ExRecord Blog Blog https://exrecord.net/en/ ExRecord Blog Blog Sat, 18 Apr 2026 00:00:00 GMT https://validator.w3.org/feed/docs/rss2.html https://github.com/jpmonette/feed en <![CDATA[AWS Lambda とは?基本的な使い方や関数の作成を学ぼう]]> https://exrecord.net/en/2026/04/18/how-to-aws-lambda https://exrecord.net/en/2026/04/18/how-to-aws-lambda Sat, 18 Apr 2026 00:00:00 GMT アプリケーション開発ではサーバーの管理や起動・停止の自動化など、コード以外の作業が増えがちです。AWS Lambda はサーバーのプロビジョニングや管理を気にしないで、コードの実行だけに集中できるサーバーレスコンピューティングサービスです。本記事では Lambda の基本概念から実際の関数作成・実行手順まで説明します。

AWS Lambda とは

Lambda は AWS が提供するサーバーレスのコンピューティングサービスです。コードをアップロードするだけで実行環境が自動的に準備され、リクエストに応じてスケールします。サーバーの管理や容量のプロビジョニングを自分で行う必要はないです。

実行したいコードを「関数」という単位で管理し、HTTP リクエスト・S3 へのファイルアップロード・DynamoDB のストリームなど、さまざまなイベントをトリガーにして実行できます。料金はコードが実行されている時間にのみ発生するため、常時稼働のサーバーと比較してコストを抑えやすいです。

AWS Lambda とは - AWS Lambda

Lambda は、サーバーをプロビジョニングまたは管理することなくアプリケーションを構築するために使用できるコンピューティングサービスです。

docs.aws.amazon.com

主な特徴

Lambda にはサーバーレスならではの特徴があります。それぞれの特徴を把握しておきましょう。

特徴概要
サーバー管理不要OS のパッチ適用や容量の管理は AWS が行うため、コードの開発に集中できる
自動スケーリングリクエスト数に応じて自動でスケールし、急なトラフィック増加にも対応する
従量課金関数が実行された時間(1 ms 単位)とリクエスト数に応じた課金で、アイドル時間はコストが発生しない
イベント駆動S3・API Gateway・DynamoDB など AWS の各サービスやカスタムイベントをトリガーにして実行できる
タイムアウト制限最大実行時間は 15 分のため、長時間処理が必要なバッチ処理などには向かない場合がある

コールドスタートと呼ばれる、初回実行時や一定時間アイドル後の起動遅延が発生することがある点も頭に入れておきましょう。プロビジョニング済み同時実行数とは、あらかじめ指定した数の実行環境を初期化した状態で待機させておく機能です。レスポンスタイムが重要な用途では、この機能を有効にすることでコールドスタートを回避できます。

関数に対するプロビジョニングされた同時実行数の設定 - AWS Lambda

Lambda での 同時実行 は、関数が現在処理している未完了のリクエストの数です。利用できる同時実行コントロールには、次の 2 種類があります。

docs.aws.amazon.com

サポートするランタイム

Lambda は多くのプログラミング言語のランタイムをサポートしています。サポート外の言語が必要な場合はカスタムランタイムを用意することもできます。

ランタイム対応バージョン(例)
Python3.9 / 3.10 / 3.11 / 3.12 / 3.13
Node.js18.x / 20.x / 22.x
Java11 / 17 / 21
Go1.x(provided.al2023)
Ruby3.2 / 3.3
.NET8

各ランタイムには AWS が管理するマネージドランタイムと、カスタムランタイム(provided.al2023)の 2 種類があります。マネージドランタイムはセキュリティパッチの適用を AWS が行いますが、サポートが終了したランタイムは廃止されるため定期的なバージョンアップが必要になります。

Lambda ランタイム - AWS Lambda

Lambda がランタイムでサポートする言語について説明します。

docs.aws.amazon.com

AWS CLI で Lambda を使ってみる

AWS CLI を使って Python の Lambda 関数を作成し、実行するまでの流れを確認します。関数には実行に必要な権限を持つ IAM ロールが必要なため、まずロールを作成してから関数を作成する手順になります。

IAM ロールの作成

Lambda 関数が実行時に使用する IAM ロールを作成します。まず、Lambda がロールを引き受けられるようにするための信頼ポリシーファイルを作成します。

cat << 'EOF' > trust-policy.json
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "lambda.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
EOF

作成したファイルを使って IAM ロールを作成します。

❯ aws iam create-role \
    --role-name exrecord-lambda-role \
    --assume-role-policy-document file://trust-policy.json
{
    "Role": {
        "Path": "/",
        "RoleName": "exrecord-lambda-role",
        "RoleId": "AROA0a1b2c3d4e5f67890",
        "Arn": "arn:aws:iam::123456789012:role/exrecord-lambda-role",
        "CreateDate": "2026-04-18T04:00:35+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "lambda.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

次に、CloudWatch Logs へのロググループ・ストリームの作成とログ書き込みを許可するマネージドポリシーをアタッチします。AWSLambdaBasicExecutionRole は CloudWatch Logs への書き込みのみを許可するポリシーで、Lambda からログを記録するために必要です。

❯ aws iam attach-role-policy \
    --role-name exrecord-lambda-role \
    --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

関数コードの準備

シンプルな Python 関数を作成し、zip ファイルにまとめます。

cat << 'EOF' > lambda_function.py
def lambda_handler(event, context):
    print("Hello from Lambda!")
    return {
        "statusCode": 200,
        "body": "Hello, World!"
    }
EOF

作成したファイルを zip に圧縮します。

zip function.zip lambda_function.py
  adding: lambda_function.py (deflated 21%)

関数の作成

IAM ロールの ARN と zip ファイルを指定して Lambda 関数を作成します。--handler には ファイル名.関数名 の形式でエントリーポイントを指定します。

