20210826 EC2の起動するインスタンスタイプを制御する方法

EC2 の起動するインスタンスタイプを制限する方法 2021/8/26 Thu Masaru Ogura

自己紹介 • 小倉大 (マサル) Facebook : https://www.facebook.com/masaru.ogura.71 Twitter :
@MasaruOgura • 株式会社サーバーワークス • ススキノが生んだエンジニア • 2020/2021 APN ALL AWS Certifications Engineer

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御
• AWS Config ルールで制御

AWS Service Catalog • AWS 製品カタログの作成、管理 • ポートフォリオから AWS サービスを起動
• ポートフォリオに制限をかけることでリスクを最小化 https://aws.amazon.com/jp/servicecatalog/

https://www.slideshare.net/AmazonWebServicesJapan/20180718-aws-black-belt- online-seminar-aws-service-catalog

Service Catalog で制御ポートフォリオの制約を設定する

Service Catalog で制御起動可能なインスタンスタイプを設定する

Service Catalog で制御ポートフォリオから起動するときにインスタンスタイプを制限できる

AWS IAM • AWS 操作をセキュアに行うための認証認可の仕組み • IAM ポリシーは AWS
アクセスに対する権限設定 https://aws.amazon.com/jp/iam/

https://d1.awsstatic.com/webinars/jp/pdf/services/20160921_AWS-BlackBelt-IAM.pdf

IAM ポリシーで制御 IAM ポリシーでインスタンスタイプを制限できる

IAM ポリシーで制御 IAM ポリシーを適用した IAM ユーザーが指定外のインスタンスタイプを起動しようとすると権限不足により作成が失敗します

AWS Config • AWS リソースの設定を評価、変更管理 • 準拠すべきルールを事前に設定し、ルールに沿っているかを評価 https://aws.amazon.com/jp/config/

https://www.slideshare.net/AmazonWebServicesJapan/20190618-aws-black-belt- online-seminar-aws-config

AWS Config ルールで制御 Config ルールの desired-instance-type を追加します

AWS Config ルールで制御パラメータでインスタンスタイプを指定します

AWS Config ルールで制御 Config ルールの修復アクションを設定します

AWS Config ルールで制御 Systems Manager オートメーションで起動した EC2 を削除します

まとめ • EC2 の起動するインスタンスタイプを制御する方法を3つ紹介しました。 • 検証環境などで、意図せず大きなインスタンスタイプを選んで、高額請求が来ないようにすることができます。

参考リンク • AWS Service Catalogで制御された自由を – https://blog.serverworks.co.jp/tech/2020/03/18/servicecatalog/ • Amazon Elastic
Compute Cloud (Amazon EC2) の SCP 例 – https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_man age_policies_scps_examples_ec2.html#example-ec2-1 • 自動修復の設定 (コンソール) – https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation .html#setup-autoremediation

ご清聴ありがとうございました。

20210826 EC2の起動するインスタンスタイプを制御する方法

20210826 EC2の起動するインスタンスタイプを制御する方法

Masaru Ogura

More Decks by Masaru Ogura

Other Decks in Technology

Featured

Transcript

EC2 の起動するインスタンスタイプを制限する方法 2021/8/26 Thu Masaru Ogura

自己紹介 • 小倉大 (マサル) Facebook : https://www.facebook.com/masaru.ogura.71 Twitter :

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御

AWS Service Catalog • AWS 製品カタログの作成、管理 • ポートフォリオから AWS サービスを起動

https://www.slideshare.net/AmazonWebServicesJapan/20180718-aws-black-belt- online-seminar-aws-service-catalog

Service Catalog で制御ポートフォリオの制約を設定する

Service Catalog で制御起動可能なインスタンスタイプを設定する

Service Catalog で制御ポートフォリオから起動するときにインスタンスタイプを制限できる

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御

AWS IAM • AWS 操作をセキュアに行うための認証認可の仕組み • IAM ポリシーは AWS

https://d1.awsstatic.com/webinars/jp/pdf/services/20160921_AWS-BlackBelt-IAM.pdf

IAM ポリシーで制御 IAM ポリシーでインスタンスタイプを制限できる

IAM ポリシーで制御 IAM ポリシーを適用した IAM ユーザーが指定外のインスタンスタイプを起動しようとすると権限不足により作成が失敗します

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御

AWS Config • AWS リソースの設定を評価、変更管理 • 準拠すべきルールを事前に設定し、ルールに沿っているかを評価 https://aws.amazon.com/jp/config/

https://www.slideshare.net/AmazonWebServicesJapan/20190618-aws-black-belt- online-seminar-aws-config

AWS Config ルールで制御 Config ルールの desired-instance-type を追加します

AWS Config ルールで制御パラメータでインスタンスタイプを指定します

AWS Config ルールで制御 Config ルールの修復アクションを設定します

AWS Config ルールで制御 Systems Manager オートメーションで起動した EC2 を削除します

まとめ • EC2 の起動するインスタンスタイプを制御する方法を3つ紹介しました。 • 検証環境などで、意図せず大きなインスタンスタイプを選んで、高額請求が来ないようにすることができます。

参考リンク • AWS Service Catalogで制御された自由を – https://blog.serverworks.co.jp/tech/2020/03/18/servicecatalog/ • Amazon Elastic

ご清聴ありがとうございました。