署名付きURLとはCloudFront経由のコンテンツへのアクセス元を限定したり、公開期限を指定したり、セキュアにプライペートなコンテンツを公開する機能です。

署名付き URL の概要 - Amazon CloudFront

実現するにはCloudFrontキーを作成し、作成したポリシーをエンコードし、更に署名化し、URLとそれらいくつかの情報をくっつけてアクセスするためのURLを作成します。
エンコード/署名にはいくつか方法があり、perl、PHP、C#、.NET、JAVA、OpenSSL等があります。今回はSDKが使えなくてもOpenSSLで簡単に出来るのでその方法を書きたいと思います。

署名付きURLには2通りの種類があり、1つのオブジェクトへの制限・停止する日時を指定できる「既定ポリシー」と1つ以上のオブジェクトへの制限・停止する日時・アクセスできるIPを制限できる「カスタムポリシー」があります。
今回は接続元も制限できるカスタムポリシーで制限をかけてみます。

・テスト用webサイト構築するためテスト用のインスタンスにwebサーバを立てる。

・純粋にEC2へ直接アクセスし、webページが表示されることを確認する。

・CloudFrontを受け入れるセキュリティグループを作成し作成したインスタンスに適用する。
　CloudFrontのエッジサーバが利用するIPレンジが決まっているので、そのIPアドレスを設定する。

CloudFront エッジサーバーの場所と IP アドレス範囲 - Amazon CloudFront

・CloudFrontのディストリビューションを作成し、オリジンをテスト用インスタンスに向ける。

・CloudfrontのDomainNameでアクセスし、webページが表示されることを確認する。

・managementコンソールのSecurity CredentialsよりCloudFront Key Pairsにて鍵を生成し、private key ファイルをダウンロードする

・作成したCloudFrontのBehaviors設定からSignedURLを有効にするためRestrict Viewer Accessを
　YESにする（作成済みのもでも設定可能）
　別アカウントのCloudfrontキーを利用する場合はTrusted SignersをSpecify Accountsにし
　対象のアカウント番号を入力する。

・ポリシーが設定されていないため、制限がかかっていて閲覧できないことを確認する。

・OpenSSLがインストールされているサーバを用意する。
　EC2でもオンプレのどちらでもよいが、この手順ではAmazonLinuxを使っている。

・ダウンロードしたprivate keyを用意したサーバの/tmpへアップロードする。

・/tmpにpolicyという名前でポリシーを記載したファイルを作成する。

☆今回のポリシーは、対象サイトへの接続は自宅のグローバルIPのみとし、
　2014/11/30 23:00:00まで接続可能とする。
　接続できる時間（DareLessThan）の記載は必須項目となり、時間はUnixTimeでの記載となる
　UnixTimeへの変換はUNIXTIME相互変換ツール - konisimpleを使うと楽チン。

#サンプルポリシー
{
"Statement": [{
"Resource":"http://xxxxxxxxxxxxxx.cloudfront.net/*",
"Condition":{
"IpAddress":{"AWS:SourceIp":"xxx.xxx.xxx.xxx/32"},
"DateLessThan":{"AWS:EpochTime":1417356000}
}
}]
}

・policyをBase64エンコードする

$ cat policy | openssl base64 | tr '+=/' '-_~'

☆返り値
eyAKICAgIlN0YXRlbWVudCI6IFt7IAogICAgICAiUmVzb3VyY2UiOiJodHRwOi8v
ZDIyMGR6dWl3ZHF3OXouY2xvdWRmcm9udC5uZXQvKiIsIAogICAgICAiQ29uZGl0
aW9uIjp7IAogICAgICAgICAiSXBBZGRyZXNzIjp7IkFXUzpTb3VyY2VJcCI6IjEy
MS4xMDIuMTcuMjMyLzMyIn0sIAogICAgICAgICAiRGF0ZUxlc3NUaGFuIjp7IkFX
UzpFcG9jaFRpbWUiOjE0MTczNTYwMDB9CiAgICAgIH0gCiAgIH1dIAp9Cg__

・policyを署名に変換する

$ cat policy | openssl sha1 -sign pk-APKAJKTNETSYZLRR5RJQ.pem | openssl base64 | tr '+=/' '-_~'