❯ aws lambda create-function \
    --function-name exrecord-hello \
    --runtime python3.12 \
    --role arn:aws:iam::123456789012:role/exrecord-lambda-role \
    --handler lambda_function.lambda_handler \
    --zip-file fileb://function.zip
実行結果
{
    "FunctionName": "exrecord-hello",
    "FunctionArn": "arn:aws:lambda:ap-northeast-1:123456789012:function:exrecord-hello",
    "Runtime": "python3.12",
    "Role": "arn:aws:iam::123456789012:role/exrecord-lambda-role",
    "Handler": "lambda_function.lambda_handler",
    "CodeSize": 302,
    "Description": "",
    "Timeout": 3,
    "MemorySize": 128,
    "LastModified": "2026-04-18T04:01:54.411+0000",
    "CodeSha256": "0a1b2c3d4e5f67890abcdef1234567890abcdef1234567890abcdef1234567890",
    "Version": "$LATEST",
    "TracingConfig": {
        "Mode": "PassThrough"
    },
    "RevisionId": "0a1b2c3d-4e5f-6789-0abc-def123456789",
    "State": "Pending",
    "StateReason": "The function is being created.",
    "StateReasonCode": "Creating",
    "PackageType": "Zip",
    "Architectures": [
        "x86_64"
    ],
    "EphemeralStorage": {
        "Size": 512
    },
    "SnapStart": {
        "ApplyOn": "None",
        "OptimizationStatus": "Off"
    },
    "RuntimeVersionConfig": {
        "RuntimeVersionArn": "arn:aws:lambda:ap-northeast-1::runtime:0a1b2c3d4e5f67890"
    },
    "LoggingConfig": {
        "LogFormat": "Text",
        "LogGroup": "/aws/lambda/exrecord-hello"
    }
}

関数の実行

作成した関数を AWS CLI から実行します。実行結果は指定したファイルに書き込まれます。

❯ aws lambda invoke \
    --function-name exrecord-hello \
    --payload '{}' \
    response.json
{
    "StatusCode": 200,
    "ExecutedVersion": "$LATEST"
}

レスポンスの中身を確認します。

cat response.json
{"statusCode": 200, "body": "Hello, World!"}

関数が正常に実行され、定義したレスポンスが返ってきています。ログは CloudWatch Logs の /aws/lambda/exrecord-hello グループに記録されます。

関数の削除

不要になった関数とロールは削除しましょう。関数を先に削除してから、IAM ロールのポリシーをデタッチしてロールを削除する順番で進めます。

❯ aws lambda delete-function \
    --function-name exrecord-hello
{
    "StatusCode": 204
}

IAM ロールを削除する前に、アタッチしたポリシーをデタッチします。

❯ aws iam detach-role-policy \
    --role-name exrecord-lambda-role \
    --policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole

ポリシーをデタッチしてからロールを削除します。

❯ aws iam delete-role \
    --role-name exrecord-lambda-role

まとめ

AWS Lambda の基本概念と AWS CLI を使った関数の作成・実行手順について説明しました。

  • Lambda はサーバーのプロビジョニングや管理が不要なサーバーレスコンピューティングサービス
  • イベント駆動で動作し、リクエスト数に応じて自動的にスケールする
  • 料金はコードの実行時間とリクエスト数に基づく従量課金で、アイドル時間のコストは発生しない
  • Python・Node.js・Java など多くのランタイムをサポートしており、カスタムランタイムも利用できる
  • 関数の実行には信頼ポリシーを設定した IAM ロールが必要で、CloudWatch Logs にログを記録するには AWSLambdaBasicExecutionRole をアタッチする
]]> AWS Lambda <![CDATA[Amazon RDS とは?基本的な使い方やインスタンス作成を学ぼう]]> https://exrecord.net/en/2026/04/15/how-to-amazon-rds https://exrecord.net/en/2026/04/15/how-to-amazon-rds Wed, 15 Apr 2026 00:00:00 GMT アプリケーション開発においてデータベースは欠かせない存在ですが、サーバーのセットアップや OS のパッチ適用、バックアップの管理など、運用面の負担は小さくないです。Amazon RDS(Relational Database Service)はそうした管理作業の多くを AWS が代わりに担ってくれるマネージド型のリレーショナルデータベースサービスです。本記事では RDS の基本概念から実際のインスタンス作成・接続手順まで説明します。

Amazon RDS とは

RDS は AWS が提供するフルマネージドのリレーショナルデータベースサービスです。データベースエンジンのインストールや OS のパッチ適用、自動バックアップ、フェイルオーバーといった運用タスクを AWS が管理してくれるため、開発者はアプリケーションの構築に集中できます。

EC2 上にデータベースを自前でセットアップする方法と比較すると、日々の運用コストを大幅に削減できる点が大きなメリットです。一方で OS レベルへのアクセスや細かいエンジン設定のカスタマイズには制限があるため、そういった要件がある場合は EC2 上での自己管理型データベースが選択肢になります。

Amazon Relational Database Service (Amazon RDS) とは - Amazon Relational Database Service

Amazon RDS ウェブサービスを使用して、AWS クラウドで簡単にリレーショナルデータベースを設定、運用、およびスケーリングします。

docs.aws.amazon.com

サポートするデータベースエンジン

RDS は複数のデータベースエンジンをサポートしており、既存のシステムで使用しているエンジンをそのまま移行しやすくなっています。

エンジン概要
MySQL最も広く普及したオープンソースのリレーショナルデータベース
PostgreSQL高機能・高拡張性で、JSON サポートや豊富な型を持つオープンソース DB
MariaDBMySQL から派生したオープンソース DB。MySQL と高い互換性を持つ
Oracleエンタープライズ向けの商用データベース
Microsoft SQL ServerWindows 環境や .NET アプリとの親和性が高い Microsoft 製 DB
Amazon AuroraAWS が独自開発したエンジン。MySQL・PostgreSQL 互換で高い性能と可用性を持つ

中でも Amazon Aurora は RDS 専用に設計されており、同等の MySQL・PostgreSQL と比較してより高いスループットと可用性を実現しています。パフォーマンスや信頼性を重視する場合は Aurora を検討する価値があります。

Amazon Aurora とは - Amazon Aurora

Aurora の概念について説明し、Aurora の初期計画を行います。

docs.aws.amazon.com

主要な機能

RDS にはデータベースの可用性・安全性・パフォーマンスを高めるための機能が複数備わっています。用途やコストに合わせて適切な機能を選択しましょう。

機能概要主な効果
自動バックアップ・スナップショットデフォルトで有効。最大 35 日のポイントインタイムリカバリが可能。手動スナップショットは明示的に削除するまで保持される障害発生時に任意の時点へ復元できる
マルチ AZ 配置別 AZ にスタンバイレプリカを自動作成し、障害時に 1〜2 分で自動フェイルオーバー。エンドポイントの変更は不要単一障害点を排除し、高可用性を確保できる
リードレプリカ読み取りクエリを別インスタンスに分散。クロスリージョン対応。スタンドアロン DB への昇格も可能読み取り負荷の高いワークロードのパフォーマンスを改善できる

