Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PayPayにおける 大規模インフラ運用自動化への取り組み

Avatar for PayPay PayPay
November 04, 2022
Technology
4
1.7k

PayPayにおける 大規模インフラ運用自動化への取り組み

Speaker: Tomoki Nishinaka
Presented at: 運用を楽にしよう!AWS Systems Manager 事例祭り

Avatar for PayPay

PayPay

November 04, 2022
Tweet

More Decks by PayPay

See All by PayPay
Building Sustainable Quality Development
Avatar for PayPay paypay
0
200
「共感」で繋ぐプロダクトマネジメント
Avatar for PayPay paypay
0
6.9k
QA Processes Supporting High-Frequency Releases
Avatar for PayPay paypay
0
300
PayPayでのDynamoDB活用事例について
Avatar for PayPay paypay
16
16k
PayPayでのAWS活用事例について
Avatar for PayPay paypay
17
6.6k
TiDB at PayPay : Why we chose & How we operate
Avatar for PayPay paypay
9
7.1k

Other Decks in Technology

See All in Technology
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
Avatar for SMS tech sms_tech
3
900
S3はフラットである –AWS公式SDKにも存在した、 署名付きURLにおけるパストラバーサル脆弱性– / JAWS DAYS 2026
Avatar for GMO Flatt Security flatt_security
0
1.8k
【Oracle Cloud ウェビナー】【入門編】はじめてのOracle AI Data Platform - AIのためのデータ準備&自社用AIエージェントをワンストップで実現
Avatar for oracle4engineer oracle4engineer
PRO
1
170
GCASアップデート(202601-202603)
Avatar for 高橋広和 techniczna
0
220
[JAWSDAYS2026]Who is responsible for IAM
Avatar for Mizuki TSUJI mizukibbb
0
880
Agent ServerはWeb Serverではない。ADKで考えるAgentOps
Avatar for 為藤アキラ akiratameto
0
120
アーキテクチャモダナイゼーションを実現する組織
Avatar for SatohJohn satohjohn
1
1.1k
コンテキスト・ハーネスエンジニアリングの現在
Avatar for Hirosato Gamo hirosatogamo
PRO
4
490
夢の無限スパゲッティ製造機 #phperkaigi
Avatar for hideki kinjyo o0h
PRO
0
150
Zeal of the Convert: Taming Shai-Hulud with AI
Avatar for Rami McCarthy ramimac
0
150
スケールアップ企業でQA組織が機能し続けるための組織設計と仕組み〜ボトムアップとトップダウンを両輪としたアプローチ〜

Avatar for tarappo tarappo
1
170
TypeScript 7.0の現在地と備え方
Avatar for uhyo uhyo
7
1.8k

Featured

See All Featured
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
180
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
850
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
110k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
380
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
550
What the history of the web can teach us about the future of AI
Avatar for Ines Montani inesmontani
PRO
1
480
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.9k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
1
3.5k
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
200
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
64
53k

Transcript

  1. PayPayにおける 大規模インフラ運用自動化への取り組み 運用を楽にしよう!AWS Systems Manager 事例祭り 1

  2. 2 名前:Tomoki Nishinaka 所属:PayPay株式会社 Cloud Infrastructure Team 役割:Tech Lead 好きなAWSサービス:

    AWS IAM Identity Center(AWS SSO) 自己紹介

  3. 3 登録ユーザー 5,100万人到達!
 PayPayについて ※ 2022年9月時点 当社調べ


  4. 4 PayPayのシステム

  5. 5 ❏ 脆弱性対応のためのデータ収集及び修正パッチ適用 • 運用台数が数千台規模のため、 ◦ SSHやAnsibleなどで情報収集は困難 ◦ 収集した情報を集中管理をする必要がある ◦

    修正パッチを迅速に配信する必要がある ❏ 踏み台サーバの管理 • 入退社があるたびにユーザ・鍵管理が必要 運用する上での課題

  6. 6 ❏ Systems Managerの導入の前にやってよかったこと • 全インフラのコード化を実施 ◦ Terraform Moduleを活用し、 ▪

    EC2インスタンスのSSM必須化 ▪ 開発者がEC2を作成時に意識しなくても、自動的に SSM AgentやIAM Roleが設定される ▪ レビュー時にうっかり、漏れを防ぐことができる • Tagを全リソースに付与 ◦ 対象のEC2を特定する際、 ▪ Env: Stg, Resource: Kafka Env: Prod, Resource: Kubernetes • などとつけることで、対象を APIで検索しやすくなります。 ◦ これもTerraform Moduleで自動的に入る変数と開発者が設定出来る変数を用意しています。 • IAM Userから AWS IAM Identity Center(AWS SSO)への移行 ◦ IAM Userの管理の煩雑さからの開放 ▪ IAM Userの API KEYの流出リスクの軽減 ▪ ID Providerの連携による、アカウント作成・削除の容易さ SystemsManager導入事例

  7. ❏ State Managerによる脆弱性スキャン • SSMが入っているすべてのアカウント、すべての EC2インスタンスを自動で定期的にスキャン 7 導入事例紹介 Systems Manager

    State Manager Documents 脆弱性スキャン Target -> instance id:* Cron -> 0 */1 * * *

  8. ❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 9 導入事例紹介 Systems Manager State

    Manager Documents  EDR v1 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response

  9. ❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 10 導入事例紹介 Systems Manager State

    Manager Documents  EDR v2 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response

  10. 11 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS

    SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの  Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center

  11. 12 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS

    SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの  Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center Session Manager を利用することで、 • 開発者/管理者は、SSH鍵の管理が必要なくなった • CloudWatch LogsやCloudTrailなどでAuditが容易

  12. 13 ❏ ログインユーザがssm-user固定でAuditやり難いのでは? Session Manager Tips

  13. 14 ❏ SSMSessionRunAs を設定することで任意のOSユーザにログインできる Session Manager Tips

  14. 15  Systems Manager導入により、 システムのセキュリティを向上できた! システムの運用も効率化できた! まとめ

  15. 16 仲間を募集しています 16 採用ページはこちら

  16. 18 APPENDIX