 IAMロールの設定は、インスタンスから（IAMロール認証情報を介して）許可されていませんか？ IAMロールを使用するために、プレーンインスタンスを起動するために必要なものよりも高いIAMロール許可が必要ですか？ 「--iam-instance-profile」はIAMロールを指定する適切な方法ですか？ Arn文字列のサブセットを使用する必要がありますか、それとも他の方法でフォーマットする必要がありますか？ IAMロールアクセスを実行できるIAMロールをセットアップすることは可能ですか（「スーパールートIAM」...この名前を構成する場合があります）？ 参考までに、すべてはインスタンス上で実行されるLinuxに関係しています。また、これらのツールをデスクトップにインストールできなかったため、これらすべてをインスタンスから実行しています。それに加えて、ここで AWSが推奨するように、IAMユーザー認証情報をAWSストレージに配置したくありません。 回答後： 「PowerUserAccess」（vs.「AdministratorAccess」）の起動インスタンス許可については言及しませんでした。質問が行われた時点で追加のアクセスが必要であることに気づかなかったためです。IAMの役割は打ち上げに付随する「情報」であると想定しました。しかし、それは本当にそれ以上です。それは許可の付与です。

20 amazon-ec2  amazon-iam 

私の脳は、公開鍵と秘密鍵の軸に巻き付けられています。AmazonのEC2サービスでクラウドサーバー（インスタンス）を作成し、SSH経由で接続する場合、Amazonは接続を確立するために秘密鍵をダウンロードする必要があります。公開鍵/秘密鍵の背後にある考えは、Amazonが公開鍵をダウンロードすることを要求するべきだと示唆していませんか？ さらに、顧客が使用するSFTPサーバーをセットアップした場合、サーバーにキーをインストールするか、サーバーからキーを提供する必要がありますか？どちらの場合でも、それは公開鍵または秘密鍵のどちらですか？

20 amazon-ec2  sftp  public-key  private-key 

S3を使用して何百万ものエントリをwebappに保存します。今度はすべてをEC2、EUサーバーに移動し、S3データをEUに移動したいと考えています。しかし、私たちが使用しているバケットは米国にあり、バケットのコンテンツ全体を別のバケットに移動するツールはないようです。 また、EUバケットに切り替えたときにデータを同期する方法にも問題があります。このデータは、移行の実行中に作成されます。

20 amazon-ec2  amazon-s3 

私は長年AWSを使用してきましたが、EC2インスタンスを起動するときにセクションQuick StartやAWS Marketplaceセクションの外に出たことはありません。 AMIはAWS Marketplace信頼できるように見え、売り手プロファイルへのリンクなどがあります。 これをコミュニティAMIと比較してください。コミュニティAMIは、誰が作成してアップロードしたのかについての情報はまったくなく、薄っぺらに見えます。 コミュニティAMIがどこから来たのかを知る方法は？これらは信頼できますか？

19 amazon-web-services  amazon-ec2  amazon-ami 

Amazon EC2でかなり簡単なセットアップを実行しようとしています-Amazon Elastic Load Balancer（ELB）の背後にあるいくつかのHTTPサーバー。 ドメインはRoute53で管理されており、ELBを指すようにCNAMEレコードが設定されています。 すべてではありませんが、一部の場所が断続的にロードバランサーに接続できないという問題が発生しました。これはELBのドメイン名の解決であると思われます。 Amazonサポートは、ロードバランサーの基盤となるElastic IPが変更されており、問題はISPのDNSサーバーがTTLを尊重していないことであるとアドバイスしました。EC2インスタンスのAmazon独自のDNSサーバーを使用して、オーストラリアのローカルISP上で、GoogleのDNSサーバーを介して問題を再現したため、この説明に満足できません（8.8.8.8）。 Amazonは、一部の場所でダウンタイムに気付いた期間中、ELBを通過するトラフィックが大幅にダウンしたことを確認しました。したがって、問題はエンドポイントにありません。 興味深いことに、ドメインは接続できないサーバー上の正しいIPに解決されるようですが、TCP接続を確立する試みは失敗します。 ELBに接続されているすべてのインスタンスは常に正常です。彼らはすべてです この問題をより深く診断する方法を誰もが知っていますか？Elastic Load Balancerでこの問題を経験した人はいますか？ おかげで、

19 amazon-ec2  load-balancing  cloud 

重複の可能性： Linuxディレクトリのアクセス許可 私はいくつかのサードパーティの開発者と協力しており、彼らが作業しているウェブサイトのルートフォルダへのSFTP（またはFTP）アクセスを許可したい'/var/www/html/website_abc'ので、そこにファイルをアップロードできます。同じEC2インスタンスで他のWebサイトをホストしていることに注意してください'/var/www/html/website_xyz'。 1つのEC2インスタンスで複数のWebサイトを使用していることを強調するために、Webサイトの構造は次のとおりです。 / var / www / html / / var / www / html / website_abc ... / var / www / html / website_xyz 私の目標は次のとおりです。 ユーザー「adeveloper」は「/ var / www / html / website_abc」にアクセスできますが、「/ var / www / html / website_abc」のみがアクセスできます ユーザー 'adeveloper'がSFTP（またはFTP）にログインするためのユーザー名として 'adeveloper @ [my elastic …

19 centos  amazon-ec2  ftp  amazon-web-services  sftp 

別のインスタンスをリモートで起動するスクリプトがEC2インスタンスにあります。 このインスタンスが完全にロードされたら（ブートの完了）、bashスクリプトを自動的に実行したいのですが、これを行う最良の方法は何でしょうか？ すべてを完全に起動する必要があります。基本的に、bashスクリプトは画像変換スクリプトを実行します（ImageMagickを使用し、「wget」コマンドを数回実行します） 現在、スクリプトは次の場所にあります。 /home/root/beginProcess.sh そして、私はそれを手動で起動することができます bash beginProcess.sh RHEL-6.2-Starter-EBS-i386 また、これにEBSボリュームが添付されています。これが役立つ場合は、ありがとうございます。

