「危険！AWSでAIエージェント暴走？5つの新ガードレールで安全運用」～【aws】今週の人気記事TOP5（2026/02/22）

「危険！AWSでAIエージェント暴走？5つの新ガードレールで安全運用」今週の人気記事TOP5（2026/02/22）

Amazonでの12年間を振り返る

概要:
AWSで12年、サポートからプリンシパルアーキテクトまで務めた著者が語る、Amazon流の巨大システム開発・運用の真髄。現場で培われた意思決定フレームワークや、グローバルなキャリアを切り拓く思考法が凝縮されています。

ポイント:

• Customer ObsessionやDisagree and Commitなど、Leadership Principlesの実践例
• 「You build it, you run it」の現実と、プロダクト開発の舞台裏
• 英語や時差を乗り越えるコミュニケーション術とキャリア形成の秘訣

Claude CodeのようなAI エージェントにEC2を安全に調査させるSSMガードレールの設計

概要:
AIエージェントにEC2内部調査を安全に任せたい課題、解決します。アプリボットSREチームがSSMとIAM Policyで構築した「読み取り専用許可リスト型ガードレール」を紹介。AIに過剰な権限を与えず、高度な調査を実現する具体的な設計手法。

ポイント:

• AIエージェントの任意コマンド実行を防ぐ多層セキュリティ
• allowedValues/allowedPatternによるAPIレベルの厳格制限
• Terraformで、最小権限のEC2調査環境を迅速構築

個人開発した「技術書ランキングサイト」が公開1日で1,000PV突破した裏側

概要:
公開初日で1,000PV、約5,000円を達成した個人開発「Engineer's Book Hub」の成功術！「使われない」不安を払拭し、短期間でユーザーを惹きつけ収益化するロジックを詳解。

ポイント:

• 「期間×ジャンル」連動ロジックでトレンドを捉えユーザー獲得。
• Qiitaデータ解析による「鮮度」「自動分類」ランキング技術。
• ユーザーフィードバックを即反映し収益化した高速改善術。

AWSインフラ設計のベストプラクティスを目指して(サーバレス編)

概要:
AWSサーバレスのベストプラクティス設計を実現したいエンジニア必見！API Gateway/Lambda/RDS Proxy等を活用し、堅牢で変更に強いモダンインフラの具体的な設計・実装パターンを解説します。

ポイント:

• API Gateway/Lambda: 1:1構成や用途別設計、Parameter Store連携など効率的なAPI構築ノウハウ。
• RDS Proxy/Cognito: DB接続安定化とIAM認証、OIDC認証基盤構築でセキュリティを両立。
• WAF/EventBridge/SQS: 高度なアクセス制御、バッチ・非同期処理の実装パターンと使い分け。

植物のお水をやるタイミングを教えてくれる「水やり番長」を作った😎

概要:
植物の水やり忘れ・根腐れ問題を解決するIoTデバイス「水やり番長」をRaspberry PiとAWSで構築。Lambdaを使わないユニークな構成で、身近な課題解決を通じた実践的なIoT開発の具体例が学べます。

ポイント:

• Raspberry PiとセンサーからAWSサービスへ連携する実装の全貌
• Step Functionsを軸とした、Lambdaフリーなサーバーレスワークフロー
• 実際に運用して見つかる「現場の課題」と、現地検証から得られる示唆

「IaC自動生成で開発時間を大幅短縮。」今週の人気記事TOP5（2026/02/15）

draw.ioの公式MCPサーバが出てたのでClaude Codeで試してみる

draw.ioの公式MCPサーバとClaude Codeを連携させ、プロンプトからAWSインフラ構成図やIaCコードの構成図を自動生成する実験が行われた。 MCP定義ファイルを設定しClaude Codeを起動後、「AWSサービスを組み合わせたインフラ構成図を作成してください」などの指示で、draw.io上に構成図が表示された。IaCコード（template.yaml）からの図生成も可能で、リソースに加えリクエスト部分も図示された。AWSアイコンも自動で付与された。

スタートアップの「なんとなく動いてる」インフラを、一人で体系的に整備した話

スタートアップで「なんとなく動いている」AWSインフラを、Python(FastAPI)バックエンド3サービスに対し、1名で体系的に整備した事例。

主な実施内容:

• CI/CD構築: GitHub ActionsとECRタグ（:prod/:stg/:dev）で、git pushからの自動ビルド・自動デプロイを確立。
• ブランチ保護: GitHub Organization移行とRuleset導入で、PR必須、force push禁止を設定。
• ヘルスチェック改善: TCP/緩いMatcherからHTTP GET /health(200)へ厳格化し、障害検知・自動復旧を機能させた。
• ドキュメント整備: インフラ構成と開発フローを整備し、暗黙知を排除。

結果: 手動デプロイ不要、環境分離、コードレビュー体制構築、障害検知・復旧強化、運用品質向上を実現。

1月の攻撃ログを集計したら静的サイトとWordPressで全然違った

WordPressサイトは静的サイトに比べ、攻撃数は少ないものの、wp-login攻撃など実害につながるリスクが高い。静的サイトはPHPが動かないため、攻撃は404エラーで無効化される。攻撃は深夜に集中し、木曜に最多。月末に活発化する傾向も。セキュリティ対策はWordPressで優先度が高い。

低コスト分析基盤として DuckDB を採用したら S3 読み込みがボトルネックになった話

PKSHA Techブログの記事では、低コスト分析基盤としてDuckDB + Lambda + S3 Parquet構成を採用した際、S3読み込みがボトルネックになった事例を共有しています。原因は、DuckDBがS3アクセスに利用するhttpfs拡張の同期I/Oと、日単位パーティションによるファイル数の増加によるレイテンシの積み重ねでした。改善策として、ファイル統合によるファイル数削減と、DuckDBの日付関数活用によるdim_dateテーブル廃止が有効でした。ただし、この構成はデータ量やリアルタイム性、ファイル設計に制約があるため、Athena等も検討すべきとしています。

AWSでリアルタイム異常検知システムを実装してみた

製造業向けのリアルタイム異常検知システムをAWSで構築。1秒毎の時系列データをKinesis Data Streamsで収集、S3に蓄積。Daily0時にLambdaとAthenaで直近72時間データから基準値（平均±3σ）を計算しS3に保存。Managed Apache Flinkがリアルタイムデータと基準値を照合し、異常を検知。異常データは別Kinesisへ出力され、LambdaがSNS経由で通知する。サーバーレス、コスト効率、動的基準値設定が利点。

「awsの最新情報をお届け！」今週の人気記事TOP5（2026/02/08）

Dockerで開発して、AWSで本番運用するとはどういうことか〜タスクをこなすことに必死で、仕組みを理解していなかった自分のための整理〜

開発環境ではDockerでローカル開発環境を構築し、開発用PCに直接インストールせず、環境一式をコンテナで実現。本番では、フロントエンドはS3で静的配信、バックエンドはECRのDockerイメージをECSで実行し、RDSと連携。マイグレーションも一時的なECSタスクで実行。開発と本番は「作業」と「運用」で異なるが、Docker構成の考え方は共通。

[AWS] VPCエンドポイントを作っただけなのに

新しいサービスのためにAWS VPCエンドポイント（プライベートDNS有効）を作成した結果、既存サービスのECRからのimage pullができなくなりデプロイが失敗する事象が発生。原因は、プライベートDNSの有効化がVPC全体に影響し、既存サービスからの通信が、許可されていない新しいVPCエンドポイントへルーティングされたため。解決策として、VPCエンドポイントのインバウンドルールに新旧両方のECSタスクのセキュリティグループを許可することで、インターネットを経由せず安全な通信を実現した。

AWSインフラ設計のベストプラクティスを目指して(CI/CD編)

GitHub Actionsとecspressoを活用したAWS CI/CDベストプラクティスについて。デプロイツールはコストと容易性からGitHub Actionsを選択。CIではテストをdevelopブランチマージ時に限定し、Slack通知は失敗時のみ。CDではTerraformによるECSタスク定義のイメージタグ問題に対し、Terraformでインフラ、ecspressoでアプリデプロイを管理するハイブリッド構成を採用。ecspressoはECSタスク定義・サービス管理に特化し、GitHub Actionsからデプロイ。SSMパラメータストアと連携し、環境変数管理やAWS認証にOIDCを利用。

