Upload
morisshi
View
1.286
Download
0
Embed Size (px)
Citation preview
re:Invent で発表された新サービス「 Config Rules 」の可能性
re:Growth 2015 TOKYOAWS re:Invent 復習 SP
classmethod.jp 1
2015 年 10 月 13 日 @SAP ジャパン 森永大志
#cmdevio
自己紹介• 森永 大志(もりなが たいし)• AWS コンサル部所属• AWS では地味なサービスが好きです( Config,CloudTrail,IAM などなど)• 酒(特に焼酎)、ゲームが好きです• よろしくお願いします
classmethod.jp 2
re:Invent たのしゅうございました
classmethod.jp 3
AWS Config 使ってますか?
classmethod.jp 4
Config ってそもそも何?って方
classmethod.jp 5
• AWS のリソースの設定値を記録• 変更の履歴も記録• タイムラインで設定変更の経緯を見れちゃ
う• 変更時に SNS を使って通知
classmethod.jp 6
Security geeks should LOVE it!AWS の中の人いわく、
なサービス
全部の AWS リソースには対応してません
現在( 15/10/13 )対応しているリソースは以下
classmethod.jp 7
ResourceType ResourceAmazon EC2 EC2 インスタンス
EIP ( VPC のみ)EC2 セキュリティグループEC2 Network Interface
Amazon EBS EBS ボリューム
Amazon VPC カスタマーゲートウェイインターネットゲートウェイネットワーク ACLルートテーブルサブネットVPCVPN ゲートウェイVPN 接続
AWS CloudTrail CloudTrail
今後対応するらしいリソース• Identity and Access Management(IAM)• IAM ユーザ
• IAM グループ
• IAM ロール
• IAM ポリシー
• Amazon EC2• EC2 Dedicated Hosts
classmethod.jp 8
New!
New!
今までの AWS Config設定ミスで不具合発生した場合、
設定値を確認!(人力)設定ミスを発見!(人力)設定を修正!(人力)設定が正しいか確認!(人力)
という手順が必要でした。。。
classmethod.jp 9
旧 AWS Config
AWS Config Rules Debut!設定値が「ルール」に則っているかチェックできるようになった!!
classmethod.jp 10
Config Rules 発表時の様子
classmethod.jp 11
これからの AWS Config設定ミスで不具合発生した場合、
設定値を確認!(自動)設定ミスを発見!(自動)設定を修正!(自動 or 手動)設定が正しいか確認!(不要 or 手動)
となります!
classmethod.jp 12
新 AWS Config
ユースケース
AWS Config Rules でやりたいこと
classmethod.jp 13
ケース1:タグ付けの徹底• 請求を別にしたいからシステム名つけて!• 責任者を明確にするために責任者名つけ
て!• バッチの対象インスタンスを見分けるよ!などなど、タグ付けの要望は多いです。
が、インスタンス作成時にタグ付け忘れはあるあるですよね?
classmethod.jp 14
ケース1:タグ付けの徹底それ、 Config Rules で解決できます。
「特定のキーのタグが付いているか」チェックするマネージドルールがあるんです。
classmethod.jp 15
ケース2:セキュリティグループの確認
SG で SSH を設定すると 0.0.0.0/0 になります
皆さんの中にはいないと思いますが、そのままにしている人結構多いらしいです。。。
自分以外の人が設定してたら気づきますか?
classmethod.jp 16
ケース2:セキュリティグループの確認
それ、 Config Rules で解決できます。
「特定のポートが解放されていないか」チェックするマネージドルールがあるんです。
classmethod.jp 17
ケース3: Lambda 使っちゃうConfig Rules だけだと、「これルール違反してまっせ。」までしか分かりません。
が、後ろに Lambda を使えるのです。ということは…
classmethod.jp 18
ケース3: Lambda 使っちゃうConfig Rules 「ルール変更検知しました!」Lambda 「違反はっけーん!」Config Rules 「ルール違反あり!」Lambda 「ルール違反リソース直します!」Config Rules 「ルール違反なし!」
が自動化できるようになるはず!Preview 通ったら試します。
classmethod.jp 19
要するにAWS のガイドラインをドキュメントでなく、コードで定義できちゃう、というなんともクラウドっぽい機能なのです!
使ってみたくなりました?
classmethod.jp 20
最後に
お約束
classmethod.jp 21
来年は一緒に re:Invent 行きましょう!
classmethod.jp 22
classmethod.jp 23
SAP オフィス
サイコーーーー!!
#cmdevio