バックアップの概要 - Amazon Relational Database Service

自動バックアップと手動バックアップに関する概念。DB インスタンスとマルチ AZ DB クラスターの自動バックアップを有効化および無効化し、バックアップ保持期間を変更して、デフォルトの Amazon ...

docs.aws.amazon.com

Amazon RDS でのマルチ AZ 配置の設定と管理 - Amazon Relational Database Service

マルチ AZ 配置を使用して、Amazon RDS で DB インスタンスの高可用性およびフェイルオーバーサポートを取得します。

docs.aws.amazon.com

DB インスタンスのリードレプリカの操作 - Amazon Relational Database Service

ソース Amazon RDS DB インスタンスからリードレプリカを作成して、読み取り操作をスケールアウトします。

docs.aws.amazon.com

AWS CLI で RDS を使ってみる

AWS CLI を使って MySQL エンジンの RDS インスタンスを作成し、接続するまでの流れを確認します。サブネットグループとセキュリティグループを用意してからインスタンスを作成するのが基本的な手順です。事前に VPC・サブネットが作成済みであることを前提としています。

サブネットグループの作成

RDS インスタンスは VPC 内に配置するため、まずデータベース用のサブネットグループを作成します。サブネットグループには 2 つ以上の AZ のサブネットを含める必要があります。

❯ aws rds create-db-subnet-group \
    --db-subnet-group-name exrecord-rds-subnet-group \
    --db-subnet-group-description "Subnet group for exrecord RDS" \
    --subnet-ids subnet-0a1b2c3d4e5f67890 subnet-0a1b2c3d4e5f67891
{
    "DBSubnetGroup": {
        "DBSubnetGroupName": "exrecord-rds-subnet-group",
        "DBSubnetGroupDescription": "Subnet group for exrecord RDS",
        "VpcId": "vpc-0a1b2c3d4e5f67890",
        "SubnetGroupStatus": "Complete",
        "Subnets": [
            {
                "SubnetIdentifier": "subnet-0a1b2c3d4e5f67891",
                "SubnetAvailabilityZone": {
                    "Name": "ap-northeast-1c"
                },
                "SubnetOutpost": {},
                "SubnetStatus": "Active"
            },
            {
                "SubnetIdentifier": "subnet-0a1b2c3d4e5f67890",
                "SubnetAvailabilityZone": {
                    "Name": "ap-northeast-1a"
                },
                "SubnetOutpost": {},
                "SubnetStatus": "Active"
            }
        ],
        "DBSubnetGroupArn": "arn:aws:rds:ap-northeast-1:123456789012:subgrp:exrecord-rds-subnet-group",
        "SupportedNetworkTypes": [
            "IPV4"
        ]
    }
}

セキュリティグループの作成

RDS インスタンスへの接続を制御するセキュリティグループを作成します。ここでは MySQL のデフォルトポート 3306 への接続を許可します。実際の運用では、接続元を特定の IP アドレスや EC2 インスタンスのセキュリティグループに限定しましょう。

❯ aws ec2 create-security-group \
    --group-name exrecord-rds-sg \
    --description "Security group for exrecord RDS" \
    --vpc-id vpc-0a1b2c3d4e5f67890
{
    "GroupId": "sg-0a1b2c3d4e5f67890",
    "SecurityGroupArn": "arn:aws:ec2:ap-northeast-1:123456789012:security-group/sg-0a1b2c3d4e5f67890"
}

作成したセキュリティグループに MySQL (3306) のインバウンドルールを追加します。ここでは AWS のデフォルト VPC の CIDR(172.31.0.0/16)を指定しています。カスタム VPC を使用している場合はご自身の VPC の CIDR に合わせて変更しましょう。

❯ aws ec2 authorize-security-group-ingress \
    --group-id sg-0a1b2c3d4e5f67890 \
    --protocol tcp \
    --port 3306 \
    --cidr 172.31.0.0/16
{
    "Return": true,
    "SecurityGroupRules": [
        {
            "SecurityGroupRuleId": "sgr-0a1b2c3d4e5f67890",
            "GroupId": "sg-0a1b2c3d4e5f67890",
            "GroupOwnerId": "123456789012",
            "IsEgress": false,
            "IpProtocol": "tcp",
            "FromPort": 3306,
            "ToPort": 3306,
            "CidrIpv4": "172.31.0.0/16",
            "SecurityGroupRuleArn": "arn:aws:ec2:ap-northeast-1:123456789012:security-group-rule/sgr-0a1b2c3d4e5f67890"
        }
    ]
}

RDS インスタンスの作成

サブネットグループとセキュリティグループが準備できたら、RDS インスタンスを作成します。--no-publicly-accessible を指定することで VPC 外からの直接接続を制限し、セキュアな構成にします。

