はいさい！クラウド事業部の上地やいびーん。

はじめに

2026年3月13日（金）に開催された JAWS-UG朝会 #79 で登壇してきました。

JAWS-UG朝会は、夜の勉強会に参加が難しい方向けに朝7:30から開催されているオンライン勉強会です。朝ごはんを食べながら、通勤しながらなど、何かをしながらの参加もOKというカジュアルな雰囲気が魅力です。

イベント概要

登壇資料

今回は 「OpenClaw を Amazon Lightsail で動かす理由」 というタイトルで発表しました。

https://speakerdeck.com/uechishingo/openclaw-wo-amazon-lightsail-dedong-kasuli-you

3行まとめ

1. OpenClaw は「対話型」から「自律実行型」へ進化した AI エージェント。メール整理や Web 情報収集など複雑なタスクを自律的に代行してくれる
2. 動かす環境は自宅PC・EC2・Lightsail の3択。Lightsail はブループリントが用意されていて、少ない手順で起動でき、運用負荷も低い
3. Lightsail を選ぶ理由は「導入のしやすさ」「セキュリティのガードレール」「運用負荷の軽さ」「コストの見通し」の 4 点。小さく始めてクラウドで安定稼働させるのに最適

さいごに

最近は AI エージェントの進化が目まぐるしく、自律型エージェントを自分の環境で動かしたいというニーズが高まっています。その中で Amazon Lightsail は、手軽さと運用のバランスが取れた選択肢だと感じています。

JAWS-UG朝会は登壇者を通年で募集しています。AWS に関することであれば何でもOKとのことなので、気になる方はぜひ登壇してみてください。朝の短い時間（5 分）でカジュアルに発表できるので、登壇デビューにもおすすめです。

お知らせ

当社では、Datadog の導入支援から運用サポートまでをトータルでご支援するサービスを提供しています。

初期設計・エージェント展開・モニタリング設定・ダッシュボード構築まで、お客様のニーズに合わせた支援が可能です。

「自社だけでの導入が不安」「もっと効率的に監視環境を整えたい」という方は、ぜひお気軽にご相談ください。

www.ap-com.co.jp

一緒に働いていただける仲間も募集中です！

hrmos.co

投稿者: 上地申吾

Datadog の導入・運用のご支援を担当しています。

S3レプリケーション完了をトリガーにLambdaでファイルを日付リネームする自動化

はじめに

こんにちは、クラウド事業部の松岡です。 インフラエンジニア3年目、AWS経験3か月の私が、S3のレプリケーション機能とEventBridge + Lambdaを組み合わせて、同期されたファイルを自動で整理（日付リネーム）する仕組みを構築しました。

「AWSの複数リソースを組み合わせて触ってみたい」という初級〜中級者の方に向けて、実務で意識すべき最小権限の原則を含めた手順を紹介します。

システム構成図

本構成では、S3間のレプリケーションが完了したことをEventBridgeで検知し、即座にLambdaがファイル名を変更して特定のディレクトリへ整理する仕組みを採用しています。

処理の流れ

1. アップロード: ユーザーが filetransfer-dev-source-bucket へファイルを配置。
2. 同期: S3のレプリケーション機能により filetransfer-dev-destination-bucket へ自動コピー。
3. 検知: EventBridgeが送信先バケットへの配置（Object Created）をリアルタイムで検知。
4. リネーム: Lambdaが起動。配置時間をファイル名に付与し、processed/ ディレクトリへ移動。

構築リソース一覧

リソース名は {systemname}-{Env}-{Resourcename} の規則に従い、管理を容易にしています。

下記にYAMLファイルを配置しているので必要でしたらご利用ください

https://github.com/tmatusoka-apc/s3-filetransfer.git

1. S3レプリケーションの設定

S3間のデータ同期を安全に行うための設定です。

設定のポイント

• バージョニング: レプリケーションの必須要件のため、両バケットで有効化します。
• 最小権限のIAMロール:
  • s3.amazonaws.com を信頼ポリシーに設定。
  • 許可ポリシーでは、Sourceからの GetObject と Destinationへの ReplicateObject に限定して記述します。

2. Lambdaによるファイル転送の実装

EventBridgeから起動されるLambdaを構築します。

権限周りの設計

本番環境を意識し、以下の権限を持つIAMロールを作成します。 * S3: GetObject, PutObject, DeleteObject（送信先バケットのみ）。 * CloudWatch Logs: 実行ログ（/aws/lambda/filetransfer-dev-rename-function）の書き込み権限。

Lambdaコード（抜粋）

S3には「リネーム」コマンドが存在しないため、「コピー ＋ 削除」の手順を踏みます。

import boto3
import os
from datetime import datetime

s3 = boto3.client('s3')

def lambda_handler(event, context):
    bucket = event['detail']['bucket']['name']
    old_key = event['detail']['object']['key']
    
    # 無限ループ防止: 既に処理済みディレクトリにある場合はスキップ
    if old_key.startswith('processed/'):
        return

    # 配置された時間を取得（YYYYMMDD-HHMMSS形式）
    timestamp = datetime.now().strftime('%Y%m%d-%H%M%S')
    new_key = f"processed/{timestamp}_{os.path.basename(old_key)}"
    
    print(f"Moving: {old_key} -> {new_key}")
    
