Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14
Search
fnifni
August 28, 2019
Technology
0
950
UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14
AWS Config Streamから人為的な変更操作通知を抽出して、利用者情報を付加した内容をSlackに通知する概念実証コードを紹介しています。
fnifni
August 28, 2019
Tweet
Share
More Decks by fnifni
See All by fnifni
生成AIのガバナンスの全体像と現実解
fnifni
2
370
生成AIのガバナンスとこれから
fnifni
0
160
AWS re:Inforce 2024 に コミュニティから登壇してきた話
fnifni
0
45
COM224: How organizations are actually applying AWS security best practices
fnifni
0
60
BsidesTokyo2024_AWSセキュリティの ベストプラクティスに関する 利用実態調査のレポートの紹介
fnifni
0
59
re:Inforce2024-recap_英語力ゴミカスでもフル英語登壇を乗り切る成功メソッド
fnifni
0
120
信頼ルールはGoogle Drive共有の孫の手になるか?
fnifni
0
320
ゼロトラスト導入支援ってどんなことやってるの?
fnifni
0
73
ログの話
fnifni
0
61
Other Decks in Technology
See All in Technology
【初心者向け】ローカルLLMの色々な動かし方まとめ
aratako
7
3.5k
未経験者・初心者に贈る!40分でわかるAndroidアプリ開発の今と大事なポイント
operando
5
630
生成AI時代のデータ基盤設計〜ペースレイヤリングで実現する高速開発と持続性〜 / Levtech Meetup_Session_2
sansan_randd
1
150
react-callを使ってダイヤログをいろんなとこで再利用しよう!
shinaps
1
240
今!ソフトウェアエンジニアがハードウェアに手を出すには
mackee
12
4.8k
AI時代を生き抜くエンジニアキャリアの築き方 (AI-Native 時代、エンジニアという道は 「最大の挑戦の場」となる) / Building an Engineering Career to Thrive in the Age of AI (In the AI-Native Era, the Path of Engineering Becomes the Ultimate Arena of Challenge)
jeongjaesoon
0
140
Function Body Macros で、SwiftUI の View に Accessibility Identifier を自動付与する/Function Body Macros: Autogenerate accessibility identifiers for SwiftUI Views
miichan
2
180
Rustから学ぶ 非同期処理の仕組み
skanehira
1
140
Android Audio: Beyond Winning On It
atsushieno
0
850
2025年夏 コーディングエージェントを統べる者
nwiizo
0
170
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
yud0uhu
0
230
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1.1k
Featured
See All Featured
Balancing Empowerment & Direction
lara
3
620
Bash Introduction
62gerente
615
210k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
30
9.7k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.9k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
51
5.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
358
30k
Scaling GitHub
holman
463
140k
Rebuilding a faster, lazier Slack
samanthasiow
83
9.2k
Mobile First: as difficult as doing things right
swwweet
224
9.9k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Statistics for Hackers
jakevdp
799
220k
Transcript
UnConfig Until XXX turns into gold. At S-JAWS # 14
2019.08.28
͏Μ͜Μ;͙͌ AWS Configͷݬͱͷઓ͍ S-JAWS # 14 ʹͯ 2019.08.24