❯ aws rds create-db-instance \
    --db-instance-identifier exrecord-mysql \
    --db-instance-class db.t3.micro \
    --engine mysql \
    --engine-version 8.0 \
    --master-username admin \
    --master-user-password MyPassword123! \
    --allocated-storage 20 \
    --db-subnet-group-name exrecord-rds-subnet-group \
    --vpc-security-group-ids sg-0a1b2c3d4e5f67890 \
    --no-publicly-accessible \
    --backup-retention-period 7
実行結果
{
    "DBInstance": {
        "DBInstanceIdentifier": "exrecord-mysql",
        "DBInstanceClass": "db.t3.micro",
        "Engine": "mysql",
        "DBInstanceStatus": "creating",
        "MasterUsername": "admin",
        "AllocatedStorage": 20,
        "PreferredBackupWindow": "14:39-15:09",
        "BackupRetentionPeriod": 7,
        "DBSecurityGroups": [],
        "VpcSecurityGroups": [
            {
                "VpcSecurityGroupId": "sg-0a1b2c3d4e5f67890",
                "Status": "active"
            }
        ],
        "DBParameterGroups": [
            {
                "DBParameterGroupName": "default.mysql8.0",
                "ParameterApplyStatus": "in-sync"
            }
        ],
        "DBSubnetGroup": {
            "DBSubnetGroupName": "exrecord-rds-subnet-group",
            "DBSubnetGroupDescription": "Subnet group for exrecord RDS",
            "VpcId": "vpc-0a1b2c3d4e5f67890",
            "SubnetGroupStatus": "Complete",
            "Subnets": [
                {
                    "SubnetIdentifier": "subnet-0a1b2c3d4e5f67891",
                    "SubnetAvailabilityZone": {
                        "Name": "ap-northeast-1c"
                    },
                    "SubnetOutpost": {},
                    "SubnetStatus": "Active"
                },
                {
                    "SubnetIdentifier": "subnet-0a1b2c3d4e5f67890",
                    "SubnetAvailabilityZone": {
                        "Name": "ap-northeast-1a"
                    },
                    "SubnetOutpost": {},
                    "SubnetStatus": "Active"
                }
            ]
        },
        "PreferredMaintenanceWindow": "sat:17:16-sat:17:46",
        "UpgradeRolloutOrder": "second",
        "PendingModifiedValues": {
            "MasterUserPassword": "****"
        },
        "MultiAZ": false,
        "EngineVersion": "8.0.45",
        "AutoMinorVersionUpgrade": true,
        "ReadReplicaDBInstanceIdentifiers": [],
        "LicenseModel": "general-public-license",
        "StorageThroughput": 0,
        "OptionGroupMemberships": [
            {
                "OptionGroupName": "default:mysql-8-0",
                "Status": "in-sync"
            }
        ],
        "PubliclyAccessible": false,
        "StorageType": "gp2",
        "DbInstancePort": 0,
        "StorageEncrypted": false,
        "DbiResourceId": "db-0a1b2c3d4e5f67890",
        "CACertificateIdentifier": "rds-ca-rsa2048-g1",
        "DomainMemberships": [],
        "CopyTagsToSnapshot": false,
        "MonitoringInterval": 0,
        "DBInstanceArn": "arn:aws:rds:ap-northeast-1:123456789012:db:exrecord-mysql",
        "IAMDatabaseAuthenticationEnabled": false,
        "DatabaseInsightsMode": "standard",
        "PerformanceInsightsEnabled": false,
        "DeletionProtection": false,
        "AssociatedRoles": [],
        "TagList": [],
        "CustomerOwnedIpEnabled": false,
        "NetworkType": "IPV4",
        "BackupTarget": "region",
        "CertificateDetails": {
            "CAIdentifier": "rds-ca-rsa2048-g1"
        },
        "DedicatedLogVolume": false,
        "EngineLifecycleSupport": "open-source-rds-extended-support"
    }
}

インスタンスの作成には数分かかります。以下のコマンドでステータスが available になるまで待ちます。

❯ aws rds describe-db-instances \
    --db-instance-identifier exrecord-mysql \
    --query "DBInstances[0].DBInstanceStatus"
"available"

エンドポイントの確認

インスタンスが available になったら、接続に使用するエンドポイントを確認します。エンドポイントはインスタンス作成時に自動で割り当てられる DNS 名で、アプリケーションや MySQL クライアントからの接続先として使用します。

❯ aws rds describe-db-instances \
    --db-instance-identifier exrecord-mysql \
    --query "DBInstances[0].Endpoint"
{
    "Address": "exrecord-mysql.c0a1b2c3d4e5.ap-northeast-1.rds.amazonaws.com",
    "Port": 3306,
    "HostedZoneId": "Z24O6O9L7SGTNB"
}

MySQL クライアントからの接続

同一 VPC 内の EC2 インスタンスや踏み台サーバーから、取得したエンドポイントを使って接続できます。RDS インスタンスをパブリックアクセス不可に設定しているため、インターネット経由での直接接続はできないです。接続元のサーバーに mysql クライアントがインストールされている必要があります。

[ec2-user@ip-172-31-x-x ~]$ mysql -h exrecord-mysql.c0a1b2c3d4e5.ap-northeast-1.rds.amazonaws.com \
    -u admin \
    -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 39
Server version: 8.0.45 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

接続が確認できたら、通常の MySQL コマンドでデータベースの操作が行えます。

インスタンスの削除

不要になったインスタンスは削除しましょう。--skip-final-snapshot を指定すると最終スナップショットを作成せずに削除できますが、本番環境では省略してスナップショットを残しておくことをお勧めします。

❯ aws rds delete-db-instance \
    --db-instance-identifier exrecord-mysql \
    --skip-final-snapshot
実行結果
{
    "DBInstance": {
        "DBInstanceIdentifier": "exrecord-mysql",
        "DBInstanceClass": "db.t3.micro",
        "Engine": "mysql",
        "DBInstanceStatus": "deleting",
        "MasterUsername": "admin",
        "Endpoint": {
            "Address": "exrecord-mysql.c0a1b2c3d4e5.ap-northeast-1.rds.amazonaws.com",
            "Port": 3306,
            "HostedZoneId": "Z24O6O9L7SGTNB"
        },
        "AllocatedStorage": 20,
        "InstanceCreateTime": "2026-04-17T19:41:16.201000+00:00",
        "PreferredBackupWindow": "14:39-15:09",
        "BackupRetentionPeriod": 7,
        "DBSecurityGroups": [],
        "VpcSecurityGroups": [
            {
                "VpcSecurityGroupId": "sg-0a1b2c3d4e5f67890",
                "Status": "active"
            }
        ],
        "DBParameterGroups": [
            {
                "DBParameterGroupName": "default.mysql8.0",
                "ParameterApplyStatus": "in-sync"
            }
        ],
        "AvailabilityZone": "ap-northeast-1c",
        "DBSubnetGroup": {
            "DBSubnetGroupName": "exrecord-rds-subnet-group",
            "DBSubnetGroupDescription": "Subnet group for exrecord RDS",
            "VpcId": "vpc-0a1b2c3d4e5f67890",
            "SubnetGroupStatus": "Complete",
            "Subnets": [
                {
                    "SubnetIdentifier": "subnet-0a1b2c3d4e5f67891",
                    "SubnetAvailabilityZone": {
                        "Name": "ap-northeast-1c"
                    },
                    "SubnetOutpost": {},
                    "SubnetStatus": "Active"
                },
                {
                    "SubnetIdentifier": "subnet-0a1b2c3d4e5f67890",
                    "SubnetAvailabilityZone": {
                        "Name": "ap-northeast-1a"
                    },
                    "SubnetOutpost": {},
                    "SubnetStatus": "Active"
                }
            ]
        },
        "PreferredMaintenanceWindow": "sat:17:16-sat:17:46",
        "UpgradeRolloutOrder": "second",
        "PendingModifiedValues": {},
        "LatestRestorableTime": "2026-04-17T20:04:38+00:00",
        "MultiAZ": false,
        "EngineVersion": "8.0.45",
        "AutoMinorVersionUpgrade": true,
        "ReadReplicaDBInstanceIdentifiers": [],
        "LicenseModel": "general-public-license",
        "StorageThroughput": 0,
        "OptionGroupMemberships": [
            {
                "OptionGroupName": "default:mysql-8-0",
                "Status": "in-sync"
            }
        ],
        "PubliclyAccessible": false,
        "StorageType": "gp2",
        "DbInstancePort": 0,
        "StorageEncrypted": false,
        "DbiResourceId": "db-0a1b2c3d4e5f67890",
        "CACertificateIdentifier": "",
        "DomainMemberships": [],
        "CopyTagsToSnapshot": false,
        "MonitoringInterval": 0,
        "DBInstanceArn": "arn:aws:rds:ap-northeast-1:123456789012:db:exrecord-mysql",
        "IAMDatabaseAuthenticationEnabled": false,
        "DatabaseInsightsMode": "standard",
        "PerformanceInsightsEnabled": false,
        "DeletionProtection": false,
        "AssociatedRoles": [],
        "TagList": [],
        "CustomerOwnedIpEnabled": false,
        "NetworkType": "IPV4",
        "BackupTarget": "region",
        "DedicatedLogVolume": false,
        "EngineLifecycleSupport": "open-source-rds-extended-support"
    }
}