    # 同一バケット内でのコピー＆元のオブジェクト削除
    s3.copy_object(
        Bucket=bucket,
        CopySource={'Bucket': bucket, 'Key': old_key},
        Key=new_key
    )
    s3.delete_object(Bucket=bucket, Key=old_key)
    
    return {"status": "success"}

3. 実行確認

1. Sourceへアップロード: test.png をアップロード。
2. レプリケーション確認: Destinationへ test.png が届くのを確認。
3. CloudWatch Logsを確認: Lambdaが正常に起動し、Moving... のログが出ているかチェック。
4. 最終結果: Destinationの processed/ 配下に 20260129-120000_test.png が生成され、元のファイルが消えていれば成功。

おわりに

インフラエンジニアとして、単に「動く」だけでなく、「権限が適切か」「後で削除や変更がしやすい命名規則になっているか」を意識した構築を心がけました。

今後は、エラー発生時にSNSで通知する仕組みや、Step Functionsを用いたより複雑なワークフローにも挑戦してみたいと思います。

はいさい！クラウド事業部の上地やいびーん。

はじめに

2026 年 1 月 17 日に JAWS-UG 沖縄支部の勉強会を開催しました！私自身も運営メンバーとして企画し、登壇もさせていただきました。

沖縄と言えば「那覇」を最初に思い浮かべる方も多いと思います。実は那覇市での開催は今回が初めてなんです。 これまでは那覇市から少し離れた宜野湾市での開催でした。 今回はモノレールなど公共交通機関の便が良いおかげか、初めて参加される方も多く（合わせて 30 名！！）、非常に活気がありました。 jawsug-okinawa.connpass.com

イベント概要

今回の勉強会のテーマは、昨年 12 月にラスベガスで開催された AWS の年次カンファレンス「AWS re:Invent」の re:Cap（おさらい） です。 冒頭、参加者の皆さんに挙手してもらったところ、沖縄からラスベガスへ現地参加された方はまだまだ少ない様子……。私自身も「今年こそはラスベガスに行きたい！」と強く思いました。

登壇資料

勉強会のタイトルに「re:Cap」が入っていますが、先述の通り、私は現地には行けてません。 そこで今回は、re:Invent といえば毎年恒例となっている「Datadog の滑り台」にちなみ、Amazon CloudWatch と Datadog の比較についてお話ししました。

タイトルは『AWS監視を「もっと楽する」ために』です。

https://speakerdeck.com/uechishingo/awsjian-shi-wo-motutole-suru-tameni

3行まとめ

1. CloudWatchは「データの収集・保管場所」
2. Datadogは「日々の監視・調査ツール」
3. 「Datadogで気づき、深堀する」のがおすすめ

さいごに

次回の JAWS-UG 沖縄支部の勉強会は、 4 月の後半に大人気企画「Cloud on the BEACH」を予定しています！

コロナ禍を経て一昨年から再開したのですが、毎回すぐに定員オーバーになってしまうほどの人気イベントです。 「今年こそは参加したい！」という方は、私の X（旧Twitter）をフォローしていただくと、募集開始のタイミングに気づきやすいかもしれません。

勉強会の部では、今回強い要望があった Agent Core のハンズオンを実施予定しています。

2025 年の Cloud on the BEACH（勉強会の部） jawsug-okinawa.connpass.com

2025 年の Cloud on the BEACH（ビーチパーティの部） jawsug-okinawa.connpass.com

お知らせ

当社では、Datadog の導入支援から運用サポートまでをトータルでご支援するサービスを提供しています。

初期設計・エージェント展開・モニタリング設定・ダッシュボード構築まで、お客様のニーズに合わせた支援が可能です。

「自社だけでの導入が不安」「もっと効率的に監視環境を整えたい」という方は、ぜひお気軽にご相談ください。

www.ap-com.co.jp

一緒に働いていただける仲間も募集中です！

hrmos.co

投稿者: 上地申吾

Datadog の導入・運用のご支援を担当しています。

はじめに

こんにちは、株式会社エーピーコミュニケーションズの西村です。
今回はNLB→ALB→ECS構成の作成手順を紹介します。
本来この構成はNLBで固定IPアドレスを用いたドメインの紐づけやALBのリスナールールを使った通信の振り分けが利点としてありますが今回は構成の作成方法のみの学習のため省略します。

目次

• はじめに
• 目次
• 構成図
• 前提条件
• 手順
  • 1.セキュリティグループの作成
    • 1-1.NLB用のセキュリティグループを作成する。
    • 1-2.ALB用のセキュリティグループを作成する。
    • 1-3.ECS用のセキュリティグループを作成する。
  • 2.ECSの作成
    • 2-1.クラスターを作成する。
    • 2-2.タスク定義を作成する。
    • 2-3.サービスを作成する。
    • 2-4.作成されたタスクの確認
  • 3.ターゲットグループとロードバランサーの作成
    • 3-1.ECSへ向けたターゲットグループを作成する。
    • 3-2.ALBを作成する。
    • 3-3.ALBへ向けたターゲットグループを作成する。
    • 3-4.NLBを作成する。
  • 4.ECSで作成したコンテナ上のWebサイトにアクセスする
    • 4-1.作成したNLBからDNS名をブラウザに入力し以下の画面が表示されることを確認する。

