Cloud, Kubernetes, and platform engineering.
Ercan Ermisによるクラウド、Kubernetes、AWS、Terraform、プラットフォームエンジニアリングに関するシニアエンジニアのフィールドノート。
All posts
クラウドでクラウドをチェックする: M365 Security ポスチャスキャン 101
Microsoft 365テナントはクラウドインフラであり、AWSアカウントと同じようにドリフトする。CIS、EIDSCA、CISA ScuBAを使ったポスチャスキャンの基本と、2026年にスキャナー自体をSaaSとして動かす、つまりクラウドでクラウドをチェックする理由を解説する。
AWS Lambda MicroVMs: serverless にステートフルで隔離されたサンドボックスが加わる
AWS Lambda MicroVMs は VM レベルの隔離、snapshot による高速起動、そして中断と再開が可能なステートフル実行を serverless にもたらす。何が変わり、Firecracker プリミティブがどこに収まるのか。
電話番号なし、アカウントなし: GoogleのQRウォールとGDPR
Googleは新規アカウント作成を電話ベースのQR検証で制限するようになった。スマートフォンがなければアカウントは作れない。これがGDPRのデータ最小化原則とどう衝突するかを解説する。
AWS Organizations の Multi-party approval
AWS Organizations の Multi-party approval は、高リスク操作を複数の承認者による定足数の背後でゲートする仕組み。動作の仕組みと、それが買えるセキュリティを解説する。
ローカルDynamoDBが成長した: ExtendDBのハンズオンレビュー
DynamoDB Localは2013年以来、AWS DynamoDBのラップトップ代替として使われてきた。Java JARで、インメモリまたはSQLiteファイルに対して動作し、ほぼすべてのリクエスト形状を受け入れ、実際の認証はなく、Streamsもかなり緩く扱う。ユニットテストには十分だ。しかしコードがPutItemとGetItemを超えたことをする瞬間 …
日曜の深夜にCloudflareの隠れたバグを見つけた方法(curlの喜び)
ちょっとした週末プロジェクトのはずだった。あの手のやつだ。「出力用VMを立ち上げて、トラフィックをルーティングして、コーヒーをすすって、昼までに終わらせる」というやつだ。読者よ、昼までには終わらなかった。
SSHが量子コンピュータについて警告している理由(とその修正方法)
サーバーにSSH接続すると次の表示が出る:
** WARNING: connection is not using a post-quantum key exchange algorithm.
** This session may be vulnerable to "store now, decrypt later" attacks.怖い話だ。分解してみ …
IaCファースト: 本番環境でAWSコンソールを決して触らない理由
「本番環境でAWSコンソールを決して触らない」というのは極端なルールに聞こえる。そうではない。これはクラウドネイティブチームにおいて最も重要な運用規律であり、これに違反したコストは静かに蓄積され、やがて大きなインシデントを引き起こす。
この記事ではその理由と、実際のチームでIaCファースト開発を強制する方法を説明する。
状態ドリフト問題
Terraform( …
Google Pixel 9 XL Proを6階のバルコニーから通りに落とした
手から滑り落ちた電話は、ためらいなく、完全なコミットメントで教科書通りの6階から通りへのダイブを決行した。
AWS S3の新機能: 移動なしの再暗号化
UpdateObjectEncryption APIのリリースは、大規模なデータセキュリティ管理における大きな転換点となる。従来、S3オブジェクトの暗号化を変更することは「物理的な」操作であり、ビットを移動する必要があった。今やそれは「論理的な」メタデータ操作となった。
技術詳細: 移動なしの再暗号化
この更新の背後にある「魔法」はエンベロープ暗号化にある。 …
Ercan の他のサイト
同じ著者、別の領域のサイトが2つ。