Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PayPayにおける 大規模インフラ運用自動化への取り組み
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
PayPay
November 04, 2022
Technology
1.7k
4
Share
PayPayにおける 大規模インフラ運用自動化への取り組み
Speaker: Tomoki Nishinaka
Presented at: 運用を楽にしよう!AWS Systems Manager 事例祭り
PayPay
November 04, 2022
More Decks by PayPay
See All by PayPay
Building Sustainable Quality Development
paypay
0
230
「共感」で繋ぐプロダクトマネジメント
paypay
1
7.1k
QA Processes Supporting High-Frequency Releases
paypay
0
350
PayPayでのDynamoDB活用事例について
paypay
16
16k
PayPayでのAWS活用事例について
paypay
17
6.7k
TiDB at PayPay : Why we chose & How we operate
paypay
9
7.1k
Other Decks in Technology
See All in Technology
最低限これだけ押さえれ大丈夫_Claude Enterprise/Team企業展開ガバナンス入門
tkikuchi
1
760
「気づいたら仕事が終わっている」バクラクAIエージェント本番運用の裏側 / layerx-bakuraku-aie2026
yuya4
18
9.7k
データ基盤をDataformで整えた話 〜 開発環境を添えて 〜
takapy
0
110
Platform Engineering as a Product: Criteria for Improvement and Multi-Tenant Design
kumorn5s
0
490
Javaコミュニティをもっと楽しむための9箇条
takasyou
0
1.2k
[モダンアプリ勉強会]今更聞けないGit/GitHub入門
tsukuboshi
0
240
JJUG CCC 2026 Spring AI時代の開発こそ標準化を武器に! ― 方式・プロセス・プラットフォームの標準化
s27watanabe
2
710
もりもり新機能を一挙紹介! AgentCoreに入門して、AWS上にAIエージェントを構築しよう
minorun365
PRO
6
750
Terraformモジュールは、なぜ「魔境」化するのか
hayama17
1
180
「嘘をつくテスト」の失敗例から学ぶ 良いテストコード #frontend_phpcon_do
asumikam
0
200
Oracle Cloud Infrastructure IaaS 新機能アップデート 2026/3 - 2026/5
oracle4engineer
PRO
1
180
ポスター発表&デモと総括 / Poster Presentations & Demonstrations and Summary
ks91
PRO
0
190
Featured
See All Featured
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
280
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
350
Designing for Performance
lara
611
70k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
310
The Mindset for Success: Future Career Progression
greggifford
PRO
0
350
YesSQL, Process and Tooling at Scale
rocio
174
15k
Odyssey Design
rkendrick25
PRO
2
680
Crafting Experiences
bethany
1
170
Optimizing for Happiness
mojombo
378
71k
The SEO Collaboration Effect
kristinabergwall1
1
470
Producing Creativity
orderedlist
PRO
348
40k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
170
Transcript
PayPayにおける 大規模インフラ運用自動化への取り組み 運用を楽にしよう!AWS Systems Manager 事例祭り 1
2 名前:Tomoki Nishinaka 所属:PayPay株式会社 Cloud Infrastructure Team 役割:Tech Lead 好きなAWSサービス:
AWS IAM Identity Center(AWS SSO) 自己紹介
3 登録ユーザー 5,100万人到達! PayPayについて ※ 2022年9月時点 当社調べ
4 PayPayのシステム
5 ❏ 脆弱性対応のためのデータ収集及び修正パッチ適用 • 運用台数が数千台規模のため、 ◦ SSHやAnsibleなどで情報収集は困難 ◦ 収集した情報を集中管理をする必要がある ◦
修正パッチを迅速に配信する必要がある ❏ 踏み台サーバの管理 • 入退社があるたびにユーザ・鍵管理が必要 運用する上での課題
6 ❏ Systems Managerの導入の前にやってよかったこと • 全インフラのコード化を実施 ◦ Terraform Moduleを活用し、 ▪
EC2インスタンスのSSM必須化 ▪ 開発者がEC2を作成時に意識しなくても、自動的に SSM AgentやIAM Roleが設定される ▪ レビュー時にうっかり、漏れを防ぐことができる • Tagを全リソースに付与 ◦ 対象のEC2を特定する際、 ▪ Env: Stg, Resource: Kafka Env: Prod, Resource: Kubernetes • などとつけることで、対象を APIで検索しやすくなります。 ◦ これもTerraform Moduleで自動的に入る変数と開発者が設定出来る変数を用意しています。 • IAM Userから AWS IAM Identity Center(AWS SSO)への移行 ◦ IAM Userの管理の煩雑さからの開放 ▪ IAM Userの API KEYの流出リスクの軽減 ▪ ID Providerの連携による、アカウント作成・削除の容易さ SystemsManager導入事例
❏ State Managerによる脆弱性スキャン • SSMが入っているすべてのアカウント、すべての EC2インスタンスを自動で定期的にスキャン 7 導入事例紹介 Systems Manager
State Manager Documents 脆弱性スキャン Target -> instance id:* Cron -> 0 */1 * * *
❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 9 導入事例紹介 Systems Manager State
Manager Documents EDR v1 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response
❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 10 導入事例紹介 Systems Manager State
Manager Documents EDR v2 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response
11 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS
SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center
12 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS
SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center Session Manager を利用することで、 • 開発者/管理者は、SSH鍵の管理が必要なくなった • CloudWatch LogsやCloudTrailなどでAuditが容易
13 ❏ ログインユーザがssm-user固定でAuditやり難いのでは? Session Manager Tips
14 ❏ SSMSessionRunAs を設定することで任意のOSユーザにログインできる Session Manager Tips
15 Systems Manager導入により、 システムのセキュリティを向上できた! システムの運用も効率化できた! まとめ
16 仲間を募集しています 16 採用ページはこちら
18 APPENDIX
paypay
tkikuchi
yuya4
takapy
kumorn5s
takasyou
tsukuboshi
s27watanabe
minorun365
hayama17
asumikam
oracle4engineer
ks91
retrage
kimpetersen
lara
skoyamalab
greggifford
rocio
rkendrick25
bethany
mojombo
kristinabergwall1
orderedlist
tmiket