構成図

前提条件

• VPC ×1
  
• アベイラビリティゾーン ×1
  
• パブリックサブネット ×2
  

手順

1.セキュリティグループの作成

1-1.NLB用のセキュリティグループを作成する。

基本的な詳細には以下の値を入力する。

• セキュリティグループ名：NLB-sg
  
• 説明：Security Group for NLB
  
• VPC：事前に作成したVPCを選択する
  

インバウンドルールには以下の値を入力してセキュリティグループを作成をクリックする。
※インバウンドルール入力後にアウトバウンドルールは自動で作成される。

• タイプ：すべてのTCP
  
• ソース：Anywhere-IPv4
  

1-2.ALB用のセキュリティグループを作成する。

基本的な詳細には以下の値を入力する。

• セキュリティグループ名：ALB-sg
  
• 説明：Security Group for ALB
  
• VPC：事前に作成したVPCを選択する
  

インバウンドルールには以下の値を入力してセキュリティグループを作成をクリックする。
※インバウンドルール入力後にアウトバウンドルールは自動で作成される。

• タイプ：HTTP
  
• ソース：カスタム NLB-sg
  

1-3.ECS用のセキュリティグループを作成する。

基本的な詳細には以下の値を入力する。

• セキュリティグループ名：ECS-sg
  
• 説明：Security Group for ECS
  
• VPC：事前に作成したVPCを選択する
  

インバウンドルールには以下の値を入力してセキュリティグループを作成をクリックする。
※インバウンドルール入力後にアウトバウンドルールは自動で作成される。

• タイプ：HTTP
  
• ソース：カスタム ALB-sg
  

2.ECSの作成

2-1.クラスターを作成する。

クラスターの作成には以下の値を入力しする。

• クラスター名：Test-cluster
  

インフラストラクチャには以下の値を選択し作成 をクリックする。

• コンピューティングキャパシティの取得方法を選択：Fargateのみ
  

2-2.タスク定義を作成する。

タスク定義の設定には以下の値を入力する。

• タスク定義ファミリー：Test-task-definition
  

インフラストラクチャの要件には以下の値を選択する。

• 起動タイプ：AWS Fargate
  

※他の設定はデフォルトのままとします。

コンテナの詳細には以下の値を入力し作成をクリックする。

• 名前：Test-container
  
• イメージURI：amazon/amazon-ecs-sample ※コンテナのイメージURIにはAWSが用意したコンテナイメージのサンプルを指定します。
  

2-3.サービスを作成する。

サービスの詳細には以下の値を入力する。

• タスク定義ファミリー：Test-task-definition
  
• サービス名：Test-task-definition-service
  

環境には以下の値を選択する。

• コンピューティングオプションー：キャパシティプロバイダー戦略 ※ここは起動タイプでも問題ありません。
  

デプロイには以下の値を選択する。

• スケジューリング戦略：レプリカ
  

ネットワーキングには以下の値を選択する。

• VPC：事前に作成したVPC
  
• サブネット：事前に作成したパブリックサブネット
  
• セキュリティグループ名：ECS-sg
  

2-4.作成されたタスクの確認

Amazon Elastic Container Service > クラスター > Test-cluster > タスク > 作成されたタスクをクリックしプライベートIPを確認する。

3.ターゲットグループとロードバランサーの作成

※設定の都合上ターゲットグループ→LBの作成を交互に行います。

3-1.ECSへ向けたターゲットグループを作成する。

設定には以下の値を入力する。

• ターゲットの種類：IPアドレス
  
• ターゲットグループ名：Target-ECS
  
• プロトコルHTTP
  
• ポート：80
  
• IPアドレスタイプ：IPv4
  
• VPC：事前に作成したVPC
  
• プロトコルバージョン：HTTP1
  

IPアドレスには以下の値を入力する。

• ネットワーク：事前に作成したVPC
  
• VPCサブネットからのIPv4アドレスを入力します。：2-4で確認したプライベートIP
  

設定を確認しターゲットグループの作成をクリックする。

3-2.ALBを作成する。

基本的な設定には以下の値を入力する。

• ロードバランサー名：Test-alb
  
• スキーム：インターネット向け
  
• ロードバランサーのIPアドレスタイプ：IPv4
  

ネットワーキングマッピングには以下の値を入力する。

• VPC：事前に作成したVPC
  
• アベイラビリティゾーンとサブネット：事前に作成したパブリックサブネット
  

セキュリティグループには以下の値を入力する。

• セキュリティグループ：ALB-sg
  

リスナーとルーティングには以下の値を入力する。

• プロトコル：HTTP
  
• ポート：80
  
• アクションのルーティング：ターゲットグループへ転送
  
• ターゲットグループ：Target-ECS
  

設定を確認しロードバランサーの作成をクリックする。

3-3.ALBへ向けたターゲットグループを作成する。

設定には以下の値を入力する。

• ターゲットの種類：Application Load Balancer
  
• ターゲットグループ名：Target-alb
  
• プロトコルTCP
  
• ポート：80
  
• VPC：事前に作成したVPC
  

ターゲットを登録には以下の値を入力する。

• Application Load Balancer を登録：今すぐ登録
  
• ポート：ターゲットグループポート 80を使用
  
• Application Load Balancer：Test-alb
  

設定を確認しロードバランサーの作成をクリックする。

3-4.NLBを作成する。

基本的な設定には以下の値を入力する。

• ロードバランサー名：Test-nlb
  
• スキーム：インターネット向け
  
• ロードバランサーのIPアドレスタイプ：IPv4
  

ネットワーキングマッピングには以下の値を入力する。

• VPC：事前に作成したVPC
  
• アベイラビリティゾーンとサブネット：事前に作成したパブリックサブネット
  
• IPv4アドレス：AWSによって割り当て済み
  

セキュリティグループには以下の値を入力する。

• セキュリティグループ：NLB-sg
  

リスナーとルーティングには以下の値を入力する。

• プロトコル：TCP
  
• ポート：80
  
• ターゲットグループ：Target-alb
  

設定を確認しロードバランサーの作成をクリックする。

4.ECSで作成したコンテナ上のWebサイトにアクセスする

4-1.作成したNLBからDNS名をブラウザに入力し以下の画面が表示されることを確認する。

目次

• 目次
• はじめに
• どんなひとに読んで欲しい
• 事前準備
• CDK 初期セットアップ
• Boostrapで生成されるロールについて
• GithubActions用のロール/ポリシーの作成
• githubActions workflow用ファイルの作成
• Secretの設定
• 動作確認
• おわりに
• お知らせ