19 linux  amazon-ec2  bash  boot 

EC2インスタンスがあります。次のようなAmazon IPで稼働しています：//ec2-xxx-xxx-xxx-xxx.compute-1.amazonaws.com/ 私はそれがうまくいくと確信しています。 ドメインを購入してから、Amazon Route 53で「ホストゾーン」を設定し、ネームサーバー情報を提供しました。ドメインレジストラーにアクセスし、それらの名前をネームサーバーに入れました。 今私は立ち往生しています。このホストゾーンをインスタンスに関連付けるにはどうすればよいですか？Amazonにホストしてもらいたいので、それで問題ありません。

19 amazon-ec2  amazon-route53 

最近、EC2インスタンスのファイアウォールの問題に出会いました。TCPポートはEC2セキュリティグループを介してすべてのユーザーが利用できるようになりましたが、それでもiptablesを使用したインスタンス側のフィルタリングがありました。セキュリティグループがIPTablesの単なる高級APIであるかどうかを考えました。私が言うことができるものから完全に排他的に実行されていることがわかります。両方を使用する理由はありますか？1つのファイアウォールで十分なはずであり、複雑さの別のレイヤーを追加することは、発生を待っている頭痛の種のようです。 それまでは、セキュリティグループのすべてのポートを開いてからiptablesを介してすべてのフィルタリングを行うか、逆にiptablesを無効にしてセキュリティグループフィルタリングを使用することを検討しています。 ここで私のロジックに欠陥があるかどうかについてのフィードバックはありますか？重要なものがありませんか？

19 amazon-ec2 

Amazon EC2でNode.jsをコンパイルしようとしていますが、「build essential」をインストールすることさえできません。問題はどこにありますか？ ありがとう。 sudo yum install build-essential Loaded plugins: fastestmirror, security Loading mirror speeds from cached hostfile (...) No package build-essential available. Error: Nothing to do ./configure Checking for program g++ or c++ : not found Checking for program icpc : not found Checking for program c++ : not …

19 amazon-ec2  amazon-web-services 

Amazon EC2を使用しており、インスタンスを追跡する必要があります。あるAmazon EC2インスタンス-idには、永遠にユニーク？つまり、VMのインスタンスIDがi-12345678ある場合、そのインスタンスが終了したときに、そのインスタンスIDが再び使用されないという保証がありますか？

19 virtualization  amazon-ec2 

cloud-initがEC2インスタンスの最初のブートでユーザーデータスクリプトを実行した後、状態ファイルが書き込まれ、その後の再起動でcloud-initが再度スクリプトを実行しないようにします。ユーザーデータスクリプトが再度実行されるように、この状態ファイルを削除したい場合があります。それはどこにある？

19 amazon-ec2  cloud-init 

暗号化されていない古いEBSボリュームがいくつかあります。新しい企業のセキュリティ対策を満たすには、すべてのデータを「保管時に暗号化」する必要があるため、暗号化するすべてのボリュームを変換する必要があります。 これを達成する最良の方法は何ですか？

18 amazon-ec2  amazon-web-services  encryption  amazon-ebs 

Elastic Load Balancingを使用してAuto Scaling Groupの負荷分散を行っています。そのため、アプリケーションサーバー（Tomcat）とそれに戦争として展開されたWebアプリを保持するプライベートAMIがあります。AMIの Tomcat設定を変更する必要がある場合。AMIを起動する必要はありません->ログイン+ Tomcat構成を変更します->新しいAMIを作成します->古いAMIを削除します新しいAMIを作成することは、自動スケールを更新する必要があるため、解決策ではないと思います新しいAMIを追加するグループ 新しいものを作成せずに既存のAMIのデータを更新できる方法はありますか？同じAMI IDが欲しいだけです

18 amazon-ec2  amazon-web-services  load-balancing  amazon-ami  autoscaling 

ホスティングプロバイダーが読み取り可能ではないが、VPSで引き続き使用可能なデータを含むVPSを使用できるかどうかは興味があります。 明らかに、彼らが何かを読むのを防ぐためにできることがいくつかあります... ルートを含むすべてのパスワードを変更できます。しかし、その後、彼らはまだいくつかの代替ブートを使用してパスワードをリセットすることも、ディスクを別の方法でマウントすることもできます。 したがって、ディスクまたはディスク上のコンテンツの少なくとも一部を暗号化できます。しかし、コンテンツを復号化しても、コンソールで何をしているのかを見るために「ピアイン」する可能性があるようです。結局、仮想化プラットフォームはこれを許可するべきだからです。 そして、たとえそれを止められたとしても、VPSのRAMを直接読むことができるようです。 もちろん、VPSはその上にデータを保存でき、キーがVPS上になく、そこでデータが復号化されない限り、ホストはデータを取得できません。 しかし、VPS上のデータが解読されると... VPSで使用するために...ホスティングプロバイダーがデータを取得できるように思えます。 したがって、私の2つの質問は次のとおりです。 これは正しいです？ホストからのVPS上のデータをVPSからアクセス可能な状態に保ちながら、ホストから100％保護する方法がないのは本当ですか？ それを100％安全にすることが可能である場合、どのように？それが不可能な場合、Webホストからデータを隠すのに最も近いものは何ですか？

18 linux  security  amazon-ec2  virtualization  encryption