re:Inventで発表された新サービス「Config Rules」の可能性
-
Upload
morisshi -
Category
Technology
-
view
1.286 -
download
0
Transcript of re:Inventで発表された新サービス「Config Rules」の可能性
![Page 1: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/1.jpg)
re:Invent で発表された新サービス「 Config Rules 」の可能性
re:Growth 2015 TOKYOAWS re:Invent 復習 SP
classmethod.jp 1
2015 年 10 月 13 日 @SAP ジャパン 森永大志
#cmdevio
![Page 2: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/2.jpg)
自己紹介• 森永 大志(もりなが たいし)• AWS コンサル部所属• AWS では地味なサービスが好きです( Config,CloudTrail,IAM などなど)• 酒(特に焼酎)、ゲームが好きです• よろしくお願いします
classmethod.jp 2
![Page 3: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/3.jpg)
re:Invent たのしゅうございました
classmethod.jp 3
![Page 4: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/4.jpg)
AWS Config 使ってますか?
classmethod.jp 4
![Page 5: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/5.jpg)
Config ってそもそも何?って方
classmethod.jp 5
• AWS のリソースの設定値を記録• 変更の履歴も記録• タイムラインで設定変更の経緯を見れちゃ
う• 変更時に SNS を使って通知
![Page 6: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/6.jpg)
classmethod.jp 6
Security geeks should LOVE it!AWS の中の人いわく、
なサービス
![Page 7: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/7.jpg)
全部の AWS リソースには対応してません
現在( 15/10/13 )対応しているリソースは以下
classmethod.jp 7
ResourceType ResourceAmazon EC2 EC2 インスタンス
EIP ( VPC のみ)EC2 セキュリティグループEC2 Network Interface
Amazon EBS EBS ボリューム
Amazon VPC カスタマーゲートウェイインターネットゲートウェイネットワーク ACLルートテーブルサブネットVPCVPN ゲートウェイVPN 接続
AWS CloudTrail CloudTrail
![Page 8: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/8.jpg)
今後対応するらしいリソース• Identity and Access Management(IAM)• IAM ユーザ
• IAM グループ
• IAM ロール
• IAM ポリシー
• Amazon EC2• EC2 Dedicated Hosts
classmethod.jp 8
New!
New!
![Page 9: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/9.jpg)
今までの AWS Config設定ミスで不具合発生した場合、
設定値を確認!(人力)設定ミスを発見!(人力)設定を修正!(人力)設定が正しいか確認!(人力)
という手順が必要でした。。。
classmethod.jp 9
旧 AWS Config
![Page 10: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/10.jpg)
AWS Config Rules Debut!設定値が「ルール」に則っているかチェックできるようになった!!
classmethod.jp 10
![Page 11: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/11.jpg)
Config Rules 発表時の様子
classmethod.jp 11
![Page 12: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/12.jpg)
これからの AWS Config設定ミスで不具合発生した場合、
設定値を確認!(自動)設定ミスを発見!(自動)設定を修正!(自動 or 手動)設定が正しいか確認!(不要 or 手動)
となります!
classmethod.jp 12
新 AWS Config
![Page 13: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/13.jpg)
ユースケース
AWS Config Rules でやりたいこと
classmethod.jp 13
![Page 14: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/14.jpg)
ケース1:タグ付けの徹底• 請求を別にしたいからシステム名つけて!• 責任者を明確にするために責任者名つけ
て!• バッチの対象インスタンスを見分けるよ!などなど、タグ付けの要望は多いです。
が、インスタンス作成時にタグ付け忘れはあるあるですよね?
classmethod.jp 14
![Page 15: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/15.jpg)
ケース1:タグ付けの徹底それ、 Config Rules で解決できます。
「特定のキーのタグが付いているか」チェックするマネージドルールがあるんです。
classmethod.jp 15
![Page 16: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/16.jpg)
ケース2:セキュリティグループの確認
SG で SSH を設定すると 0.0.0.0/0 になります
皆さんの中にはいないと思いますが、そのままにしている人結構多いらしいです。。。
自分以外の人が設定してたら気づきますか?
classmethod.jp 16
![Page 17: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/17.jpg)
ケース2:セキュリティグループの確認
それ、 Config Rules で解決できます。
「特定のポートが解放されていないか」チェックするマネージドルールがあるんです。
classmethod.jp 17
![Page 18: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/18.jpg)
ケース3: Lambda 使っちゃうConfig Rules だけだと、「これルール違反してまっせ。」までしか分かりません。
が、後ろに Lambda を使えるのです。ということは…
classmethod.jp 18
![Page 19: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/19.jpg)
ケース3: Lambda 使っちゃうConfig Rules 「ルール変更検知しました!」Lambda 「違反はっけーん!」Config Rules 「ルール違反あり!」Lambda 「ルール違反リソース直します!」Config Rules 「ルール違反なし!」
が自動化できるようになるはず!Preview 通ったら試します。
classmethod.jp 19
![Page 20: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/20.jpg)
要するにAWS のガイドラインをドキュメントでなく、コードで定義できちゃう、というなんともクラウドっぽい機能なのです!
使ってみたくなりました?
classmethod.jp 20
![Page 21: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/21.jpg)
最後に
お約束
classmethod.jp 21
![Page 22: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/22.jpg)
来年は一緒に re:Invent 行きましょう!
classmethod.jp 22
![Page 23: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/23.jpg)
classmethod.jp 23
SAP オフィス
サイコーーーー!!
#cmdevio
![Page 24: re:Inventで発表された新サービス「Config Rules」の可能性](https://reader033.fdocuments.net/reader033/viewer/2022061307/587743f81a28ab342e8b76c9/html5/thumbnails/24.jpg)