はじめに

こんにちは、クラウド事業部の上村です。
GithubActionsを使ってCDKをデプロイする機会があったので試してみます。

どんなひとに読んで欲しい

• GithubActionsでとりあえずCICDを試したい人
  
• CDKでCICDを利用したい人
  

事前準備

Githubアカウント CDK環境の準備 リポジトリの作成

CDK 初期セットアップ

mkdir cdk-githubactions-test && cd cdk-githubactions-test
cdk init app --language typescript
cdk boostrap 

Boostrapで生成されるロールについて

Boostrapで生成される4つのロールは各役割があります。
デプロイ時の権限移譲は下記のようになります。 1.アクターがcdk-deploy-roleを引き受け(AssumeRole)を行います
2.cdk-deploy-role は、管理者権限を持つ cfn-exec-role を iam:PassRole で CloudFormation サービスに渡します。
3.CloudFormation サービスが cfn-exec-role を引き受け (AssumeRole)、実際のデプロイ処理を実行します。

セキュリティを向上させたい場合は、Boostrapで生成されるデフォルト修飾子(hnb659fds)の変更や
Permissions BoundaryやSCPを利用してガードレールで担保しておくことも有効かと思います。

詳細は下記リンクを参照してください。
https://github.com/aws/aws-cdk/wiki/Security-And-Safety-Dev-Guide

GithubActions用のロール/ポリシーの作成

今回はシンプルにBoostrapで生成したロールを利用します。
またmainブランチを対象とします。
branchに制限を行う場合は、oidcDeployRole及びworkflowの調整が必要となります。
注意点としてプロバイダーURLはアカウント内でユニークである必要があり、既に存在する場合はエラーとなるので注意してください。

lib/cdk-githubactions-test-stack.ts

import * as cdk from 'aws-cdk-lib';
import { Construct } from 'constructs';
import * as iam from 'aws-cdk-lib/aws-iam';
import * as s3 from 'aws-cdk-lib/aws-s3';


export class CdkGithubactionsTestStack extends cdk.Stack {
  constructor(scope: Construct, id: string, props?: cdk.StackProps) {
    super(scope, id, props);
    
    const accountId = this.account;
    const region = this.region;
    // 各gihhub情報を入力してください。
    const user = 'userName';
    const repo = 'repoName';
    const branch = 'main';
    
    const oidcProvider = new iam.OpenIdConnectProvider(this,'GithubOIDCProvider',
       {
         url: 'https://token.actions.githubusercontent.com',
         clientIds: ['sts.amazonaws.com'],
       }
    );
        
    const oidcDeployRole = new iam.Role(this, 'GithubOidcRole',{
      roleName: 'github-oidc-role',
      assumedBy: new iam.FederatedPrincipal(
        oidcProvider.openIdConnectProviderArn,
        {
          StringLike: {
            'token.actions.githubusercontent.com:sub': `repo:${user}/${repo}:*`,
            // 'token.actions.githubusercontent.com:sub': `repo:${user}/${repo}:ref:refs/heads/${branch}`,
          },
        },
        'sts:AssumeRoleWithWebIdentity'
      ),
    });
    
    const deployPolicy = new iam.Policy(this, 'deployPolicy', {
      policyName: 'deployPolicy',
      statements: [
        new iam.PolicyStatement({
          effect: iam.Effect.ALLOW,
          actions: ['sts:AssumeRole'],
          resources: [
            `arn:aws:iam::${accountId}:role/cdk-hnb659fds-deploy-role-${accountId}-${region}`,
            `arn:aws:iam::${accountId}:role/cdk-hnb659fds-file-publishing-role-${accountId}-${region}`,
            `arn:aws:iam::${accountId}:role/cdk-hnb659fds-image-publishing-role-${accountId}-${region}`,
            `arn:aws:iam::${accountId}:role/cdk-hnb659fds-lookup-role-${accountId}-${region}`,
          ],
        }),
      ],
    });
    oidcDeployRole.attachInlinePolicy(deployPolicy);
  } 
  // RoleArn Output
  new cdk.CfnOutput(this, 'RoleArn', {
    value: oidcDeployRole.roleArn,
  });

}

bin/cdk-githubactions-test.ts

import * as cdk from 'aws-cdk-lib';
import { CdkGithubactionsTestStack } from '../lib/cdk-githubactions-test-stack';
import 'source-map-support/register';

const app = new cdk.App();
const env = {
  account: process.env.CDK_DEFAULT_ACCOUNT,
  region: process.env.CDK_DEFAULT_REGION,
};

new CdkGithubactionsTestStack(app, 'CdkGithubactionsTestStack', {
  env: env  
});

ロールやOIDCプロバイダーをデプロイします。

cdk deploy

githubActions workflow用ファイルの作成

workflow用のファイルを作成します。
Push実行時には cdk deploy が実行され、PR実行時には cdk diff が実行されるように設定します。

.github/workflows/deploy.yml

name: CDK

# mainブランチにプッシュ時にトリガー
on:
  pull_request:
    branches:
      - main
  push:
    branches:
      - main
  workflow_dispatch:

