Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSアンチパターン戦記

Avatar for ARAKI Yasuhiro ARAKI Yasuhiro
July 08, 2024
Technology
13
9.4k

 AWSアンチパターン戦記

「君子危うきに近寄らず」という言葉は、賢明な人は危険を避けるという意味を持ちます。
アンチパターンを知り、それを回避するのは第一歩
準備を怠ると動いてるシステムがアンチパターンとなる。
準備とは、データを集め、テストを繰り返すことから。
新しいことへの果敢なチャレンジをわすれずに。ときには、AWSに過度に依存せず、自走力を身につける
継続的な学習と改善のために外に目をむけよう。

Avatar for ARAKI Yasuhiro

ARAKI Yasuhiro

July 08, 2024
Tweet

More Decks by ARAKI Yasuhiro

See All by ARAKI Yasuhiro
CSPが提供しない、 フレッツ網をつかった閉域接続サービス&データ持ち込みにつかえるサービス 3選
Avatar for ARAKI Yasuhiro armaniacs
1
2.3k
AWS Security and Risk Management Forum 【Closing】公共セッション
Avatar for ARAKI Yasuhiro armaniacs
0
130
AWSのこの10年よもやま
Avatar for ARAKI Yasuhiro armaniacs
0
630
AWSで2022に打破されたアンチパターン(2022.09まで)
Avatar for ARAKI Yasuhiro armaniacs
2
1k
「線をひっこぬけ!」といわれたら
Avatar for ARAKI Yasuhiro armaniacs
2
720
AWS大阪リージョンオープン記念:みんなで大阪リージョンを語る
Avatar for ARAKI Yasuhiro armaniacs
1
2.9k

Other Decks in Technology

See All in Technology
クラウドネイティブ環境の脅威モデリング
Avatar for Kyohei Mizumoto kyohmizu
1
240
AI駆動で進化する開発プロセス ~クラスメソッドでの実践と成功事例~ / aidd-in-classmethod
Avatar for tomoki10 tomoki10
1
760
もう難しくない!誰でもカンタンDocker入門 〜30分であなたのPCにアプリを立ち上げる〜
Avatar for とことんDevOps devops_vtj
0
180
AIでめっちゃ便利になったけど、結局みんなで学ぶよねっていう話
Avatar for KAKEHASHI kakehashi
PRO
1
520
Linuxのパッケージ管理とアップデート基礎知識
Avatar for Go Nishimoto go_nishimoto
1
700
社会人力と研究力ー博士号をキャリアの武器にするー
Avatar for Kentaro Kuribayashi kentaro
2
100
AIコーディングの最前線 〜活用のコツと課題〜
Avatar for PharmaX(旧YOJO Technologies)開発チーム pharma_x_tech
4
2.9k
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
Avatar for みのるん minorun365
PRO
2
550
Perl歴約10年のエンジニアがフルスタックTypeScriptに出会ってみた
Avatar for papix papix
1
250
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
5.4k
【Oracle Cloud ウェビナー】ご希望のクラウドでOracle Databaseを実行〜マルチクラウド・ソリューション徹底解説〜
Avatar for oracle4engineer oracle4engineer
PRO
1
140
意思決定を支える検索体験を目指してやってきたこと
Avatar for Taisuke Hinata hinatades
PRO
0
380

Featured

See All Featured
Embracing the Ebb and Flow
Avatar for Simon Collison colly
85
4.7k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
22
3.4k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
410
BBQ
Avatar for Matthew Crist matthewcrist
88
9.6k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
270
27k
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
76
9.3k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
38
1.7k
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.5k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1030
460k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k

Transcript

  1. AWSアンチパターン 戦記 2024.7 アマゾンウェブサービスジャパン 荒⽊靖宏

  2. Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

  3. $ whoami 荒⽊はAWSのSAです AWSをつかいはじめて17年 ソリューションアーキテクト(SA)13年 AWSアンチパターン研究 12年

  4. 本題のまえに

  5. AWS サポート ⽬的を達成するための専⾨的なガイダンスとアシスタンスを⼊⼿

  6. https://aws.amazon.com/jp/premiumsupport/tech-support-guidelines/

  7. アンチパターンに準備をして挑むべし プラクティスをアウトプットするべし

  8. AWSアンチパターン

  9. AWSアンチパターンのこれまで 発表日 タイトル(一部抜粋) 2022年10月 AWSで2022に打破されたアンチパターン(2022.09まで) 2022年1月 JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介 2018年5月 失敗例を成功に変えるAWSアンチパターン