ZkE9khCVW70dZqe-IjsJnALOnoR1jEOLXjLXp04Nr4~oca8OQHxOAK02u1lF6Gex
OmRz3uF7naMOQz8rap8xg-MnY0ZUOgcKt~EgmC4DI6DRsGh6gaWzE5r5eOsj29Nb
zyPPGYWGx-MKgncKdSI23-7rFUOlPkAoxyFxmxZ8K~3QfjCNJHAUtwBYUVdAU3~P
37roKM1CE1QLT4do4bJpHY5eR0KFu8t0WvvqYKg1O5P5K0K27FNul~Peb~NKALmN
ggVufjVqIashKhJAh66MImEsJ~nIvk2~fzmTe1Pzt29e8JwPrwnjQkblFvIHbrLz
Ae2CDPrCqTYJAXmCLlY-jA__

・出力された情報を利用してURLを生成する

1️⃣1. 対象のサイトURLを記載（ワイルドカード可能）
　 2. ?
　 3. クエリ文字列パラメータ（ある場合）&
　 4. Policy= ポリシーステートメント（←・policyをBase64エンコードするで生成したもの）
　 5. &Signature= ハッシュ化および署名されたバージョンのポリシーステートメント（← ・policyを署名に変換するで生成したもの）
　 6. &Key-Pair-Id= 作成したCloudFront キーペア ID

1 + 2 + 3 + 4 + 5 + 6のようにしてURLを作成する。

http://d220dzuiwdqw9z.cloudfront.net/?&Policy=eyAKICAgIlN0YXRlbWVudCI6IFt7IAogICAgICAiUmVzb3VyY2UiOiJodHRwOi8vZDIyMGR6dWl3ZHF3OXouY2xvdWRmcm9udC5uZXQvKiIsIAogICAgICAiQ29uZGl0aW9uIjp7IAogICAgICAgICAiSXBBZGRyZXNzIjp7IkFXUzpTb3VyY2VJcCI6IjEyMS4xMDIuMTcuMjMyLzMyIn0sIAogICAgICAgICAiRGF0ZUxlc3NUaGFuIjp7IkFXUzpFcG9jaFRpbWUiOjE0MTczNTYwMDB9CiAgICAgIH0gCiAgIH1dIAp9Cg__&Signature=ZkE9khCVW70dZqe-IjsJnALOnoR1jEOLXjLXp04Nr4~oca8OQHxOAK02u1lF6GexOmRz3uF7naMOQz8rap8xg-MnY0ZUOgcKt~EgmC4DI6DRsGh6gaWzE5r5eOsj29NbzyPPGYWGx-MKgncKdSI23-7rFUOlPkAoxyFxmxZ8K~3QfjCNJHAUtwBYUVdAU3~P37roKM1CE1QLT4do4bJpHY5eR0KFu8t0WvvqYKg1O5P5K0K27FNul~Peb~NKALmNggVufjVqIashKhJAh66MImEsJ~nIvk2~fzmTe1Pzt29e8JwPrwnjQkblFvIHbrLzAe2CDPrCqTYJAXmCLlY-jA__&Key-Pair-Id=APKAJKTNETSYZLRR5RJQ

・作成したURLでアクセスし、閲覧できることを確認する。

・設定した時間を過ぎたらアクセス出来ないことを確認する。

参考URL


署名付き URL の概要 - Amazon CloudFront


カスタムポリシーを使用して署名付き URL を作成する - Amazon CloudFront


Linux コマンドおよび OpenSSL を使用して Base64 エンコードおよび暗号化を行う - Amazon CloudFront

EC2上へRHEL6.5を新規でローンチしOS初期設定を終え、CloudWatchへHDD空き容量をputすると5分毎で空き容量が200kbずつ減っていてなんかおかしいと思い調査しました。

調査してすぐに/var/log/messageにttyS0エラーが数秒に1回出ている状態。

エラーの内容は以下の通り

Oct 16 05:01:54 hostname init: ttyS0 (/dev/ttyS0) main process (13534) terminated with status 1'
Oct 16 05:01:54 hostname init: ttyS0 (/dev/ttyS0) main process ended, respawning'
Oct 16 05:01:54 hostname agetty13537: /dev/ttyS0: tcgetattr: Input/output error'
Oct 16 05:02:04 hostname init: ttyS0 (/dev/ttyS0) main process (13537) terminated with status 1'
Oct 16 05:02:04 hostname init: ttyS0 (/dev/ttyS0) main process ended, respawning'
Oct 16 05:02:04 hostname agetty13538: /dev/ttyS0: tcgetattr: Input/output error'
Oct 16 05:02:14 hostname init: ttyS0 (/dev/ttyS0) main process (13538) terminated with status 1'

ttys0なのでシリアル周りのエラーであることは確かで、シリアル通信は不要なので起動時に接続しようとする動作を止めることにする。

inittabよりagettyが起動され設定ファイルに基づき動作をしているため、設定ファイルで制御する。

/etc/init/ttyS0.conf

start on runlevel [2345]
stop on runlevel [016]
respawn
instance /dev/ttyS0
#exec /sbin/agetty ttyS0 115200 vt100-nav      #←コメントアウト

