🔑DDN EXAScaler Access S3 でアップロード専用の最小権限キーをバケットポリシーで設定する
S3互換ストレージ DDN EXAScaler Access S3 で、特定バケットへのアップロード専用の最小権限アクセスキーをバケットポリシーで用意した記録です。AWS とのポリシー書式の違いと、署名・権限まわりの切り分け手順をまとめました。
s3ddnexascalerbucket-policy
npm リポジトリの cooldown と GitHub Actions の SHA pin — 個人ブログのサプライチェーン対策
Dependabot のアラートをきっかけに、既知の CVE 対応だけでなく、maintainer 乗っ取り型のサプライチェーン攻撃まで意識した自動化設定を組み直しました。cooldown、Actions の SHA pin、npm overrides、ignore-scripts、security update のみ auto-merge までを 1 セットでまとめます。
securitysupply-chaindependabotgithub-actions
🔐~/.aws/credentials の平文を避ける — aws-vault と macOS Keychain による IAM ユーザーキー管理
IAM Identity Center (SSO) を採用しない環境で、aws-vault と macOS Keychain を使い ~/.aws/credentials の平文管理を避ける運用と、その実用性について整理します。
awssecurityaws-vaultiam
Drupal の Automatic Updates が動かない: `Unattended background updates` がデフォルトで無効になっている話
Drupal の Automatic Updates モジュールを入れていればセキュリティ更新が自動で当たると思い込んでいたら、cron 中の自動適用ポリシー Unattended background updates がデフォルトで無効になっていて何もしていませんでした。有効化して 10.6.3 から 10.6.7 への自動適用が動き出すまでと、その際に出る『公式サポート対象外』警告についての記録です。
drupalautomatic-updatessecuritycron
🛡AWS WAF の Geo allowlist と ASN ベース IPSet によるボット pivot 対策
Singapore Geo Block 適用後に HK/VN/ID/DE へ pivot された経緯と、Geo allowlist + Tencent/Alibaba ASN ベースの IPSet に切り替えた記録
awswafcloudfrontsecurity
外部組織管理のサブドメインを Cloudflare Workers に向ける — AWS CloudFront + WAF を前段に挟んだ記録
自分の管理外(外部組織)の DNS にあるサブドメインを Cloudflare Workers のカスタムドメインに割り当てたかったものの、Cloudflare Free プランは外部サブドメインを zone として受け入れない制約に行き当たり、最終的に AWS CloudFront + WAF を前段に挟む構成で解決した記録です。
cloudflareworkerscloudfrontaws
ボットスクレイピングをAWS WAFで止めた記録 — Geo block・JA3 fingerprint・UA blockまで段階的に
運営する文化アーカイブ系サイトに対するボットスクレイピングを、AWS WAFのGeo block・IPset・JA3 fingerprint・UA blockを段階的に組み合わせて遮断した記録です。
awswafcloudfrontsecurity
既存リバースプロキシのオリジンに CloudFront + WAF を後付けする実践パターン
Docker + Traefik で運用中の複数サービスを、無停止で CloudFront + WAF の保護下に移行した実装記録。オリジン分離用サブドメインの命名、共有 SG の落とし穴、WAF を COUNT モードから始める判断、SPARQL/API のキャッシュ設計など、よく出る論点を一通り整理しました。
awscloudfrontwafterraform
Cloudflare Zero TrustでSSHを保護する
Cloudflare Zero TrustのAccess機能を使い、SSHポートを閉じたままサーバに安全に接続する方法
cloudflarezero-trustsshsecurity