Download as PDF, PPTX
![10アクセス制御
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": "arn:aws:ssm:us-east-2:123456123:parameter/prod/*"
}
]
}](https://image.slidesharecdn.com/parameterstore20190226-190226103645/85/Parameter-store-20190226-10-320.jpg)
![12AMI ID(Windows Serverの場合)
{
"InvalidParameters": [],
"Parameters": [
{
"Type": "String",
"Name": "/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-Base",
"Value": "ami-8127f8e7"
}
]
}
$ aws ssm get-parameters ¥
--names /aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-Base](https://image.slidesharecdn.com/parameterstore20190226-190226103645/85/Parameter-store-20190226-12-320.jpg)
Uploaded byNobuhiro Nakayama
Parameter store 20190226
Internal Study Group for AWS in Classmethod, Inc. 2019/2/26 Parameter Store in AWS Systems Manager
Parameter store 20190226
- 1.
- 2.
- 3.
- 4. 4アジェンダ 1. パラメーターストアとは? 2. 使いどころ 3.サポートされているサービス 4. 管理 5. その他
- 5.
- 6.
- 7.
- 8. 8パラメーターストア ◼ 設定値やパスワードを集中的に管理する階層型ストレージ ◼ アクセス制御/暗号化が可能 ◼他のサービスからの参照が容易(後半に詳述) ◼ AMI IDなど、AWSが提供する値もあり ◼ バージョン管理が可能 ◼ ラベリングが可能
- 9. 9階層型ストレージ 名前を階層的に表現 • S3と同じ感じ • 15階層までOK •複数行の文字列もOK • 例 • /prod/web-server/app1/password • /prod/app-server/app1/dbconnectionstring • /stg/web-server/app1/password • /stg/app-server/app1/dbconnectionstring • 名前はどのようにアクセス制御したいかを想定して命名すべし
- 10. 10アクセス制御 { "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Action": [ "ssm:DescribeParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": "arn:aws:ssm:us-east-2:123456123:parameter/prod/*" } ] }
- 11. 11AMI ID AWSが管理するパブリックなパラメータ • 以下のOSの最新AMIのIDを取得可能(たぶん) •Windows Server • https://dev.classmethod.jp/cloud/aws/latest-windows-ami-from-parameter- store/ • Amazon Linux • ECS-Optimized AMI (Amazon Linux) • https://dev.classmethod.jp/cloud/aws/latest-ecs-optimized-ami-id-public- parameter-store/
- 12. 12AMI ID(Windows Serverの場合) { "InvalidParameters":[], "Parameters": [ { "Type": "String", "Name": "/aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-Base", "Value": "ami-8127f8e7" } ] } $ aws ssm get-parameters ¥ --names /aws/service/ami-windows-latest/Windows_Server-2016-Japanese-Full-Base
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23. 23Well Architected ? “設定ファイルに対して環境固有の値を手作業で設定”がYESの 場合 •同じ環境をデプロイするためにどのくらい時間かかりますか? (効率性) • 同じ環境を再現できますか? (信頼性) • デプロイをどのくらいの頻度で実施する必要がありますか? (事業へのインパクト) ここが小さければ、がんばる意義はあまりない
- 24. 24Well Architected ? “設定ファイルにパスワード/認証情報をハードコード” •認証情報が漏洩しないように環境を管理できてますか? →「それ、今すぐOSSにできる?」 (機密性)
- 25.
- 26. 26The Twelve-Factor Appとは? “Softwareas a Serviceを作り上げるための方法論” • セットアップ自動化のために 宣言的な フォーマットを使い、プロ ジェクトに新しく加わった開発者が要する時間とコストを最小化 する。 • 下層のOSへの 依存関係を明確化 し、実行環境間での 移植性を最 大化 する。 • モダンな クラウドプラットフォーム 上への デプロイ に適してお り、サーバー管理やシステム管理を不要なものにする。 • 開発環境と本番環境の 差異を最小限 にし、アジリティを最大化す る 継続的デプロイ を可能にする。 • ツール、アーキテクチャ、開発プラクティスを大幅に変更するこ となく スケールアップ できる。
- 27. 27The Twelve Factors I.コードベース バージョン管理されている1つのコードベースと複数のデプロイ II. 依存関係 依存関係を明示的に宣言し分離する III.設定 設定を環境変数に格納する IV. バックエンドサービス バックエンドサービスをアタッチされたリソースとして扱う V. ビルド、リリース、実行 ビルド、リリース、実行の3つのステージを厳密に分離する VI. プロセス アプリケーションを1つもしくは複数のステートレスなプロセスと して実行する VII.ポートバインディング ポートバインディングを通してサービスを公開する VIII.並行性 プロセスモデルによってスケールアウトする IX. 廃棄容易性 高速な起動とグレースフルシャットダウンで堅牢性を最大化する X. 開発/本番一致 開発、ステージング、本番環境をできるだけ一致させた状態を保つ XI. ログ ログをイベントストリームとして扱う XII.管理プロセス 管理タスクを1回限りのプロセスとして実行する
- 28.
