Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14
Search
fnifni
August 28, 2019
Technology
0
950
UnConfig - AWS Configの幻想との戦い#secjaws #secjaws14
AWS Config Streamから人為的な変更操作通知を抽出して、利用者情報を付加した内容をSlackに通知する概念実証コードを紹介しています。
fnifni
August 28, 2019
Tweet
Share
More Decks by fnifni
See All by fnifni
生成AIのガバナンスの全体像と現実解
fnifni
2
370
生成AIのガバナンスとこれから
fnifni
0
160
AWS re:Inforce 2024 に コミュニティから登壇してきた話
fnifni
0
45
COM224: How organizations are actually applying AWS security best practices
fnifni
0
60
BsidesTokyo2024_AWSセキュリティの ベストプラクティスに関する 利用実態調査のレポートの紹介
fnifni
0
59
re:Inforce2024-recap_英語力ゴミカスでもフル英語登壇を乗り切る成功メソッド
fnifni
0
120
信頼ルールはGoogle Drive共有の孫の手になるか?
fnifni
0
320
ゼロトラスト導入支援ってどんなことやってるの?
fnifni
0
72
ログの話
fnifni
0
61
Other Decks in Technology
See All in Technology
5年目から始める Vue3 サイト改善 #frontendo
tacck
PRO
3
220
「どこから読む?」コードとカルチャーに最速で馴染むための実践ガイド
zozotech
PRO
0
300
新アイテムをどう使っていくか?みんなであーだこーだ言ってみよう / 20250911-rpi-jam-tokyo
akkiesoft
0
220
これでもう迷わない!Jetpack Composeの書き方実践ガイド
zozotech
PRO
0
340
Language Update: Java
skrb
2
290
Autonomous Database - Dedicated 技術詳細 / adb-d_technical_detail_jp
oracle4engineer
PRO
4
10k
要件定義・デザインフェーズでもAIを活用して、コミュニケーションの密度を高める
kazukihayase
0
110
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
aoto
PRO
1
450
自作JSエンジンに推しプロポーザルを実装したい!
sajikix
1
170
20250910_障害注入から効率的復旧へ_カオスエンジニアリング_生成AIで考えるAWS障害対応.pdf
sh_fk2
3
240
研究開発と製品開発、両利きのロボティクス
youtalk
1
520
会社紹介資料 / Sansan Company Profile
sansan33
PRO
6
380k
Featured
See All Featured
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.4k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
GitHub's CSS Performance
jonrohan
1032
460k
Designing for Performance
lara
610
69k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
GraphQLの誤解/rethinking-graphql
sonatard
72
11k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.9k
Transcript
UnConfig Until XXX turns into gold. At S-JAWS # 14
2019.08.28
͏Μ͜Μ;͙͌ AWS Configͷݬͱͷઓ͍ S-JAWS # 14 ʹͯ 2019.08.24
Who am I !? (͓લ୭Α?) • Hirokazu YoshidaˏCloud Native Inc.