    2015年6月 失敗例を成功に変える AWSアンチパターンのご紹介 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編

  10. AWSアンチパターンのこれまで 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編 AWSクラウドデザインパターンとは...

    AWSクラウドを使ったシステムアーキテクチャ設計を⾏う 際に発⽣する、典型的な問題とそれに対する解決策‧設計 ⽅法を、分かりやすく分類して、ノウハウとして利⽤でき るように整理したもの

  11. アンチパターン 動作やプロセス、構造につい て、当初は妥当であったの に、最終的に悪い結果が繰り 返される リファクタリングするための ⽅法が存在する

  12. システムを取り巻く環境 利⽤者とその環境 あなたの作ったサービス AWSのサービス群

  13. システム構築時 利⽤者とその環境 あなたの作るサービス AWSのサービス群 XXXみたいなサー ビス作りたいので ベストプラクティ スを教えて! XXXなら、 1.6TBのHDD

    がある c1.xlargeで XXXさん、 DynamoDB活 ⽤されてます XXXさん、 VPNだと帯域 たりないので 専⽤線つかっ てます とあるSA

  14. 動作するシステム 妥当なシステム アンチパターン 環境の変化 リファクタリング システム構築は「妥当点」でリリースされ それははじまりにすぎない

  15. アンチパターンとベストプラクティス 合理的なシステム アンチパターン 環境の変化 リファクタリング ベストプラクティス (1社では) 尋常ならざる努⼒

  16. 環境の変化? 利⽤者とその環境 あなたの作ったサービス AWSのサービス群 変動要因 AWS⾃体の更新と拡張 使いこなし術の進化 ビジネス要件、規制、 技術トレンド

  17. 環境変化には⾃ら対応するべき 利⽤者とその環境 あなたの作ったサービス AWSのサービス群 変動要因 AWS⾃体の更新と拡張 使いこなし術の進化 ビジネス要件、規制、 技術トレンド ⾃⼒をつけ

    る取り組み

  18. ⾃信をもった リファクタリングのために

  19. 外形監視サービス リファクタリング時は外部から⾒た時の挙動は変えない Synthetics RUM Evidently AWS X-Ray アプリケーション動作 の監視やカナリアテ ストの実行に

    エンドユーザの実際 の体験をモニタリング A/Bテストやカナリ アデプロイに使用 分散システムの 問題箇所特定に

  20. モニタリングとログ収集 システムの可視性を⾼めて健全性を維持 インシデントへの迅速な対応を可能に Amazon CloudWatch AWS CloudTrail Amazon EventBridge AWS

    X-Ray AWS Distro for OpenTelemetry Amazon Managed Service for Prometheus

  21. 収集したデータの活⽤ 収集したログデータは、統合→加⼯→分析→可 視化して使⽤する Amazon Athena Amazon QuickSight AWS Lambda Amazon

    Kinesis AWS Glue Amazon SageMaker

  22. インフラをコード化して再現性確保 変更管理の容易化、変更履歴の追跡が容易 AWS CloudFormation AWS Cloud Development Kit (AWS CDK)

  23. リファクタリングのための番外編 AWSに頼らない⾃⾛⼒の確保 OSSやSaaSの利⽤検討 社内知識活⽤のための投資

  24. DevelopersIOでふりかえる AWSアンチパターンを ⽣みそうな発表選 24 多すぎるので新し ⽬のセキュリティ 関連に絞りました

  25. Cloudshell VPC environment ←平⽊佳介さんの今⽉の記事 “今回新規で追加された CloudShell VPC environment によって踏み台 サーバの運⽤に⼤きな変化が起きる

    と思います。 しかし⼿軽にできるのが逆にネック になってしまったり監査証跡が取れ ないなど踏み台サーバとして 100% 代替するのは難しそうですが最⾼の アップデートだと思いました。” https://dev.classmethod.jp/articles/jawsmt-2024-cloudshell-vpc/

