AWSは奥が深く、知っていれば数時間の作業が数分で終わるテクニックが大量にあります。本記事では、明日から使える10個の便利テクを紹介します。
1. AWS CLIのプロファイル+SSO
複数アカウントを扱うなら IAM Identity Center(旧 SSO)と aws sso login が必須です。アクセスキーをローカルに置かないので安全。
$ aws configure sso
$ aws sso login --profile prod
$ aws s3 ls --profile prod2. Session Manager で踏み台不要
Systems Manager の Session Manager を使えば、SSHキーも踏み台EC2もなしでEC2にログインできます。22番ポートを開ける必要がなくなり、セキュリティグループがシンプルに。
$ aws ssm start-session --target i-0123456789abcdef03. CloudShell でブラウザだけで完結
マネジメントコンソール右上のターミナルアイコンから起動できる無料シェル。AWS CLI・Python・Node・gitがプリインストール済みで、認証情報も自動引き継ぎ。出張先や端末セットアップ前の緊急対応で活躍します。
4. Parameter Store で機密値を一元管理
Secrets Managerほど高機能でなくていいなら、SSM Parameter Storeが軽量で安価。標準パラメータは無料で使えます。
$ aws ssm put-parameter --name /prod/db/password --value 'xxx' --type SecureString
$ aws ssm get-parameter --name /prod/db/password --with-decryption5. EC2インスタンスメタデータ v2
SSRF対策のためIMDSv2を必須化しましょう。新規起動時に HttpTokens=required を指定するだけ。
6. CloudWatch Logs Insights でログ解析
SQLライクな構文でCloudWatch Logsを横断検索できます。エラー集計やレスポンスタイムの分布把握に便利。
fields @timestamp, @message
| filter @message like /ERROR/
| stats count(*) by bin(5m)7. Cost Explorer タグ別集計
事前に Project・Env・Owner タグを統一しておけば、Cost Explorerでサービス横断のコスト内訳が一発で出せます。タグはコスト配分タグとして「アクティベート」が必要なので忘れずに。
8. S3バッチ操作
数千万オブジェクトのストレージクラス変更・タグ付け・コピーをマネージドで実行可能。「一晩でやろう」とスクリプトを回す前に検討する価値あり。
9. EventBridge Schedulerでcron運用を脱却
EC2上のcronをやめて EventBridge Scheduler に寄せると、サーバ落ちで実行漏れする事故が消えます。タイムゾーン指定も柔軟。
10. AWS CLIの –query と –output table
JMESPathで結果を整形すれば、jqに渡さずとも欲しい列だけ抽出できます。Excelに貼る用途には --output table が便利。
$ aws ec2 describe-instances
--query 'Reservations[].Instances[].[InstanceId,State.Name,Tags[?Key==`Name`]|[0].Value]'
--output tableまとめ
便利テクは「知っているか」だけで差がつきます。チームのSlackに #aws-tips チャンネルを作って、見つけた小ワザを共有していくと、組織全体の生産性が底上げされます。