まとめ

Amazon RDS の基本概念と AWS CLI を使ったインスタンスの作成・接続手順について説明しました。

  • RDS は OS のパッチ適用やバックアップなどの運用管理を AWS が担うマネージドデータベースサービス
  • MySQL・PostgreSQL・Aurora など複数のエンジンをサポートしており、既存システムを移行しやすい
  • マルチ AZ で可用性を高め、リードレプリカで読み取り性能をスケールできる
  • インスタンスは VPC 内に配置し、セキュリティグループで接続元を制限することでセキュアな構成を保てる
  • 自動バックアップとスナップショットを活用することで、障害時の復旧にも対応できる
]]> AWS RDS <![CDATA[AWS IAM とは?基本的な使い方やポリシーを学ぼう]]> https://exrecord.net/en/2026/04/14/how-to-aws-iam https://exrecord.net/en/2026/04/14/how-to-aws-iam Tue, 14 Apr 2026 00:00:00 GMT AWS を安全に運用するためには、アクセス権限の管理が欠かせません。AWS IAM(Identity and Access Management)は、誰が何にアクセスできるかを細かく制御できるサービスです。本記事では IAM の基本概念から実際の使い方まで説明します。

AWS IAM とは

IAM は AWS リソースへのアクセスを安全に管理するためのサービスです。IAM を使うことで、AWS アカウント内のユーザーやサービスに対して「何ができるか」を細かく設定できます。

たとえば「このユーザーは S3 の読み取りだけ許可する」「この EC2 インスタンスは特定の S3 バケットにのみ書き込める」といった制御が可能です。IAM は AWS セキュリティの根幹をなすサービスであり、適切に設定することで意図しないアクセスや情報漏洩のリスクを大幅に減らすことができます。

IAM とは - AWS Identity and Access Management

AWS Identity and Access Management (IAM) およびその機能と基本概念について説明します。

docs.aws.amazon.com

IAM の主要コンポーネント

IAM には 4 つの主要なコンポーネントがあります。それぞれが「誰が」「何を」「どのように」アクセスできるかを決める役割を担っています。

コンポーネント説明主な用途
ユーザー (User)AWS にサインインするための個人向けのアイデンティティ。パスワードやアクセスキーで認証するマネジメントコンソールへのログイン、CLI からのアクセス
グループ (Group)複数の IAM ユーザーをまとめたコレクション。グループへのポリシー付与でメンバー全員の権限を一括管理できる「開発者」「運用チーム」など役割単位での権限管理
ロール (Role)パスワードやアクセスキーを持たず、一時的な認証情報を発行するアイデンティティ。AWS サービスや外部 ID が引き受けるEC2・Lambda などの AWS サービスへの権限付与
ポリシー (Policy)権限を定義した JSON ドキュメント。ユーザー・グループ・ロールにアタッチして使用する特定サービスへの読み取り専用アクセス、全サービスの管理者権限など

人間が操作する場合は IAM ユーザーを作成し、アプリケーションや AWS サービスには IAM ロールを使用することが推奨されています。ロールはアクセスキーを持たないため、キーの漏洩リスクがなく、より安全です。

セキュリティのベストプラクティス

IAM を安全に運用するために押さえておくべきポイントをまとめます。権限の設計ミスは情報漏洩や意図しないリソース操作につながるため、最初から正しい方針で設定することが重要です。

IAM でのセキュリティのベストプラクティス - AWS Identity and Access Management

AWS Identity and Access Management (IAM) を使用する際のベストプラクティスに従って、AWS アカウントとリソース保護します。

docs.aws.amazon.com
プラクティス内容理由
ルートユーザーを使わない日常作業には IAM ユーザーを使用し、ルートユーザーはアカウント設定など特別な操作のみに限定するルートユーザーはすべての権限を持つため、漏洩時の影響が最大になる
最小権限の原則"Action": "*" のような広すぎる権限を避け、実際に必要なアクションのみを付与する不要な権限は誤操作や攻撃の攻撃面を広げる
MFA を有効化するマネジメントコンソールへのログインに多要素認証を設定する。管理者権限を持つユーザーには必須パスワードが漏洩しても不正ログインを防げる

AWS CLI で IAM を使ってみる

IAM ロールを作成し、IAM ユーザーが sts assume-role でそのロールを引き受けることで「許可された操作」と「拒否される操作」の違いを確認します。なお、sts assume-role の呼び出し自体は IAM ユーザーのアクセスキーによる認証が前提となります。

IAM ロールの作成とポリシーのアタッチ

IAM ロールには「誰がこのロールを使えるか」を定義するファイルが必要です。PrincipalAWS にはご自身の AWS アカウント ID を指定します。今回は同じ AWS アカウント内のユーザーであれば誰でもこのロールを引き受けられるように設定します。

cat > trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
EOF

この設定ファイルを指定してロールを作成します。

❯ aws iam create-role \
    --role-name exrecord-s3-readonly-role \
    --assume-role-policy-document file://trust-policy.json
{
    "Role": {
        "Path": "/",
        "RoleName": "exrecord-s3-readonly-role",
        "RoleId": "AROA0a1b2c3d4e5f67890",
        "Arn": "arn:aws:iam::123456789012:role/exrecord-s3-readonly-role",
        "CreateDate": "2026-04-15T09:47:12+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:iam::123456789012:root"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}