Who am I !? (͓લ୭Α?) • Hirokazu YoshidaˏCloud Native Inc.
Security Engineer • Community - Security-JAWS • Favorite AWS Service https://www.fnifni.net/
Attention • ຊηογϣϯɺݸਓͷݟղʹجͮ͘ͷͰ͢ • ॴଐ͢ΔاۀɺஂମͷҙݟΛද͢ΔͷͰ ͋Γ·ͤΜ
ͱ͍͏Θ͚Ͱ ຊ
AWS Config ༗ޮʹ͍ͯ͠·͔͢ʁ
࠷ߴͰ͢Ͷ
AWS Config ׆༻͍ͯ͠·͔͢ʁ
What is AWS Config ? • AWSϦιʔεͷΠϯϕϯτϦ/ߏཧͷͨΊͷϑϧϚ ωʔδυαʔϏε • AWSϦιʔεͷߏมߋΛϩΪϯά
• ߏใͷεφοϓγϣοτΛs3อ • ߏมߋͷηΩϡϦςΟੳɺτϥϒϧγϡʔ ςΟϯάɺίϯϓϥΠΞϯε४ڌΛ༰қʹ͢Δ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/
AWS Config Features • Snapshot - ͋Δ࣌ͰͷConfiguration Itemͷू߹(s3อ) - Config
RulesͷఆλΠϛϯάͷҰͭ • History - ϦιʔελΠϓͷू߹ɻઃఆཤྺΛs3όέοτʹอଘ • Stream - Ϧιʔε࡞/มߋ/আʹ͍࡞͞ΕɺSNS௨Մ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/
ߏཧ/ࠪܥͷ ༗ޮʹ͠ͳ͍खͳ͍
ࠓͷςʔϚ
AWS Configʹ๊͘ ͍ݬΛͿͬ͜Θ͢ˑ
ͱ͋Δ͓ ҆ఆͨ͠AWSڥ͕͋ΔͷͰ มߋΛݕ͍ͨ͠ͷͰ͢Α
๊͘ݬ1 StreamΛ௨ͯ͠ ϑΟϧλ͢Ε͍͍
๊͘ݬ2 SnapShotͷDiffΛऔΕ͍͍
What you can learn by doing it • དྷΔͷมߋ௨͚ͩͰͳ͍ -
Config SnapShot/Historyͷऔಘ௨ - Config RulesͷධՁ݁Ռ/NOT_APPLICABLE௨ • ͯ͢ͷมߋ௨͕དྷΔ - AWS͕ߦ͏ૢ࡞มߋͯ͢௨͞ΕΔ
AWS Changes Example • ELBͷεέʔϧin/out/retirementʹΔॾมߋ - NICআ/࡞ɺSecurity GroupͷAttach • ৽ػೳՃʹ͏EC2ͷଐੑՃ
- Capacity ReservationͷՃ • EC2ىಈ࣌ͷManagedInstanceInventory࡞
;͊ͬ ͏Μࠞͬ͜͡ͱΔΜ͚ʂ ͠Όʔͳ͍ɺϑΟϧλ͢Δ͔
an inconvenient fact • ໊݅ͰͷϑΟϧλʹݶք͕͋Δ • มߋใɺϦιʔεຖʹεΩʔϚ͕όϥόϥ - Resources໊ΛऔΔͷҰۤ࿑ •
ͦͦConfigͰऩू͞ΕΔใʹɺ มߋऀͷใهࡌ͞Εͳ͍
ͱ͋Δ͓ʢ࠶ܝʣ ҆ఆͨ͠AWSڥ͕͋ΔͷͰ (ਓҝతͳ)มߋΛݕ͍ͨ͠ ͷͰ͢Α
͋ɺ٧Μͩʁ
͍ͪΐͬͱͯ Config Timeline͕͋ͬͨΖ
Config TimeLine
͜ΕɺͲ͏ͬͯΜͶΜ
Ask an Expert (2 minutes) • Configuration ItemͷtimestampͱResources TypeΛΩʔʹɺCloudTrailΛLookupͯ͠ΔΜ Ͱ͢Α
cloudtrail lookup-events • աڈ90ͷCloudTrailΠϕϯτΛࢀরͰ͖Δ • ࣌ؒൣғͱ୯ҰଐੑͰߜΓࠐΈ AccessKeyId, EventId, EventName, EventSource,
Username, ReadOnly, ResourceName, ResourceType https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/ userguide/view-cloudtrail-events-cli.html
ΑΖ͍͠ ͳΒ࣮ͩ
manual-changes-detector-poc
Output
Link Destination
Use Case • ҆ఆͨ͠ڥͷϢʔβʔʹඥͮ͘มߋૢ࡞ Λݕग़͍ͨ͠ • TerraformCloudFormationͳͲίʔυͰͷ σϓϩΠΛӡ༻ϧʔϧͱ͍ͯ͠ΔڥͰɺͦ ΕҎ֎ͷϢʔβʔʹΑΔมߋΛݕग़͍ͨ͠
GithubͰެ։͍ͯ͠·͢
Attention • ֓೦࣮ূίʔυͰ͢ - ຊ൪ϫʔΫϩʔυͰɺঢ়گʹԠͨ͡վमௐΛ ඞཁͱ͠·͢(MIT LicenseͰ͢ɻ͝ར༻ܭըతʹ) • ݱ࣌ͷ60% -
ਵ࣌ߋ৽͠·͢ͷͰஆ͔͘ݟक͍ͬͯͩ͘͞ • Pull Requestେܴʂ
Summary • Config StreamΛ͑”߹Α͍͍͘ײ͡ʹ” มߋΛ͏͜ͱ͕Ͱ͖Δݬ • “Կ͔͋ͬͨΒ͑·͢"͔ΒҰาલ • ࠔͬͨ࣌ɺExpertʹฉ͘ͷख
Thank You !
fnifni
.jpg){kind=avatar}
aratako
operando
sansan_randd
shinaps
mackee
jeongjaesoon
miichan
skanehira
atsushieno
nwiizo
yud0uhu
qa
lara
62gerente
eileencodes
addyosmani
maggiecrowley
reverentgeek
bermonpainter
holman
samanthasiow
swwweet
keavy
jakevdp
