雑記帳

■ 実践DNSが来た

新年早々、達人出版会からプレゼントキャンペーンで当選した、実践DNSの紙版が来ていた。ありがとうございます！

というわけで、お礼もかねて実践DNS…ではなくて(これは紙で読みます)、情報共有の未来、はじめる！ Rails3（２）、知る、読む、使う！ オープンソースライセンスを合わせて購入した。

しかし、こうなってくると電子書籍リーダーが欲しくなる。やっぱりKindleが良いんだろうか。

■ [AWS] Amazon S3でアクセス指定かつ期限付きURLの生成

以前に、S3でのアクセス制限と時限式のURLを生成する方法を書いた。

• AWS SDK for RubyでS3の期間限定のURLを生成する
• S3のバケットポリシーでIPアドレスによるアクセス制限

これらを同時に利用することができないかどうか試してみた。

まずは、バケットポリシーで制限をかけた状態で、Pre-signed URLを使って実現する時限式のURLを生成してみた。しかしこれはうまく行かず、アクセス制限が効かない状態になってしまっていた。どうやら、Pre-signed URLを生成した場合には、Pre-signed URLを生成したアカウントのポリシーで、バケットポリシーを上書きしてしまうらしい。

そのため、Pre-signed URLを使用してアクセス制限を行う場合には、IAMでアカウントを作成して、そのアカウントのポリシーで、s3へのアクセス制限を行えば良いとのこと。

{
 "Statement": [{
   "Effect": "Allow",
   "Action": [ "s3:GetObject" ],
   "Resource": "arn:aws:s3:::bucketname/*",
   "Condition": {
     "StringEquals": { "aws:SourceIp": "198.51.100.0/24" }}
 }]
}

この場合、対象のバケットの設定はデフォルトのままで良い。

このユーザのアクセスキーIDを使って、Pre-signed URLを生成する。すると、特定のIPアドレスからのみアクセス可能かつ、期間限定のURLとなる。

Pre-signed URLには、当該ユーザのアクセスキーIDが含まれるので、そのユーザのポリシーになる、ということのようだ。

■ [AWS] EC2にアタッチできるEBSの上限

一台のEC2に対して、いくつまでEBSがアタッチできるのか気になったので、調べてみた。

EC2のUser Guideの、Attaching the Volume to an Instanceによると、Linux/UNIXの場合は、アタッチ可能なデバイスは、/dev/sd[f-p]または /dev/sd[f-p][1-6]ということなので、最大で、66ボリュームということになるようだ。思ったよりも大量にアタッチできるのね。

また、Windowsの場合は、アタッチ可能なデバイスは、xvd[f-p]なので、11ボリュームとなる。こちらはちょっと心もとない感じがするのは、Windowsの方がたくさんディスクを使いそうという印象があるからか。