Security Engineer • Community - Security-JAWS • Favorite AWS Service https://www.fnifni.net/
Attention • ຊηογϣϯɺݸਓͷݟղʹجͮ͘ͷͰ͢ • ॴଐ͢ΔاۀɺஂମͷҙݟΛද͢ΔͷͰ ͋Γ·ͤΜ
ͱ͍͏Θ͚Ͱ ຊ
AWS Config ༗ޮʹ͍ͯ͠·͔͢ʁ
࠷ߴͰ͢Ͷ
AWS Config ׆༻͍ͯ͠·͔͢ʁ
What is AWS Config ? • AWSϦιʔεͷΠϯϕϯτϦ/ߏཧͷͨΊͷϑϧϚ ωʔδυαʔϏε • AWSϦιʔεͷߏมߋΛϩΪϯά
• ߏใͷεφοϓγϣοτΛs3อ • ߏมߋͷηΩϡϦςΟੳɺτϥϒϧγϡʔ ςΟϯάɺίϯϓϥΠΞϯε४ڌΛ༰қʹ͢Δ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/
AWS Config Features • Snapshot - ͋Δ࣌ͰͷConfiguration Itemͷू߹(s3อ) - Config
RulesͷఆλΠϛϯάͷҰͭ • History - ϦιʔελΠϓͷू߹ɻઃఆཤྺΛs3όέοτʹอଘ • Stream - Ϧιʔε࡞/มߋ/আʹ͍࡞͞ΕɺSNS௨Մ https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-config-2019/
ߏཧ/ࠪܥͷ ༗ޮʹ͠ͳ͍खͳ͍
ࠓͷςʔϚ
AWS Configʹ๊͘ ͍ݬΛͿͬ͜Θ͢ˑ
ͱ͋Δ͓ ҆ఆͨ͠AWSڥ͕͋ΔͷͰ มߋΛݕ͍ͨ͠ͷͰ͢Α
๊͘ݬ1 StreamΛ௨ͯ͠ ϑΟϧλ͢Ε͍͍
๊͘ݬ2 SnapShotͷDiffΛऔΕ͍͍
What you can learn by doing it • དྷΔͷมߋ௨͚ͩͰͳ͍ -
Config SnapShot/Historyͷऔಘ௨ - Config RulesͷධՁ݁Ռ/NOT_APPLICABLE௨ • ͯ͢ͷมߋ௨͕དྷΔ - AWS͕ߦ͏ૢ࡞มߋͯ͢௨͞ΕΔ
AWS Changes Example • ELBͷεέʔϧin/out/retirementʹΔॾมߋ - NICআ/࡞ɺSecurity GroupͷAttach • ৽ػೳՃʹ͏EC2ͷଐੑՃ
- Capacity ReservationͷՃ • EC2ىಈ࣌ͷManagedInstanceInventory࡞
;͊ͬ ͏Μࠞͬ͜͡ͱΔΜ͚ʂ ͠Όʔͳ͍ɺϑΟϧλ͢Δ͔
an inconvenient fact • ໊݅ͰͷϑΟϧλʹݶք͕͋Δ • มߋใɺϦιʔεຖʹεΩʔϚ͕όϥόϥ - Resources໊ΛऔΔͷҰۤ࿑ •
ͦͦConfigͰऩू͞ΕΔใʹɺ มߋऀͷใهࡌ͞Εͳ͍
ͱ͋Δ͓ʢ࠶ܝʣ ҆ఆͨ͠AWSڥ͕͋ΔͷͰ (ਓҝతͳ)มߋΛݕ͍ͨ͠ ͷͰ͢Α
͋ɺ٧Μͩʁ
͍ͪΐͬͱͯ Config Timeline͕͋ͬͨΖ
Config TimeLine
͜ΕɺͲ͏ͬͯΜͶΜ
Ask an Expert (2 minutes) • Configuration ItemͷtimestampͱResources TypeΛΩʔʹɺCloudTrailΛLookupͯ͠ΔΜ Ͱ͢Α
cloudtrail lookup-events • աڈ90ͷCloudTrailΠϕϯτΛࢀরͰ͖Δ • ࣌ؒൣғͱ୯ҰଐੑͰߜΓࠐΈ AccessKeyId, EventId, EventName, EventSource,
Username, ReadOnly, ResourceName, ResourceType https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/ userguide/view-cloudtrail-events-cli.html
ΑΖ͍͠ ͳΒ࣮ͩ
manual-changes-detector-poc
Output
Link Destination
Use Case • ҆ఆͨ͠ڥͷϢʔβʔʹඥͮ͘มߋૢ࡞ Λݕग़͍ͨ͠ • TerraformCloudFormationͳͲίʔυͰͷ σϓϩΠΛӡ༻ϧʔϧͱ͍ͯ͠ΔڥͰɺͦ ΕҎ֎ͷϢʔβʔʹΑΔมߋΛݕग़͍ͨ͠
GithubͰެ։͍ͯ͠·͢
Attention • ֓೦࣮ূίʔυͰ͢ - ຊ൪ϫʔΫϩʔυͰɺঢ়گʹԠͨ͡վमௐΛ ඞཁͱ͠·͢(MIT LicenseͰ͢ɻ͝ར༻ܭըతʹ) • ݱ࣌ͷ60% -
ਵ࣌ߋ৽͠·͢ͷͰஆ͔͘ݟक͍ͬͯͩ͘͞ • Pull Requestେܴʂ
Summary • Config StreamΛ͑”߹Α͍͍͘ײ͡ʹ” มߋΛ͏͜ͱ͕Ͱ͖Δݬ • “Կ͔͋ͬͨΒ͑·͢"͔ΒҰาલ • ࠔͬͨ࣌ɺExpertʹฉ͘ͷख
Thank You !