# OIDC設定
permissions:
  id-token: write
  contents: read
  pull-requests: write
    
jobs:
  cdk-deploy:
    runs-on: ubuntu-latest
    if: github.ref == 'refs/heads/main' && github.event_name == 'push'
    steps:
      - name: Checkout code
        uses: actions/checkout@v4
      
      - name: Configure AWS Credentials
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME }}
          aws-region: ${{ secrets.AWS_REGION }}

      - name: Setup Node.js
        uses: actions/setup-node@v4
        with:
          node-version: '20'
          cache: 'npm'
              
      - name: Install dependencies
        run: npm ci
            
      - name: CDK Deploy
        run: npx cdk deploy --all --require-approval never           
            
  cdk-diff: 
    runs-on: ubuntu-latest
    if: github.event_name == 'pull_request'
    steps:
      - uses: actions/checkout@v4
    
      - name: Configure AWS Credentials
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME }}
          aws-region: ${{ secrets.AWS_REGION }}

      - name: Setup Node.js
        uses: actions/setup-node@v4
        with:
          node-version: '20'
          cache: 'npm'
      
      - name: Install dependencies
        run: npm ci
      
      - name: CDK Diff
        run: npx cdk diff --all

Secretの設定

workflowが環境変数を参照できるように設定を行います。
今回はシークレットに下記を登録して利用するようにします。
ロールARNは、コンソール又はCDKデプロイ時に出力されたものを登録してください。

AWS_REGION: ap-northeast-1
AWS_ROLE_TO_ASSUME: arn:aws:xxx

動作確認

Push時の動作確認を進めていきます。
S3を作成するコードを追加して、githubにPushします。

lib/cdk-githubactions-test-stack.ts

  // RoleArn Output
  new cdk.CfnOutput(this, 'RoleArn', {
    value: oidcDeployRole.roleArn,
  });
  //add s3
  const s3bucket = new s3.Bucket(this, 'testBucket', {
  });

Githubから確認するとDeployが実行されていることが確認できました。
CDK Deployの箇所を確認するとログを確認することができます。

次はPR作成時の動作確認をします。
今回はコンソールで進めていきます。
ブランチの作成を行います。

先程追加したS3バケット作成部分を削除します。

変更後にPRリクエスト作成を行うとcdk diff が実行されていることが確認できます。

おわりに

初めてGithubActionsを利用しましたが簡単に設定できました。
cdk-nagやtrivyなどを組み込んだケースも試してみようかと思います。

お知らせ

私達クラウド事業部はクラウド技術を活用したSI/SESのご支援をしております。

www.ap-com.co.jp

また、一緒に働いていただける仲間も募集中です！
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

はじめに

こんにちは、クラウド事業部の上野です。

今回はAWSのバージニア北部（us-east-1）リージョンにて、10月19日午後11:48分（PDT）〜 10月20日午後2時20分（PDT）に発生した障害について調べてみました。（日本時間: 10月20日 15:48～ 10月21日 06:20）

詳しい障害の内容については以下レポートを参考にします。この時の障害について図解することで、AWSの内部構造（あくまで記事から読み取れる範囲の想像）まで理解しやすい記事になればと思います。

aws.amazon.com

※注意点

以下に様々な図を出していますが上記の障害レポートから読み取って独自に作成したものであるため、実際にその通りであるかは分かりませんし、公開情報として調べても特に出てこないものです。あくまで読み取れる範囲で整理しただけのものである点にご注意ください。

障害の内容

大きく以下の流れで障害は発生したようです。

1. 10月19日午後11時48分〜10月20日午前2時40分
   1. バージニア北部（us-east-1）リージョンにおいてAmazon DynamoDBのAPIエラー率が上昇
2. 10月20日午前5時30分〜午後2時9分
   1. バージニア北部（us-east-1）リージョンの一部ロードバランサーにおいてNetwork Load Balancer（NLB）の接続エラーが増加。
   2. NLBフリートのヘルスチェック失敗が原因で、一部のNLBで接続エラーが増加したため
3. 10月20日午前2時25分〜午前10時36分
   1. 新規EC2インスタンスの起動失敗が発生。午後1時50分までには解決。

障害発生の理由

1. DynamoDBの障害理由

全体の障害の起因となったのはDynamoDBでした。 DynamoDBの障害理由についてですが、まずDynamoDBのDNS管理アーキテクチャについての説明がされており読み取れる限り以下のような構成となっているようです。

1. 大きく2つのコンポーネントがあり、DNSプランナーとDNS Enactorが処理の中心にある。
2. DNSプランナーは各サービスエンドポイントとロードバランサーの紐付けを行うDNSレコードを生成する。この紐付けはロードバランサーのcapacityチェックを行い都度適切なロードバランサーに切り替えるためDNSレコードプランは定期的に更新される。
3. このDNSレコードプランをポーリングして、DNS EnactorがRoute53サービスにDNS更新リクエストを行っている。この時複数のEnactorが同時に更新処理をして不整合を起こさないようトランザクションを貼って更新するような挙動になっている。

障害発生の流れ

1~2. まず一部DNS Enactorが想定外の遅延を発生させ（以下画像だとAZ3）、他のEnactorのDNSプランが先に適用された。

3.上記画像2.の処理でRoute53 へのプラン適用後、AZ3のEnactorが遅延によって遅れて実行されることで古いDNSで上書きされる。

4.AZ1はDNSプラン適用後、クリーンアッププロセスにより古いDNSを削除する。この時3.で登録されたものが削除される。これによってDNS上のレコードが消えてしまった。