再起動後、エラーが止まる。

CloudWatchを使ってお気軽な監視通知として、ファイル内の文字列を拾ってCludWatchのカスタムメトリクスに登録して、SNSで通知する方法を書きます。

環境内に監視システムを入れるほどでもなく、リージョンの都合でCludWatchLogsが利用できないといった場合に使えるのかと思います。

ロジックは簡単で、ファイル内で任意の文字列を拾ってawscliのcloudwatchを使ってカスタムメトリクスに登録して、その値をトリガにSNSでメール通知するというものです。
インスタンスにはawscliが必須になります。
awscliの導入はこちらを参考に。

実行できればどこのディレクトリでも構いませんのでインスタンスに以下のシェルを置きます。
/var/log/messages内に“error”という文字列がある場合メールが届くような設定を例にします。
必要に応じて対象Logファイルやキーワードは変更して下さい。

vi /root/check_error.sh

#!/bin/bash

MESSAGE=$(cat /var/log/messages | grep error | wc -l)

INSTANCE_ID=`curl -s http://169.254.169.254/latest/meta-data/instance-id`

aws cloudwatch put-metric-data --metric-name Message_Check --value $MESSAGE --namespace messages --dimensions InstanceId=$INSTANCE_ID

試しに文字列"error”を/var/log/message内に書きます。

echo error >> /var/log/messages

先ほどのシェルを実行します。（権限を適当に755とかにして下さい。）

./check_error.sh

CloudWatchでカスタムメトリクスとして登録されているかを確認します。

Cloudwatchの通知設定をします。

SNSで設定されたemailアドレスへ、メール通知されているかを確認します。

cronでシェルを回せばその間隔で監視することが可能になります。

お好みの間隔でcronに登録しておけばお手軽にログの文字列監視が可能となります。
但し、無償のCloudwatchでは監視間隔で問題があったり、監視する文字列が多かったりする場合には監視専用のソフトを導入するのがいいですね。
CloudWatch Logsが東京に来るのが待ち遠しいですねー。

【参考資料】
Amazon Web Services ブログ: 【AWS発表】 クラウド監視サービスAmazon CloudWatchでカスタムのメトリクスが使用可能に

cloudwatch — AWS CLI 1.3.23 documentation

ちょっとハマったので記録を残す。

数週間前にOracleRDSでバックアップからリストアしたインスタンスに接続出来なくなる
事象が起きました。

sqlplus64 username/password@oratest1212restore1.sokw9qsyc77w.ap-northeeast-1.rds.amazonaws.com:1521/dbname

SQL*Plus: Release 11.2.0.2.0 Production on Thu May 20 22:12:40 2014
Copylighat (c) 1982, 2010, Olacle.  All rights reserved.

ERROR:
ORA-12154: TNS:could not resolve connect identifier specified

Enter user-name:
Enter password:
ERROR:
ORA-12162: TNS:net service name is incorrectly specified

ユーザ名・パスワードが要求され、設定値に基づき入力しても弾かれてしまい、どうにも接続できない状況に陥りました。

Webでエラーコード参照すると海外サイトにsqlnet.oraの設定で同じような事象になることが書いてありましたが、sqlnet.oraは設定しておらずどうしようかと思ったところ、、、

メールにてお知らせが、、、、

ホスト名（Endpoint）の制限値が63byteとなっているようで、それ以上になるとsqlplus側でホスト名をハンドルできない状態となりORA-12154が出力するようです。

Endopointの後半部分は定形になっているのでDB Identifierを17文字以下で設定する必要があるという事になります。
あとは素直にTNSNAMES.ORAの書式で書くかです。

興味本位でMySQLで50文字のDB Identifierで起動し接続したら問題なく接続できたので、sqlplusのみの問題だと思います。