作成したロールに、S3 の読み取りのみ許可する AWS 管理ポリシー AmazonS3ReadOnlyAccess をアタッチします。

❯ aws iam attach-role-policy \
    --role-name exrecord-s3-readonly-role \
    --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

ロールの引き受けと一時認証情報の取得

sts assume-role でロールを引き受け、発行された一時認証情報を環境変数に設定します。この一時認証情報はデフォルトで 1 時間で失効します。

❯ aws sts assume-role \
    --role-arn arn:aws:iam::123456789012:role/exrecord-s3-readonly-role \
    --role-session-name test-session
{
    "Credentials": {
        "AccessKeyId": "ASIA0a1b2c3d4e5f67890",
        "SecretAccessKey": "0a1b2c3d4e5f67890",
        "SessionToken": "AQoDYXdzEJr...",
        "Expiration": "2026-04-15T10:48:56+00:00"
    },
    "AssumedRoleUser": {
        "AssumedRoleId": "AROA0a1b2c3d4e5f67890:test-session",
        "Arn": "arn:aws:sts::123456789012:assumed-role/exrecord-s3-readonly-role/test-session"
    }
}

レスポンスの Credentials に含まれる値を環境変数に設定します。これ以降の CLI 操作はこの一時認証情報、つまりロールの権限で実行されます。

export AWS_ACCESS_KEY_ID=ASIA0a1b2c3d4e5f67890
export AWS_SECRET_ACCESS_KEY=0a1b2c3d4e5f67890
export AWS_SESSION_TOKEN=AQoDYXdzEJr...

許可された操作(S3 の読み取り)

AmazonS3ReadOnlyAccess が付与されているため、バケット一覧の取得は正常に完了します。

❯ aws s3 ls
2026-04-15 18:57:05 exrecord-test-bucket

拒否される操作(S3 への書き込み)

読み取りのみ許可されているため、ファイルのアップロードは AccessDenied エラーになります。

❯ aws s3 cp test.txt s3://exrecord-test-bucket
upload failed: ./test.txt to s3://exrecord-test-bucket/test.txt An error occurred (AccessDenied) when calling the PutObject operation: User: arn:aws:sts::123456789012:assumed-role/exrecord-s3-readonly-role/test-session is not authorized to perform: s3:PutObject on resource: "arn:aws:s3:::exrecord-test-bucket/test.txt" because no identity-based policy allows the s3:PutObject action

拒否される操作(EC2 へのアクセス)

EC2 に関する権限は一切付与していないため、インスタンス一覧の取得もエラーになります。

❯ aws ec2 describe-instances

aws: [ERROR]: An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation. User: arn:aws:sts::123456789012:assumed-role/exrecord-s3-readonly-role/test-session is not authorized to perform: ec2:DescribeInstances because no identity-based policy allows the ec2:DescribeInstances action

このように、IAM ロールで付与したポリシーによって「できること」と「できないこと」が明確に分離されていることが確認できます。最小権限の原則に従った設定が、想定外の操作を防ぐ有効な手段になります。

運用での利用について

今回の方法は sts assume-role の実行と環境変数の設定を毎回手動で行う必要があり、実際の運用では手間がかかります。実運用では AWS IAM Identity Center(旧 AWS SSO)の使用が推奨されています。

IAM Identity Center を使うと、以下のコマンドでブラウザ経由のログインが完了し、ロールの一時認証情報が自動的に発行・更新されます。

❯ aws sso login --profile my-profile

以降は --profile my-profile を指定するだけで、手動での assume-role や環境変数の設定が不要になります。

IAM Identity Center とは何ですか? - AWS IAM アイデンティティセンター

AWS IAM アイデンティティセンター は、ワークフォースユーザーを Kiro や Amazon Quick などの AWS マネージドアプリケーションやその他の AWS リソースに接続するための ...

docs.aws.amazon.com

まとめ

AWS IAM の基本概念と使い方について説明しました。IAM は AWS セキュリティの根幹をなすサービスです。以下のポイントを押さえて安全な AWS 環境を構築しましょう。

  • ユーザー・グループ・ロール・ポリシーの役割を理解し、人間には IAM ユーザー、AWS サービスには IAM ロールと用途に応じて使い分ける
  • 最小権限の原則に従い、必要な権限のみを付与する
  • ルートユーザーは日常的な作業に使わず、MFA を有効化する
  • 実運用では IAM Identity Center を使い、認証情報の管理を自動化する
]]> AWS IAM <![CDATA[Amazon EC2 とは?基本的な使い方や料金を学ぼう]]> https://exrecord.net/en/2026/04/13/how-to-amazon-ec2 https://exrecord.net/en/2026/04/13/how-to-amazon-ec2 Mon, 13 Apr 2026 00:00:00 GMT AWS でアプリケーションを動かすサーバーが必要な場合、EC2 が最初の候補になります。EC2 は設定項目が多く、何を設定すれば良いか迷うことが多いため、基本的な Amazon EC2 の使い方を説明します。

Amazon EC2 とは

EC2(Elastic Compute Cloud)は、クラウド上で仮想サーバーを起動できるサービスです。EC2 では仮想サーバーのことをインスタンスと言います。必要な時に必要なスペックのインスタンスを使用できますが、コストを抑える仕組みを使ったり、意図せず外部にインスタンスを公開しないようにする必要があります。

Amazon EC2 とは - Amazon Elastic Compute Cloud

AWS クラウドでスケーラブルなコンピューティングキャパシティーを提供する Amazon EC2 を使用すると、ハードウェアの制約を受けずにアプリケーションを開発およびデプロイできます。

docs.aws.amazon.com

料金

EC2 の料金は実際に使用した分だけ発生する従量課金になります。主にどのインスタンスタイプを選択し、何時間稼働させたかで決まります。インスタンスを停止している間は、インスタンス料金は発生しませんが、ストレージ(EBS)の料金は発生します。

料金

Local Zones での Amazon EC2 インスタンスの支払いには、オンデマンド、Savings Plans、Amazon EC2 スポットインスタンスの 3 つの方法があります。それぞれの...