5.DNS Enactorは不整合を起こして更新処理が失敗するようになった。

DynamoDBに接続できなくなったのは上記1~5の理由でDNSレコードが削除されて不整合状態に陥り自動回復できなくなったことが原因だった。

2. Amazon EC2の障害理由

上記DynamoDBの障害はEC2にも伝播して影響を与えていたようです。

ここで最初に理解しておく必要があるのはEC2の物理サーバー基盤とEC2にネットワーク設定を伝搬するコンポーネントの存在です。

• Network Manager
  • Internet通信, 同一VPC内のEC2との通信, VPC内のネットワーク機器などとの通信設定をEC2に伝搬させるためのもの。
• DropletWorkflowManager
  • EC2の物理サーバー群であるdropletsをリースと言うプロセスか何かに紐付けてそれごとにdropletsを管理するもの。

障害発生(1)

今回はこのdropletsのリース確立プロセスにDynamoDBが使用されているせいで、リースチェック失敗->リース切れ扱い → 新規インスタンスの候補から除外という流れで新規EC2が立ち上がらなくなっていた。

その後、DynamoDBが正常に動き始めたことでこちらのプロセスも正常に動き始めるかというとそうはならなかった。

1. まず処理しないといけないdropletsが多すぎた結果全て処理しきれずtimeoutが大量に発生。

2~3. timeoutしたタスクはキューに積まれるがキューが増える一方で輻輳崩壊状態に陥って処理ができない状態になったとのこと。（すでに処理の必要がないタスクなども溜まりっぱなしになっていたなどが想像される）

4.最終的にはキューをクリアするためにDWFMを一部再起動することで処理を再開できたとのこと。

障害発生(2)

DropletWorkflowManager（DWFM）に関する問題はこれで完了したが、この後Network Manager側で問題が発生した。

起動し始めたEC2へネットワーク伝搬が大量に発生し遅延が発生してしまったとのこと。

これについてはエンジニアが手動で負荷軽減措置を実施して解決。

3. Network Load Balancer (NLB)の接続エラー増加の原因

上記で紹介したEC2のNetwork Managerからのネットワーク伝搬遅延により、NLBのHealth checkに影響が発生していた。

まずNLBのアーキテクチャについてだが、NLBは複数のAZにまたがるNode上に構築されておりそのNodeはHealth checkサブシステムによって監視されている。もしHealth checkに失敗するとDNSから削除されて通信対象から排除される。

障害発生

今回、EC2のネットワーク伝搬遅延によってNodeとEC2の経路構築前にHealth checkが実行されて失敗することで大量にDNSからNodeが削除される結果となった。

1. このHealth checkの失敗増加は、その失敗が増加しているNodeのあるAZへの転送をDNSレベルで流れないようにDNSフェイルオーバーをトリガーした。

2~3. 1.のせいで他AZのNLB Nodeへトラフィックが増加したことで負荷が増えてEC2への接続エラーを引き起こすなどした。

4.ネットワーク伝搬が完了してHealth checkが成功したEC2も、Nodeの置き換えなどが発生するとネットワーク伝搬が再度必要になり、これによって再度遅延によるHealth check失敗が起きるため成功と失敗を繰り返す状態となっていた。

5.NLBの問題についてはHealth checkサブシステムの負荷増加によるフェイルオーバー発生が問題だったので、エンジニアが自動フェイルオーバーを無効化することで対応したとのこと。

まとめ

全ての原因はDynamoDBでありAWS内部でもDynamoDBは様々な用途で使用されていることがわかって面白かったです。

また、この機会にAWSの内部構造について障害レポートを通じて理解を深めることができ学びになりました。

多少図では説明しきれてない部分もあると思うので、気になる方はレポート本体を読んでみることをお勧めいたします。

(画像はイベントサイトtopより)

目次

• 目次
• はじめに
• 関連記事
• イベントについて
  • JAWS FESTA とは
  • JAWS FESTA 2025 in 金沢
  • 本題には全く関係ない小話
    • 『やっとるげん』
    • 『せんがん』
    • 『ねーじ』
    • 金沢の民へ
• 本題
  • 会場に関して
  • ボランティアスタッフの流れ (～前日)
    • ①ボランティアスタッフへの申し込み
    • ②ボランティアスタッフの受け付け
    • ③ボランティアスタッフとしての役割確認
    • (個人としての)④開催前日
  • ボランティアスタッフの流れ (当日)
    • ①会場への集合、参加のチェックイン
    • ②受付対応の説明、受付開始
    • ③受付会場の移動、引き続き受付
    • ④イベントの終盤、片付けなど
• 感想
• お知らせ

はじめに

こんにちは、クラウド事業部の坂口です。

去る2025年10月11日(土)に JAWS FESTA 2025 in 金沢 が開催され、幸いにも参加することができました！

今回はボランティアスタッフとして参加させていただけたので、スタッフとしての感想を中心につらつらとレポートを書いていこうと思います。

関連記事

弊社で、同じくボランティアスタッフとして参加された方のレポート記事はコチラ↓

techblog.ap-com.co.jp

イベントについて

JAWS FESTA とは

こちら のページより抜粋

JAWS-UGの活動は各支部が独立して運営しています。この各支部の勉強会とは別に年に2回、全国規模のイベントが開催されます。春のJAWS DAYS、秋のJAWS FESTAです。

JAWS DAYSは毎年東京で行われ、秋のJAWS FESTAは東京以外の地方で行われます。JAWS FESTAは、広島(2024)、福岡(2023、2015)、北海道(2019)、大阪(2018,2013)、愛媛(2017)、愛知(2016)、宮城(2014) で開催されました。今年のJAWS FESTAの会場は金沢となり、北陸地方では初の開催となります。