Tokyo 30の舞台裏？AWSで作る！フルマネージドな大規模GPUクラスターの構築/運用のリアル

チューリング社がAWS SageMaker HyperPod、Slurm、Lustreを活用し、大規模GPUクラスターを構築・運用した事例。IaCの不完全さによるストレージ誤削除やコスト増、NCCL timeoutなどの運用トラブルを経験。EFS利用停止やGPUインスタンスタイプの変更を検討し、完全なIaC化と詳細なメトリクス取得を目指した。これにより、自動運転モデル「Tokyo 30」の開発を支えた。

DevinとAWSを繋いでログ調査を自動化する

匠技研工業は、AIコーディングエージェント「Devin」とAWS CloudWatch LogsをMCP (Model Context Protocol)で連携させ、Slackからログ調査・原因分析を自動化する仕組みを構築しました。これにより、障害対応や問い合わせへの一次対応が迅速化され、エンジニアへの問い合わせも整理されることで、開発チームの生産性向上に貢献しています。設定手順、権限設計、機密管理、運用ルールも整備されています。

「AI開発支援、どっちが本当にお得？無料プラン徹底比較！」今週の人気記事TOP5（2026/02/01）

GitHub Copilot vs Amazon Q。両方の「無料プラン」を徹底比較し、AWS開発でQを選ぶ理由

AWS開発において、GitHub CopilotとAmazon Qの無料プランを比較。Amazon QはAWSリソースとの連携が圧倒的に便利で、IDEから直接S3バケット名やEC2インスタンスIDなどを参照・補完できる。これによりコンテキストスイッチを削減し、開発効率を向上させる。また、AWS公式としてセキュリティベストプラクティスに基づいた提案や、機密情報のハードコーディングチェック機能も無料提供。両サービスとも無料プランがあり、用途に応じて使い分けるのが推奨される。

GitHub ActionsでDockerビルドを高速化する：並列化・キャッシュ・ARMビルドの実践ガイド

ソフトバンク株式会社satto開発チームは、GitHub ActionsとPulumiを用いてDockerビルドを高速化しました。当初SSTに統合されていたビルドを分離し、GitHub Actionsのマトリックス機能で並列化。キャッシュ戦略にはECRを採用し、ARMビルドはQEMUからCodeBuildセルフホストランナーへ移行しました。これにより、デプロイ時間を30分以上から5〜10分に、Dockerビルドをキャッシュヒット時に1分未満に短縮し、CI/CDパイプラインの効率を大幅に向上させました。

PostgreSQLでINSERT偏重のテーブルのチューニング方針まとめ

INSERT偏重テーブルは、UPDATE/DELETEが少なくVACUUMが実行されにくいため、トランザクションIDラップアラウンドによる急激なI/O増加リスクがあります。
対策として、PostgreSQL13以降の autovacuum_vacuum_insert_threshold/scale_factor によるVACUUM頻度向上、または vacuum_freeze_min_age の調整が有効です。
代替策として、cron等で定期的に手動 VACUUM FREEZE を実行し、 vacuum_freeze_table_age/autovacuum_freeze_max_age を増加させる方法もあります。

DynamoDBの仕組みについて簡単な理解

DynamoDBは、サーバーレスで高速なNoSQLデータベース。RDSと異なり、構築時にアプリチームからパーティションキー（必須）とソートキー（任意）、TTL属性名（使用する場合）を聞き取り、指定する必要がある。パーティションキーは単独またはソートキーとの組み合わせで一意性を保証し、それ以外の属性は柔軟に追加・削除可能。インフラ担当者は「箱」となるキー構造の定義に注力し、データ内容は気にしない。

Amazon Inspector v2の検出結果をS3へ出力し、PythonでCWE情報を自動付与する

Amazon Inspector v2の検出結果をS3にCSV形式でエクスポートし、PythonスクリプトでCVE IDを基にNVD APIからCWE情報を自動付与する手法が紹介されています。このプロセスは、複数アカウントの検出結果集約や外部での分析に有用です。レート制限対策やキャッシュ機構も実装されており、脆弱性の種類を効率的に把握・管理できます。