  26. Amazon GuardDutyのEC2ランタイム保護 にUbuntuとDebianが追加 ← 臼田佳祐さんの 2024-06-20 の記事 “GuardDutyのEC2 Runtime MonitoringでサポートするOSが

    増えました。やったね。” “新しくUbuntuとDebianがサ ポートされたので試してみま す。” https://dev.classmethod.jp/articles/guardduty-ec2-runtime-support-ubuntu-and-debian/

  27. Amazon GuardDuty Malware Protection for Amazon S3 (2024 re:Inforceで発表) ←

    臼田佳祐さんの 2024-06-11 の記事 “ちなみに、従来S3に対する サーバレスなマルウェアスキャ ンを実行しようとしたら、Trend MicroのCloud One File Strage Security(C1FSS)が代表的な選 択肢でした。” https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

  28. CloudTrail LakeでCloudTrail Insights のイベントが分析できるように ←芦沢 広昭さんの2024.03の記事 “セキュリティガバナンスに関する費 ⽤にあまりコストをかけたくない、む しろゼロに抑えたいという要望も出て くるはずです。これまでの証跡による

    Insights運⽤ではこれが実現できませ んでした。” https://dev.classmethod.jp/articles/cloudtrail-lake-supported-cloudtrail-insights/

  29. Amazon Detectiveの調査機能で、IAMリ ソースの調査が可能に ←鈴⽊純さんの2023.11の記事 “Detective の調査機能で、IAM リソー スについての調査を試してみました。 攻撃者が利⽤した IAM

    リソースを特定 できた時の影響範囲の特定などに活⽤ できそうです。 いざという時のために、この機能が利 ⽤できることを覚えておきたいです ね。” https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam-resource/

  30. Amazon S3の新規バケットのブロックパブ リックアクセスが有効化およびACLが無効化 ←みなみ さんの2023.04の記事 “今回のアップデートでは、APIでバケット作 成する場合に、デフォルトでブロックパブ リックアクセスが有効化、ACLが無効化され るというものです。 実施に、CloudFormationなどIaCでS3バ

    ケットを構築した際に、ブロックパブリック アクセスの有効化、ACLの無効化を忘れた⽅ もいるんじゃないでしょうか? それではスクリプトで利⽤可能な全リージョ ンでS3バケットを作成してみます。” https://dev.classmethod.jp/articles/udpate-default-change-amazon-s3-bpa-acl/

  31. AWS IAM Access Analyzer ←千葉 幸宏(チバユキ)さんの2022.11の記事 2019.12GAのサービスだが “2022年10⽉には他にも IAM Acceess

    Analyzer 関連のアップデートがあり ます。最近頑張ってるなという印象を 感じます。” “どんどん強くなっていく IAM Access Analyser を活⽤して環境のセキュリ ティレベルを上げていきましょい。” https://dev.classmethod.jp/articles/iam-access-analyzer-findings-amazon-sns-topics-5-aws-resource-types-account-access/

  32. CloudFrontからS3への新たなアクセス制御⽅法とし てOrigin Access Control (OAC)が発表されました! ←清⽔俊也さんの2022.08の記事 “CloudFrontからS3へのアクセス制限を⾏う場 合には必須機能であるOAIですが、S3バケット 側でAWS Key

    Management Service (AWS KMS)を使った暗号化、SSE-KMSを使⽤した場 合に使⽤できない(対応していない)という制 限がありました。” “セキュリティ⾯の強化もありますので、新た にCloudFrontからS3へのアクセス制限を⾏う 場合にはOAC (origin Access Control)を使⽤し ていきましょう。” https://dev.classmethod.jp/articles/amazon-cloudfront-origin-access-control/

  33. まとめ

  34. アンチパターンに準備をして挑むべし プラクティスをアウトプットするべし

  35. アンチパターンとベストプラクティス 合理的なシステム アンチパターン 環境の変化 リファクタリング ベストプラクティス (1社では) 尋常ならざる努⼒ みんなでOutputすればより よいものになる

    データを集め、テストを繰 り返せるように準備をすれ ば確実性が増す

  36. Thanks!

  37. None
  38. None
  39. None