全国各地で活動している各支部のリーダーが集まり、オフラインによるネットワーキングを「再構築」し、お互いに刺激を受けあい、また地元に帰って活動する、というリズムを作り出しています。

JAWS FESTA 2025 in 金沢

そんな JAWS FESTA ですが、今年 (2025) は金沢(石川県金沢市)で開催されました！

JAWS FESTA 2025 in 金沢 のイベントサイトはこちらになります。

jawsfesta2024.jaws-ug.jp

本題には全く関係ない小話

何を隠そう、筆者は金沢市にそこそこ縁があります。

なので、今回のJAWS FESTA画像にある文言について完全自己満足で説明しようと思います。

※なお、あえて何も調べず書いているため、事実と異なる部分がある場合はすみません

『やっとるげん』

取り上げるのはコチラ 『秋の金沢 AWS やっとるげん』

『やっとるげん』という箇所がいわゆる金沢弁で、『秋の金沢 AWS やっています』というような意味になります。

単純にそれだけの意味ではあるのですが、会話の中だとあまりうまく認識してもらえず聞き返されることがあります。少なくとも筆者はありました。

『せんがん』

またその他の金沢弁として『勉強せんがん』→『勉強しないのか』というものもあります。

動詞を変えて『JAWS FESTA 行かんがん』→『JAWS FESTA 行かないのか』というように使います。

ちなみに、この金沢弁についても北海道札幌の地で聞き返されたことがあります。

筆者が不注意で使ってしまったので仕方ない部分はありますが、

『潤かす』や『押ささる』を筆頭に、なまらなまら言って突撃してくる札幌の方に不思議な顔をされたので記憶に残っています。

『ねーじ』

加えて、『〇〇 ねーじ』という金沢弁もあります。

こちらは『PC ねーじ』→『PC が無いじゃないか』という使われ方をし、金沢弁の例文として『ネジ ねーじ』という人類みな全てが笑う文が頻出します(世界平和)。

※ネジは、そのままプラスとかマイナスとかのネジです

金沢の民へ

という訳で、簡単な金沢弁の説明でした。

これで読者の方は金沢の民なので、引き続きよろしくお願いします。

本題

会場に関して

今回、会場は2か所。

• ITビジネスプラザ武蔵4〜6階
  • ITビジネスプラザ武蔵

• 近江町交流プラザ4階まなびぃ広場
  • 近江町交流プラザ／金沢市公式ホームページ いいね金沢

会場が2か所になった理由としては、主要な駅(金沢駅)から近い場所での開催であるため、1つの会場では300人近い参加者をまかなえなかったのかと推察します。

実際に 2023(九州)JAWS FESTA 2023 KYUSHU, 2024(広島)JAWS FESTA 2024 in 広島 での開催時は、若干郊外にある大学講堂等を借りていました。

とはいえ、金沢駅から近場だったことと、各会場間が遠かったということも無く、個人的には移動が気分転換も兼ねた形になったので悪くなかったです。

ボランティアスタッフの流れ (～前日)

さて、冒頭でも記載した通り、今回はボランティアスタッフとして参加しました。

過去のJAWS FESTAでもボランティアスタッフとして参加したことはあったのですが、今後、同様にボランティアスタッフとして参加されるかもしれない方に向けて今回経験した流れだけ簡単に記載しておきます。

※念のためで、一部は画像を使わずテキストのみでの説明となります

①ボランティアスタッフへの申し込み

ボランティアスタッフには、基本的にJAWS FESTAのイベント本ページに申し込みの案内が出されます。

今回は以下のようなページでした。

ページ下部の「応募フォーム」から必要事項を入力して申し込みができます。

募集の案内自体は X(旧Twitter) でもされていました！

ボランティア募集に関する詳細ページはこちら！https://t.co/YhYOh1H0wx#jawsfesta2025 #jawsfesta #jawsug

— JAWS-UG (@jawsdays) 2025年8月8日

なお、JAWS FESTA本編への参加申し込みとは別になります。

JAWS FESTA本編の参加申し込みは例年 Doorkeeper (2025のページ: JAWS FESTA 2025 in Kanazawa - JAWS-UG | Doorkeeper) でされており、ボランティアスタッフ募集よりも早いタイミングで公開されます。

事前に本編への申し込みをしておきましょう。ただし一般の参加枠含め埋まるのがかなり早いため、その点は注意です。

②ボランティアスタッフの受け付け

ボランティアスタッフとして申し込みを行うと、JAWS-UG の Slackワークスペース (もしくはX(旧Twitter)) で 実行委員 の方から連絡がきます。

なおスタッフとしてのやり取りや共有なども Slack で行われるため、申し込みの段階でワークスペースに参加しておくのが良いと思います。

実行委員の方から連絡を受け、問題なくボランティアスタッフとして参加できるようであればSlackのスタッフ用チャンネルに追加いただけるので、以降はこのチャンネルでやり取りを行います。

またJAWS-UGのSlackワークスペースでは一般のJAWS-UGイベントの告知などもされるため、ボランティアスタッフ参加に関わらずワークスペースに参加しておいてあまり損はないかなと思います。

