rengotaku

Floci — LocalStackの代替として登場したAWSエミュレータ

参考: Floci の最初の1ヶ月:41サービスへ拡大した AWS エミュレータ LocalStack を CI で使っていると、Pro 機能の認証や有償ライセンスに引っかかる場面がある。代替を探していて Floci にたどり着いたので、概念だけメモしておく。手順ではなく「何のためのツールなのか」を腹落ちさせるのが目的。 Floci とは AWS サービスをローカルでエミュレー...

aws, tools

S3 暗号化が SSE-S3 のみで SSE-KMS 未使用だと、何が『できていない』のか

まとめ SSE-S3 のみの運用は「暗号化されている」が「鍵管理は統制されていない」状態 SSE-S3 が守るのは物理層レベルの脅威のみ。運用面の漏洩には寄与しない SSE-KMS 未使用 = 鍵レベル多重防御・鍵利用ログ・顧客主導キーローテーション・クロスアカウント鍵制御・コンプライアンス対応がすべて欠落 前提:S3 の at-rest 暗号化方式 ...

aws, security

「早さは信頼」を考察する — 速さと精度のトレードオフ

「早さは信頼」とは 参考: 早さは信頼 返信・対応の速さは、言葉より強力な信頼構築の手段になる。これは感覚的に知っていても、意識的に実践している人が少ないテーマだ。 速く返すことは、それ自体が非言語メッセージとして機能する。「あなたのことを優先している」という意思表示になる。逆に、遅いことは「あなたの問題は私の優先度が低い」というシグナルになってしまう。 返信が遅い ≠ 丁寧...

communication, management

CRubyの内部構造:パーサー・コンパイラ・YARV・GC

Rubyコードが実行されるまでの流れと、CRubyを構成するコンポーネントを整理する。 実行フロー全体像 Rubyコード ↓ Lrama(パーサー) AST(抽象構文木) ↓ コンパイラ バイトコード ↓ YARV(VM) CPU命令 ※ GCはYARV実行中に並走してメモリを管理 ruby hoge.rb を叩いた瞬間に上から順番に走る。 各コンポーネン...

ruby, internals

「誰かがやるだろう」をやめた記事の取り組みを前提環境から分解する

カケハシのテックブログ「誰かがやるだろう」をやめた1年間の記録を読んで、取り組みの中身よりその取り組みが成立した前提環境が気になったので整理する。 記事の取り組みサマリー 記事では以下の改善が紹介されている。 取り組み 成果 レポート機能テンプレート化 実装工数 半日 → 1時間 ...

team, engineering

AWS WAF の GenericLFI_BODY が PDF アップロードを誤検知してブロックする

現象 ユーザーが PDF ファイルをアップロードすると「問題が発生しました」エラーが表示される。別のファイルは正常にアップロードでき、時間をおいても解消しない。サポート担当が同じファイルをアップロードすると成功する場合もある。 調査 S3 に保存されている WAF ログを確認すると、該当リクエストが BLOCK されていた。 { "action": "BLOCK", "ter...

aws, security

サブドメインのNS委譲 — 別AWSアカウントにDNS管理を移す最小コスト設計

AWSアカウント分離でstaging環境を別アカウントに移す際、サブドメイン(例: stg.example.com)のDNS管理をどう扱うかで設計の複雑さが大きく変わる。 問題: 親ゾーンが本番アカウントにある example.com のRoute53ホステッドゾーンが本番アカウントに存在する場合、staging用のDNSレコードを追加するたびに本番アカウントを操作することになる。 N...

aws, infrastructure

トレンドのタグ

rails ruby linux shell aws docker mysql gem macos git