Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)

chadain
December 17, 2019

 re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)

re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)

chadain

December 17, 2019
Tweet

More Decks by chadain

Other Decks in Technology

Transcript

  1. 今まで • 1つ1つ手作業 or Policy Simulator でアクセス検証 … • 検証後は、AWS

    Config を作り込んで変更監視 … → なかなか骨の折れる作業 参考)IAM Access Analyzerと既存の機能を比較してどう使っていくか考 察してみた 9
  2. IAM Access Analyzerを使えば • 時間とコストはどれくらいかかる? → 利用料金無料 !! 数秒レベルで設定・解析し検出完了 •

    本当に全経路確認できてる?漏れてない? → 数学的な手法(自動推論)で考えうる全てのアクセ スパスを分析することができ、最高レベルの保証を提供 • これを継続できる? • → 24時間ごとに解析、専用コンソールで一目瞭然 • 新しいリソース追加時はまた一からやり直す • → 追加・変更時は30分以内に解析 11
  3. 13 対象のリソース • Amazon S3 バケット • IAM ロール •

    AWS KMS キー • AWS Lambda 関数とレイヤー • Amazon SQS キュー
  4. Access Analyzer for S3とは IAM Access Analyzer の S3 特化版

    • S3コンソールに専用画面があり、確認しやすい • IAM Access Analyzer有効で自動有効 • CSVレポートがダウンロード可能(他はできない) • もちろん利用料金無料 !! 15
  5. IAM Access Analyzer 続きはブログで 超カンタンで無料でなので、 とりあえず有効にしてみてください! • [速報] AWS IAM

    Access Analyzerがリリースされました! • IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた • re:Invent 2019 IAM Access Analyzerについて調べてみた • IAM Access Analyzer を一発で有効にしてみた • 【速報】新機能!S3 Access Analyzerがリリースされました • 新機能のAccess Analyzer for S3を利用して誤ったS3の公開を止める! 17
  6. S3 Access Points の結論 無料ですぐに作成できます! バケットポリシーに苦労した経験のある方は即試してみ てください。 • [速報]アクセスポリシーを持ったS3のアクセスポイント「Amazon S3

    Access Points」がGAになりました! • [S3 Access Points]S3バケットアクセスをVPC内に制限する • [S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分 ける • S3アクセスポイントのうれしい点を自分なりの理解で解説してみる • [re:Invent 2019] 「S3 Access Point」を自分なりに解釈してみた 28
  7. EC2 Image Builder 特徴 • イメージ作成・テスト・配布を一気通貫で自動化 • 手動実行・スケジューリングも可能 • 複数リージョンに配布可能

    • 別AWSアカウントに配布可能 • GUIでカンタン操作 • VM Import/Exportを併用し、オンプレとも連携可能 • Image Builder利用は無料 (スナップショットは従来通りの料金) 32
  8. ビルドコンポーネント ソフトウェアのインストールや、 OSセキュリティ設定を定義 • AWS管理分が使用可能 • Python 3 • PHP

    7.2, 7.3 • Corretto • STIG 等 • 独自で作成分も使用可能 • 独自アプリケーション • 独自セキュリティ設定 34
  9. レシピ イメージパイプラインに設定する 「 OS + ビルドコンポーネント + テスト」の組み合わせ • OS

    • Amazon Linux 2 • Windows Server 2019/2016/2012 R2 • AMIs • AWS管理分 • 個人作成分 37
  10. EC2 Image Builder 続きはブログで(すでに14本!!!!) • EC2のイメージ作成を劇的に効率化するEC2 Image Builderが発表されました! #reinvent •

    [re:Invent 2019] EC2イメージビルダーをサクッと試してみた #reinvent • EC2 Image Builderで作ったイメージを他アカウントに共有してみた #reinvent • [re:Invent 2019] EC2イメージビルダーを使って複数リージョンにAMIを作成してみた #reinvent • [re:Invent 2019] EC2 Image Builder で S3 からコンテンツをデプロイしてみた #reinvent • [re:Invent 2019] EC2 Image Builder でコンポーネントを作成してみた #reinvent • [re:Invent 2019] EC2 Image Builder で複数コンポーネントを実行してみた #reinvent • [re:Invent 2019] EC2 Image Builder のパイプラインを AWS CLI で実行してみた #reinvent • EC2 Image BuilderでCloudwatch Agent構築したAMIを作成してみた #reinvent • EC2 Image BuilderでWindows ServerのAMIを作成してみた • [re:Invent2019] EC2 Image Builderを使ってPowerShell Coreをインストールしてみた #reinvent • [re:Invent2019] EC2 Image BuilderのWindows STIGコンポーネントを調べてみた #reinvent • [小ネタ] EC2 Image Builder のエラーを追う! #reinvent • [レポート] 簡単にマシンイメージ作成ができる新サービス「EC2 Image Builder」 #reinvent 40
  11. 42 まとめ ü Access Analyzerは、外部アクセス経路検出の救世主 !! ü S3 Access Pointsは、S3複数アクセス管理の救世主

    !! ü EC2 Image Builderは、ゴールデンAMI管理の救世主 !! ü 全て、今すぐ使えます !!
  12. 45