③ボランティアスタッフとしての役割確認

Slackのスタッフ用チャンネルに参加後、開催が近くなるとボランティアスタッフとしての役割・シフト表やスタッフのガイドを共有いただけます。

このタイミングで、当日ボランティアスタッフとして何をするかの役割分担が分かります。

また、ボランティアスタッフに向けての説明&質問会も別途実施をいただけます。会の実施はいくつか候補日があるので、都合の良いタイミングで参加しましょう。

役割・シフト表やガイドは適宜アップデートが入ることもあり、当日手元で見られるようにしておくと便利でした。

基本的にはこの説明&質問会を経て、当日を迎えることになります。

(個人としての)④開催前日

※前日までのボランティアスタッフの流れとしては ③ボランティアスタッフとしての役割確認 で完了していますが、ここからは少しだけ補足として書いていきます。

今回はスタッフの会場集合時間が8時台だったこともあり、私は前日入りをしました。

ただ、お仕事の都合で当日朝に金沢に現地入りされる方も当然いらっしゃいましたが、実行委員の方に到着時間等は配慮いただけているようでした。なので (しんどくなければ) どちらでも良さそうかな、という感想です。

また、自身は用事があったため参加できませんでしたが、前日入りして時間がある方に向けて前日準備の依頼なんかもありました。

交流の時間が持てるので、似た機会があれば参加してみて良いかもしれません。

ボランティアスタッフの流れ (当日)

いよいよ当日です。

以降はボランティアスタッフとして私が担当した役割の動きをざっくりと書いていきます。

ちなみに、役割としては「受付(懇親会)」でした。

①会場への集合、参加のチェックイン

前述の通り、当日朝8時台に会場の1つである ITビジネスプラザ武蔵 に集合。

見知った顔の方と挨拶をしたりして時間をつぶします。

時間になったら受付の設営フロアへ。

配布用Tシャツやトートバック、トランシーバーなんかが並べられています。

Tシャツは紫色がボランティアスタッフ用、黒色が実行委員用とのこと。

まずは受付担当が割り振られている方からDoorkeeperでのチェックインを済ませます。

チェックイン後は、自分用のトートバッグとスタッフTシャツを受け取りました。モノはこんな感じ。

②受付対応の説明、受付開始

ストラップへの名前記入やスタッフTシャツに着替えた後は、荷物を置いて受付対応の説明を受けることに。

なお会場にはスタッフ用の荷物置き場もあり、大変助かりました！

先述の通り、今回の役割としては懇親会受付で、こんな感じのテーブルで受付を行います。

懇親会受付の対応内容としてはこんな感じでした。

• 懇親会参加を申し込んだ方に、Doorkeeperのチェックインを実施
  • 貸与のスマートフォンで、DoorkeeperチェックインアプリでQRコードを読み込む感じでした
• QRコードでのチェックインを完了した方の、プラスチックホルダーやネームプレートにチェックイン完了のシールを貼る
• チェックイン完了のシールを貼った方に、同様に "お酒飲めます" シールを貼る
  • 20歳未満の方やお酒飲まない方を区別する目的
• 写真撮影がNGの方へのネックストラップ配布
  • SNS等で写真がアップされることもあり、そういった写り込みを避けたい方向け

(右上から順に、チェックイン用スマートフォン・シール2種・ネックストラップ)

配置についた後はスタッフの方のチェックイン対応をしつつ、スタッフの朝礼に参加。

その後、イベント開場時間になると参加者の方が見え始めました。

懇親会参加しない方には基本的に対応不要であったものの、大まかに4つの対応があるため(写真を撮る暇があまり無いぐらいには)そこそこ忙しかったです。

③受付会場の移動、引き続き受付

最初に受付していた会場は午前中までで、午後からは受付場所を移動して更に受付対応を継続。

移動後の受け付け会場はサポーター企業ブースがあるフロアのエレベーター前で、午前中に比べるとかなりコンパクトになりこんな感じ。

なお余談ですが、幕の移動はエレベーターを使っていたものの高さがギリギリで大変そうでした。

また午後からの受付は特にシフト等はなく有志が実施する感じでした。

私はとりあえずで残って対応していた時間が多かったですが、主に以下の理由で忙しいタイミングもそれなりにあった印象です。

• 午後から来場する方がそこそこいらっしゃった
• 分からないことがあると受付でとりあえず聞いてみる方が多かった
• 懇親会に限らず受付全般の対応となった
  • イベント本編のDoorkeeperチェックイン、Tシャツ・トートバックの配布など

とはいえ、同じスタッフが常に受付にいたわけではなく、聴きたいセッションのタイミングやお昼休憩で適宜交代して対応をしていました。

※私自身も、セッションを聴きに行ったり、休憩を取ったりできました

④イベントの終盤、片付けなど

午後からの受付対応は実施しつつ、イベントの終盤では徐々に撤収の対応もお手伝いしていました。

こちらも私含めて手が空いている方が有志でお手伝いしていた感じです。

途中、余ったお菓子の配布なんかもしていました。

とりあえずで閉幕挨拶中も片付けをしていましたが、人が少なかったこともあり寂しげな雰囲気で楽しかったです。

(閉幕中のサポーター企業ブースの様子: 顔が写ってしまっていたので一部黒塗りしています)

閉幕後は、会場を後にする方をエレベーター前で見送ってボランティアスタッフも適宜撤収となりました。

感想

今回は縁のある石川県金沢市での開催ということで、個人的には若干テンションが上がっていました。

イベントでの受付スタッフは初めてだったものの、交流が多く持てて楽しかったです。

JAWS FESTAは年々内容がアップデートされていることもあり、毎年違った発見や楽しさに驚かされます。

来年以降も、何かしらの形で関われれば良いなと思いました。

なんだかんだ終了後には参加して良かったと思えるのは凄い。ありがとうございました！

お知らせ

私達クラウド事業部はクラウド技術を活用したSI/SESのご支援をしております。

www.ap-com.co.jp

https://www.ap-com.co.jp/service/utilize-aws/

また、一緒に働いていただける仲間も募集中です！
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp