Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)
Search
chadain
December 17, 2019
Technology
0
1.4k
re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)
re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)
chadain
December 17, 2019
Tweet
Share
More Decks by chadain
See All by chadain
AWS Control Towerと HashiCorp Terraformでいい感じにマルチアカウント管理をしよう
chazuke4649
1
1k
Account Factory for Terraform (AFT) 入門
chazuke4649
1
1.6k
minimum-guardrails-by-aws-iam
chazuke4649
1
2k
"Are you Well-Architected?" Introducing about Cloud Optimization Aseesment
chazuke4649
0
1k
How to think about Acsess controll of Amazon S3 simply
chazuke4649
1
1.8k
Other Decks in Technology
See All in Technology
Amazon SageMaker Unified Studio(Preview)、Lakehouse と Amazon S3 Tables
ishikawa_satoru
0
160
サーバレスアプリ開発者向けアップデートをキャッチアップしてきた #AWSreInvent #regrowth_fuk
drumnistnakano
0
200
DevOps視点でAWS re:invent2024の新サービス・アプデを振り返ってみた
oshanqq
0
180
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
110
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
170
re:Invent 2024 Innovation Talks(NET201)で語られた大切なこと
shotashiratori
0
310
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
390
なぜCodeceptJSを選んだか
goataka
0
160
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
550
成果を出しながら成長する、アウトプット駆動のキャッチアップ術 / Output-driven catch-up techniques to grow while producing results
aiandrox
0
350
非機能品質を作り込むための実践アーキテクチャ
knih
5
1.4k
Featured
See All Featured
Making the Leap to Tech Lead
cromwellryan
133
9k
The Cost Of JavaScript in 2023
addyosmani
45
7k
Building Adaptive Systems
keathley
38
2.3k
A Modern Web Designer's Workflow
chriscoyier
693
190k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.6k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
450
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Adopting Sorbet at Scale
ufuk
73
9.1k
Transcript
今すぐ使える!超コアサービス (IAM/S3/EC2 )のアップデート紹介
2 Please Share me !! #cmregrowth
スライドは後で入手することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター音が出ないようにご配慮ください 3
4 自己紹介 茶谷 和弥 (ちゃだいん) クラスメソッド株式会社 AWS事業本部 コンサルティング部 好きなAWSサービス: S3,
CloudFormation 好きなクラフトビール: 箕面ビール W-IPA chazuke4649
本セッションで紹介するアップデート 1. IAM Access Analyzer 2. S3 Access Points 3.
EC2 Image Builder 5
6 IAM Access Analyzer
IAM Access Analyzer とは 外部からアクセスできるリソースを 超カンタンに検出・修正できる素敵なサービス 7
前提 セキュリティリスクで 1番避けたいのが「うっかり外部公開」 とはいえ、自在にスケールするクラウドにおいて、 「意図しない外部からのアクセス経路」がないことを 担保し続けるのって結構大変! 8
今まで • 1つ1つ手作業 or Policy Simulator でアクセス検証 … • 検証後は、AWS
Config を作り込んで変更監視 … → なかなか骨の折れる作業 参考)IAM Access Analyzerと既存の機能を比較してどう使っていくか考 察してみた 9
今までに対する不安や疑問 • 時間とコストはどれくらいかかる? • 本当に全経路確認できてる?漏れてない? • これを継続できる? • 新しいリソース追加時はまた一からやり直し? 10
IAM Access Analyzerを使えば • 時間とコストはどれくらいかかる? → 利用料金無料 !! 数秒レベルで設定・解析し検出完了 •
本当に全経路確認できてる?漏れてない? → 数学的な手法(自動推論)で考えうる全てのアクセ スパスを分析することができ、最高レベルの保証を提供 • これを継続できる? • → 24時間ごとに解析、専用コンソールで一目瞭然 • 新しいリソース追加時はまた一からやり直す • → 追加・変更時は30分以内に解析 11
12 簡単な流れ 1. アナライザーを有効(リージョン単位で必要) 2. 検出結果一覧をレビュー 3. 意図通りはアーカイブ、意図通りでないものは修 正(そのまま同じ画面からできます) AWS
Identity & Access Management アクセス分析 - アマゾン ウェブ サービス
13 対象のリソース • Amazon S3 バケット • IAM ロール •
AWS KMS キー • AWS Lambda 関数とレイヤー • Amazon SQS キュー
14 Access Analyzer for S3
Access Analyzer for S3とは IAM Access Analyzer の S3 特化版
• S3コンソールに専用画面があり、確認しやすい • IAM Access Analyzer有効で自動有効 • CSVレポートがダウンロード可能(他はできない) • もちろん利用料金無料 !! 15
IAM Access Analyzer 試す時間 画面開いてから検出結果表示まで 数秒レベル !!!! 16
IAM Access Analyzer 続きはブログで 超カンタンで無料でなので、 とりあえず有効にしてみてください! • [速報] AWS IAM
Access Analyzerがリリースされました! • IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた • re:Invent 2019 IAM Access Analyzerについて調べてみた • IAM Access Analyzer を一発で有効にしてみた • 【速報】新機能!S3 Access Analyzerがリリースされました • 新機能のAccess Analyzer for S3を利用して誤ったS3の公開を止める! 17
18 S3 Access Points
S3 Access Pointsとは 複数のアクセス元を それぞれ個別でアクセス制御ができる素敵なサービス 19
比較すると 今まで S3 Access Pointsを使用 20
今まで • 複数のアクセスも1つの バケットポリシーで管理 • 細やかな設定を加えると、 それだけjsonが複雑に • アクセス元や条件の追 加・削除時に間違えるリ
スク 21
S3 Access Points を使えば • 複数のアクセス元に対し 複数のアクセスポイント • 個別で設定可能なので、 他への影響はなし
• 追加・削除もしやすい 22
設定できること アクセスタイプ • VPC • Internet ※VPCは別途VPCエンドポイントが必要 23
設定できること ブロックパブリックアク セスを設定可能 アクセスポイントポリシ ーを設定可能 24
S3 Access Points が有効な条件 • 2つ以上のアクセス元がある(1つなら不要) • それぞれ個別でアクセスを制御したい(全て同じで OKなら不要) 25
推奨設定 アクセスポイントを使用する場合、 アクセスポイント経由以外のアクセスをバケットポリシ ーで拒否する →アクセスポイントのみ管理すればOKな状態に S3アクセスポイントのうれしい点を自分な りの理解で解説してみる https://dev.classmethod.jp/cloud/aws/explai n-the-good-point-of-s3-access-points/ 参考のバケットポリシーは
このブログをチェック 26
S3 Access Points 試す時間 画面開いてからアクセスポイント作成まで 数十秒レベル !!! 27
S3 Access Points の結論 無料ですぐに作成できます! バケットポリシーに苦労した経験のある方は即試してみ てください。 • [速報]アクセスポリシーを持ったS3のアクセスポイント「Amazon S3
Access Points」がGAになりました! • [S3 Access Points]S3バケットアクセスをVPC内に制限する • [S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分 ける • S3アクセスポイントのうれしい点を自分なりの理解で解説してみる • [re:Invent 2019] 「S3 Access Point」を自分なりに解釈してみた 28
29 EC2 Image Builder
EC2 Image Builder とは ゴールデンイメージの作成・更新を まるっと自動化できる素敵なサービス 30
今までのゴールデンイメージ管理 • 手動作成だととても時間がかかる作業 … • 自前スクリプトやPackerなど複数のツールを多用 … → これらを解決するのが、Image Builder
!!! 31
EC2 Image Builder 特徴 • イメージ作成・テスト・配布を一気通貫で自動化 • 手動実行・スケジューリングも可能 • 複数リージョンに配布可能
• 別AWSアカウントに配布可能 • GUIでカンタン操作 • VM Import/Exportを併用し、オンプレとも連携可能 • Image Builder利用は無料 (スナップショットは従来通りの料金) 32
33 簡単な流れ 1. 事前準備(カスタムする場合、ビルドコンポーネント,テストの設定) 2. イメージパイプラインの作成 3. イメージパイプラインの実行 4. ゴールデンイメージの配布
EC2 Image Builder
ビルドコンポーネント ソフトウェアのインストールや、 OSセキュリティ設定を定義 • AWS管理分が使用可能 • Python 3 • PHP
7.2, 7.3 • Corretto • STIG 等 • 独自で作成分も使用可能 • 独自アプリケーション • 独自セキュリティ設定 34
ビルドコンポーネント 独自作成の場合、 定義ドキュメント(yaml形式) を作成する 例:Apacheインストール 35
テスト 作成したイメージのテストを定義 • AWS管理分が使用可能 • 起動・再起動テスト • Inspector脆弱性テスト 等 •
独自で作成分も使用可能 • 独自基準テスト • こちらもyamlで記述 36
レシピ イメージパイプラインに設定する 「 OS + ビルドコンポーネント + テスト」の組み合わせ • OS
• Amazon Linux 2 • Windows Server 2019/2016/2012 R2 • AMIs • AWS管理分 • 個人作成分 37
イメージパイプライン 「レシピ + パイプライン設定」の組み合わせ 設定できること • スケジュール(手動/スケジューラー/Cron形式) • インスタンスタイプ •
SNSトピック • VPC/サブネット/SecurityGroup • キーペア • ログ用S3バケット etc 38
E2 Image Builder 試す時間 画面開いてからイメージパイプライン実行開始まで 数分レベル !!! 39
EC2 Image Builder 続きはブログで(すでに14本!!!!) • EC2のイメージ作成を劇的に効率化するEC2 Image Builderが発表されました! #reinvent •
[re:Invent 2019] EC2イメージビルダーをサクッと試してみた #reinvent • EC2 Image Builderで作ったイメージを他アカウントに共有してみた #reinvent • [re:Invent 2019] EC2イメージビルダーを使って複数リージョンにAMIを作成してみた #reinvent • [re:Invent 2019] EC2 Image Builder で S3 からコンテンツをデプロイしてみた #reinvent • [re:Invent 2019] EC2 Image Builder でコンポーネントを作成してみた #reinvent • [re:Invent 2019] EC2 Image Builder で複数コンポーネントを実行してみた #reinvent • [re:Invent 2019] EC2 Image Builder のパイプラインを AWS CLI で実行してみた #reinvent • EC2 Image BuilderでCloudwatch Agent構築したAMIを作成してみた #reinvent • EC2 Image BuilderでWindows ServerのAMIを作成してみた • [re:Invent2019] EC2 Image Builderを使ってPowerShell Coreをインストールしてみた #reinvent • [re:Invent2019] EC2 Image BuilderのWindows STIGコンポーネントを調べてみた #reinvent • [小ネタ] EC2 Image Builder のエラーを追う! #reinvent • [レポート] 簡単にマシンイメージ作成ができる新サービス「EC2 Image Builder」 #reinvent 40
41 まとめ
42 まとめ ü Access Analyzerは、外部アクセス経路検出の救世主 !! ü S3 Access Pointsは、S3複数アクセス管理の救世主
!! ü EC2 Image Builderは、ゴールデンAMI管理の救世主 !! ü 全て、今すぐ使えます !!
まとめ 速攻試して re:Inventなアップデートを 体感ください。 43
44 Thank you !!
45