aws.amazon.com

インスタンスタイプ

インスタンスタイプはファミリーと呼ばれる用途別のグループに分かれており、同じスペック(例: 2vCPU, 8GB)でもファミリーによって料金が大きく異なります。用途に合ったファミリーを選ぶことがコスト最適化の第一歩です。

インスタンスタイプ

aws.amazon.com
ファミリー用途代表例料金 (東京リージョン)
t4gバースト汎用・開発環境t4g.large (2vCPU, 8GB)USD 0.0832/時間
m7i汎用・本番環境m7i.large (2vCPU, 8GB)USD 0.2016/時間
c7iコンピューティング最適化・バッチ処理c7i.large (2vCPU, 4GB)USD 0.1071/時間
r7iメモリ最適化・DB・キャッシュr7i.large (2vCPU, 16GB)USD 0.3192/時間

t4g は CPU 使用率が低い時間帯にクレジットを貯めておき、必要な時だけ高いパフォーマンスを発揮するバースト型です。開発環境や負荷が一定でないアプリケーションに向いています。本番環境で安定したパフォーマンスが必要な場合は m7i を選びましょう。

セキュリティ

EC2 のセキュリティ問題は多く、外部から不正アクセスされてしまった場合、サーバーが乗っ取られるリスクがあります。そのため、EC2 のセキュリティグループで必要な通信のみを許可し、SSH キーペアを適切に管理しましょう。なお、パスワード認証は無効にし、SSH キー認証のみを使用することをお勧めします。

Amazon EC2 でのインフラストラクチャセキュリティ - Amazon Elastic Compute Cloud

Amazon Elastic Compute Cloud がサービストラフィックを隔離する方法について学習します。

docs.aws.amazon.com

EC2 インスタンスの Amazon EC2 セキュリティグループ - Amazon Elastic Compute Cloud

セキュリティグループとセキュリティグループルールをファイアウォールとして使用し、EC2 インスタンスとの間で送受信するトラフィックを制御します。

docs.aws.amazon.com

セキュリティグループを使用してインスタンスへのアクセスを制限します。最小限必要なネットワークトラフィックを許可するルールを設定します。例えば、企業ネットワークのアドレス範囲からのトラフィックのみ、または HTTPS など特定のプロトコルのトラフィックのみを許可することができます。

AWS CLI で EC2 を使ってみる

AWS CLI で EC2 を使ってみましょう。実際にコマンドを実行した場合にどうなるか結果を記載します。なお、リソースは AWS CLI のプロファイルで設定されているリージョンに作成されます。

キーペアの作成

インスタンスに SSH 接続するためのキーペアを作成します。秘密鍵はローカルに保存し、所有者のみが読み取れるよう権限を設定します。

❯ aws ec2 create-key-pair --key-name exrecord-key --query 'KeyMaterial' --output text > ~/.ssh/exrecord-key.pem
chmod 400 ~/.ssh/exrecord-key.pem

キーペアが作成されたことを確認します。

❯ aws ec2 describe-key-pairs --key-name exrecord-key
{
    "KeyPairs": [
        {
            "KeyPairId": "key-123456789012",
            "KeyType": "rsa",
            "Tags": [],
            "CreateTime": "2026-04-13T10:14:14.561000+00:00",
            "KeyName": "exrecord-key",
            "KeyFingerprint": "ae:13:16:b7:01:71:11:4f:78:60:0e:75:aa:87:af:25:b1:1a:36:3b"
        }
    ]
}

セキュリティグループの作成

セキュリティグループを作成し、自宅からのみ SSH 接続を許可します。自宅のグローバル IP アドレスは curl -4 ifconfig.me などで確認できます。自宅以外から接続する場合は、その接続元の IP アドレスを追加する必要があります。

❯ aws ec2 create-security-group --group-name exrecord-sg --description "exrecord security group"
{
    "GroupId": "sg-0a1b2c3d4e5f67890",
    "SecurityGroupArn": "arn:aws:ec2:ap-northeast-1:123456789012:security-group/sg-0a1b2c3d4e5f67890"
}
❯ aws ec2 authorize-security-group-ingress \
    --group-id sg-0a1b2c3d4e5f67890 \
    --protocol tcp \
    --port 22 \
    --cidr 203.0.113.1/32
{
    "Return": true,
    "SecurityGroupRules": [
        {
            "SecurityGroupRuleId": "sgr-0a1b2c3d4e5f67890",
            "GroupId": "sg-0a1b2c3d4e5f67890",
            "GroupOwnerId": "123456789012",
            "IsEgress": false,
            "IpProtocol": "tcp",
            "FromPort": 22,
            "ToPort": 22,
            "CidrIpv4": "203.0.113.1/32",
            "SecurityGroupRuleArn": "arn:aws:ec2:ap-northeast-1:123456789012:security-group-rule/sgr-0a1b2c3d4e5f67890"
        }
    ]
}

インスタンスの起動

Amazon Linux 2023 の AMI ID を取得し、インスタンスを起動します。AMI(Amazon Machine Image)とは、インスタンスの OS やソフトウェア構成のテンプレートです。特定の OS に拘りがなければ、AWS が提供・メンテナンスしている Amazon Linux 2023 を選ぶとセキュリティパッチが迅速に提供されるためおすすめです。t4g は AWS Graviton(ARM ベース)プロセッサを使用しているため、AMI のアーキテクチャとして arm64 を指定します。

❯ aws ec2 describe-images \
    --owners amazon \
    --filters "Name=name,Values=al2023-ami-2023*" "Name=architecture,Values=arm64" \
    --query 'sort_by(Images, &CreationDate)[-1].ImageId' \
    --output text
ami-0ceb31eb57b9abaa8
❯ aws ec2 run-instances \
    --image-id ami-0ceb31eb57b9abaa8 \
    --instance-type t4g.micro \
    --key-name exrecord-key \
    --security-group-ids sg-0a1b2c3d4e5f67890 \
    --tag-specifications 'ResourceType=instance,Tags=[{Key=Name,Value=exrecord-instance}]' \
    --query 'Instances[0].InstanceId' \
    --output text
i-0a1b2c3d4e5f67890

インスタンスが起動中になるまで待ちます。running になれば接続できます。

❯ aws ec2 wait instance-running --instance-ids i-0a1b2c3d4e5f67890
❯ aws ec2 describe-instances \
    --instance-ids i-0a1b2c3d4e5f67890 \
    --query 'Reservations[0].Instances[0].{State:State.Name,PublicIP:PublicIpAddress}' \
    --output table
------------------------------
|      DescribeInstances     |
+----------------+-----------+
|    PublicIP    |   State   |
+----------------+-----------+
|  203.0.113.2 |  running  |
+----------------+-----------+

SSH 接続

取得したパブリック IP アドレスを使って SSH 接続します。Amazon Linux 2023 のデフォルトユーザーは ec2-user です。

ssh -i ~/.ssh/exrecord-key.pem ec2-user@203.0.113.2
   ,     #_
   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\
  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
Last login: Mon Apr 13 15:53:13 2026 from 203.0.113.1
[ec2-user@ip-172-31-xx-xx ~]$

インスタンスの終了

不要になったインスタンスは削除しましょう。インスタンスを停止してもストレージ(EBS)の料金は発生し続けるため、使い終わったら停止ではなく削除することをおすすめします。なお、キーペアとセキュリティグループはインスタンスを削除しても残りますが、それ自体に料金は発生しません。

❯ aws ec2 terminate-instances --instance-ids i-0a1b2c3d4e5f67890
{
    "TerminatingInstances": [
        {
            "InstanceId": "i-0a1b2c3d4e5f67890",
            "CurrentState": {
                "Code": 32,
                "Name": "shutting-down"
            },
            "PreviousState": {
                "Code": 16,
                "Name": "running"
            }
        }
    ]
}

まとめ

EC2 がどういうサービスであったり、基本的な使い方について説明しました。AWS を利用する上で EC2 はほぼ必ず使用することになるため、以下のポイントを押さえた使い方をしていきましょう。

  • セキュリティグループで必要最小限の通信のみを許可する
  • SSH キー認証を使用し、キーペアを適切に管理する
  • 用途に合わせたインスタンスタイプを選択してコストを最適化する
  • 使用しないインスタンスは停止または削除する

これらを意識することで、安全かつコスト効率の良い EC2 運用ができます。

]]> AWS EC2 <![CDATA[What is Amazon S3? Learn the Basics and Pricing]]> https://exrecord.net/en/2026/04/12/how-to-amazon-s3 https://exrecord.net/en/2026/04/12/how-to-amazon-s3 Sun, 12 Apr 2026 00:00:00 GMT When storing documents or images on AWS, S3 is usually the first option to consider. However, using S3 without understanding the basics can lead to security and cost issues later. This article explains the fundamentals of Amazon S3.

What is Amazon S3?

Amazon S3 is a storage service where you can store documents, images, videos, and other data. In S3, stored data is called an object, and the resource that holds objects is called a bucket. While S3 is essentially an object storage service, you need to be mindful of cost optimization and security to prevent unintended public exposure.

What is Amazon S3? - Amazon Simple Storage Service

Store data in the cloud and learn the core concepts of buckets and objects with the Amazon S3 web se...

docs.aws.amazon.com

Pricing

S3 uses a pay-as-you-go model — you only pay for what you use. The cost is primarily determined by how much data you store and which storage class you use. There are also charges for requests and data transfer, but you generally don't need to worry about those until you exceed 1 million requests.

S3 Pricing

aws.amazon.com

Storage Classes

There are several options, but the commonly used storage classes are listed below. The default is S3 Standard, so if you're using S3 for backups or infrequent access, consider switching to a lower-cost storage class.

Understanding and managing Amazon S3 storage classes - Amazon Simple Storage Service

Learn how to choose from a range of high durability storage classes for the objects that you store i...

docs.aws.amazon.com
Use CaseStorage ClassPrice (Tokyo Region)
Frequent accessS3 StandardUSD 0.025/GB
A few times a monthS3 Standard-IAUSD 0.0138/GB
Once a quarterS3 Glacier Instant RetrievalUSD 0.005/GB
Rarely accessedS3 Glacier Deep ArchiveUSD 0.002/GB

Security

S3 security incidents are common, and if your bucket is publicly accessible, confidential data can be leaked. Restrict access permissions so that only the users and services that need access can reach your bucket. If you have no plans to make data publicly available, always enable the Block Public Access setting.

Security best practices for Amazon S3 - Amazon Simple Storage Service

Learn about guidelines and best practices for addressing security issues in Amazon S3.

docs.aws.amazon.com

Blocking public access to your Amazon S3 storage - Amazon Simple Storage Service

Learn how to use block public access with Amazon S3.

docs.aws.amazon.com

Public access is granted to buckets and objects through access control lists (ACLs), access point policies, bucket policies, or a combination of these. To ensure that all public access to your Amazon S3 access points, buckets, and objects is blocked, we recommend that you enable all four settings to block public access for your account.

Using S3 with the AWS CLI

Let's try using S3 via the AWS CLI. The results of running each command are shown below.

Creating a Bucket

Bucket names must be globally unique across all AWS accounts, so use a distinctive name. The bucket will be created in the region specified by your AWS CLI profile.

❯ aws s3 mb s3://exrecord-test-bucket
make_bucket: exrecord-test-bucket

Verify that the bucket was created:

❯ aws s3 ls
2026-04-12 05:07:26 exrecord-test-bucket

Check the public access settings. If all values are true, the bucket is secure and inaccessible from the public:

❯ aws s3api get-public-access-block --bucket exrecord-test-bucket
{
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    }
}

Uploading an Object

Upload a local file to your S3 bucket:

❯ aws s3 cp test.txt s3://exrecord-test-bucket
upload: ./test.txt to s3://exrecord-test-bucket/test.txt

List the objects in the bucket using the same command with the bucket specified:

❯ aws s3 ls s3://exrecord-test-bucket
2026-04-12 05:10:22          0 test.txt

Downloading an Object

Download a file from S3 to your local machine. Note that the argument order is reversed compared to the upload command:

❯ aws s3 cp s3://exrecord-test-bucket/test.txt .
download: s3://exrecord-test-bucket/test.txt to ./test.txt

Summary

This article covered what S3 is and its basic usage. Since S3 is used in nearly every AWS setup, keep the following points in mind:

  • Always verify your Block Public Access settings
  • Grant only the minimum necessary access permissions
  • Choose the appropriate storage class based on access frequency to optimize costs

By following these practices, you can operate S3 securely and cost-effectively.

]]> AWS S3