Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PayPayにおける 大規模インフラ運用自動化への取り組み
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
PayPay
November 04, 2022
Technology
1.7k
4
Share
PayPayにおける 大規模インフラ運用自動化への取り組み
Speaker: Tomoki Nishinaka
Presented at: 運用を楽にしよう!AWS Systems Manager 事例祭り
PayPay
November 04, 2022
More Decks by PayPay
See All by PayPay
Building Sustainable Quality Development
paypay
0
220
「共感」で繋ぐプロダクトマネジメント
paypay
1
7k
QA Processes Supporting High-Frequency Releases
paypay
0
340
PayPayでのDynamoDB活用事例について
paypay
16
16k
PayPayでのAWS活用事例について
paypay
17
6.7k
TiDB at PayPay : Why we chose & How we operate
paypay
9
7.1k
Other Decks in Technology
See All in Technology
Gaussian Splattingの表現力を拡張する — 高周波再構成とインタラクションへのアプローチ —
gpuunite_official
0
190
Oracle Cloud Infrastructure presents managed, serverless MCP Servers for Oracle AI Database
thatjeffsmith
1
370
論文紹介:Pixal3D (SIGGRAPH 2026)
tenten0727
0
320
写真で見るAWS Summit Singapore 2026
k_adachi_01
0
120
全社統制を維持しながら現場負担をどう減らすか〜プラットフォームチームとセキュリティチームで進めたSecurity Hub活用によるAWS統制の見直し〜/secjaws-security-hub-custom-insights
mhrtech
1
560
クラウドからエッジまで ~ 1,700台を支える監視設計~
optfit
0
110
AI 時代の Platform Engineering
recruitengineers
PRO
1
220
障害対応のRunbookは作った、でも本当に動くの? AWS FIS で EKS の AZ 障害を再現してみた
tk3fftk
0
110
Gaussian Splattingの実用化 - 映像制作への展開
gpuunite_official
0
200
RedmineをAIで効率的に使う検証
yoshiokacb
0
140
SLI/SLO、「完全に理解した」から「チョットデキル」へ
maruloop
5
570
Terragrunt x Snowflake + dbt で作るマルチテナントなデータ基盤構築プラットフォーム
gak_t12
0
450
Featured
See All Featured
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
300
RailsConf 2023
tenderlove
30
1.4k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Darren the Foodie - Storyboard
khoart
PRO
3
3.3k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
930
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
10k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
twada
PRO
118
110k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
We Have a Design System, Now What?
morganepeng
55
8.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
150
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Transcript
PayPayにおける 大規模インフラ運用自動化への取り組み 運用を楽にしよう!AWS Systems Manager 事例祭り 1
2 名前:Tomoki Nishinaka 所属:PayPay株式会社 Cloud Infrastructure Team 役割:Tech Lead 好きなAWSサービス:
AWS IAM Identity Center(AWS SSO) 自己紹介
3 登録ユーザー 5,100万人到達! PayPayについて ※ 2022年9月時点 当社調べ
4 PayPayのシステム
5 ❏ 脆弱性対応のためのデータ収集及び修正パッチ適用 • 運用台数が数千台規模のため、 ◦ SSHやAnsibleなどで情報収集は困難 ◦ 収集した情報を集中管理をする必要がある ◦
修正パッチを迅速に配信する必要がある ❏ 踏み台サーバの管理 • 入退社があるたびにユーザ・鍵管理が必要 運用する上での課題
6 ❏ Systems Managerの導入の前にやってよかったこと • 全インフラのコード化を実施 ◦ Terraform Moduleを活用し、 ▪
EC2インスタンスのSSM必須化 ▪ 開発者がEC2を作成時に意識しなくても、自動的に SSM AgentやIAM Roleが設定される ▪ レビュー時にうっかり、漏れを防ぐことができる • Tagを全リソースに付与 ◦ 対象のEC2を特定する際、 ▪ Env: Stg, Resource: Kafka Env: Prod, Resource: Kubernetes • などとつけることで、対象を APIで検索しやすくなります。 ◦ これもTerraform Moduleで自動的に入る変数と開発者が設定出来る変数を用意しています。 • IAM Userから AWS IAM Identity Center(AWS SSO)への移行 ◦ IAM Userの管理の煩雑さからの開放 ▪ IAM Userの API KEYの流出リスクの軽減 ▪ ID Providerの連携による、アカウント作成・削除の容易さ SystemsManager導入事例
❏ State Managerによる脆弱性スキャン • SSMが入っているすべてのアカウント、すべての EC2インスタンスを自動で定期的にスキャン 7 導入事例紹介 Systems Manager
State Manager Documents 脆弱性スキャン Target -> instance id:* Cron -> 0 */1 * * *
❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 9 導入事例紹介 Systems Manager State
Manager Documents EDR v1 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response
❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 10 導入事例紹介 Systems Manager State
Manager Documents EDR v2 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response
11 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS
SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center
12 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS
SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center Session Manager を利用することで、 • 開発者/管理者は、SSH鍵の管理が必要なくなった • CloudWatch LogsやCloudTrailなどでAuditが容易
13 ❏ ログインユーザがssm-user固定でAuditやり難いのでは? Session Manager Tips
14 ❏ SSMSessionRunAs を設定することで任意のOSユーザにログインできる Session Manager Tips
15 Systems Manager導入により、 システムのセキュリティを向上できた! システムの運用も効率化できた! まとめ
16 仲間を募集しています 16 採用ページはこちら
18 APPENDIX
SiteGround - Reliable hosting with speed, security, and support you can count on.
paypay
gpuunite_official
thatjeffsmith
tenten0727
k_adachi_01
mhrtech
optfit
recruitengineers
tk3fftk
yoshiokacb
maruloop
gak_t12
skoyamalab
tenderlove
cassininazir
khoart
soysaucechin
aleyda
twada
katarinadahlin
morganepeng
smashingmag
kimpetersen
jeffersonlam