- 29.
- 30. 30パラメーターストア(再掲) ◼ 設定値やパスワードを集中的に管理する階層型ストレージ ◼ アクセス制御/暗号化が可能 ◼他のサービスからの参照が容易(後半に詳述) ◼ AMI IDなど、AWSが提供する値もあり ◼ バージョン管理が可能 ◼ ラベリングが可能
- 31.
- 32.
- 33. 33サポートしているサービス Amazon EC2 Amazon ElasticContainer Service AWS Lambda AWS CloudFormation AWS CodeBuild AWS CodeDeploy Systems Manager(の他の機能)
- 34.
- 35. 35Amazon Elastic ContainerService タスク定義に設定するコマンド内や任意のタイミングで取得 権限はIAM Role(タスクロール)経由で付与 参考情報 Managing Secrets for Amazon ECS Applications Using Parameter Store and IAM Roles for Tasks https://aws.amazon.com/jp/blogs/compute/managing-secrets-for- amazon-ecs-applications-using-parameter-store-and-iam-roles-for- tasks/
- 36. 36Amazon Elastic ContainerService 環境変数としてパラメーターストアを指定可能 権限はIAM Role(タスクロール)経由で付与 参考情報 AWS Launches Secrets Support for Amazon Elastic Container Service https://aws.amazon.com/jp/about-aws/whats-new/2018/11/aws-launches- secrets-support-for-amazon-elastic-container-servic/ AWS Systems Manager パラメータストア パラメータを参照するタスク定 義の作成 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/specifyi ng-sensitive-data.html#secrets-create-taskdefinition New
- 37.
- 38.
- 39. 39AWS CloudFormation(例) MyS3Bucket: Type: 'AWS::S3::Bucket' Properties: AccessControl:'{{resolve:ssm:S3AccessControl:2}}'
- 40. 40AWS CodeBuild BuildSpec.yml内のスクリプトで取得 権限(略 参考情報 Using ParameterStore with AWS CodePipeline https://stelligent.com/2017/03/09/using-parameter-store-with-aws- codepipeline/
- 41. 41AWS CodeDeploy AppSpec.yml内のスクリプトで取得 権(ry 参考情報 Use ParameterStore to Securely Access Secrets and Config Data in AWS CodeDeploy https://aws.amazon.com/jp/blogs/mt/use-parameter-store-to- securely-access-secrets-and-config-data-in-aws-codedeploy/
- 42. 42The Twelve Factors(再掲) I.コードベース バージョン管理されている1つのコードベースと複数のデプロイ II. 依存関係 依存関係を明示的に宣言し分離する III.設定 設定を環境変数に格納する IV. バックエンドサービス バックエンドサービスをアタッチされたリソースとして扱う V. ビルド、リリース、実行 ビルド、リリース、実行の3つのステージを厳密に分離する VI. プロセス アプリケーションを1つもしくは複数のステートレスなプロセスと して実行する VII.ポートバインディング ポートバインディングを通してサービスを公開する VIII.並行性 プロセスモデルによってスケールアウトする IX. 廃棄容易性 高速な起動とグレースフルシャットダウンで堅牢性を最大化する X. 開発/本番一致 開発、ステージング、本番環境をできるだけ一致させた状態を保つ XI. ログ ログをイベントストリームとして扱う XII.管理プロセス 管理タスクを1回限りのプロセスとして実行する
- 43.
- 44.
- 45. 45 AWS KMS KMSによる暗号化が可能(参照には復号の権限が必要) Amazon SNS/ Amazon CloudWatch Events パラメターの変更を通知できる Amazon CloudWatch CloudWatch Agentのウィザードにより生成した設定値を保存 AWS CloudTrail 操作の証跡を取得可能 Systems Managerの全てのAPIコールがロギングの対象
- 46.
- 47. 47Secret Managerとの違いは? Secret Managerは •ローテーションできる • ランダム文字列の生成ができる パラメーターストアはSecret Managerのパススルーサービ スとして機能する • “/aws/reference/secretsmanager”を名前の先頭に付与すると、 SecretManagerを参照する • パラメータストアを利用するようにアプリを作り込んでいる場合 でも、名前を修正すれば移行は比較的容易
- 48.
- 49.
- 50.
- 51.
- 52.