Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Cloud  Automator
構成レビュー機能を
⽀支える技術  
株式会社サーバーワークス	
  
柳柳瀬  任章
⾃自⼰己紹介
@oko_̲chang
http://facebook.com/yanase.hideaki
http://okochang.hatenablog.jp
NARUTO  -‐‑‒  ナルト  -‐‑‒
柳柳瀬  任章(やなせ  ひ...
Cloud  Automator  とは
AWSの運⽤用を
⾃自動化!
これまでの
AWSオペレーション
AWS運⽤用担当者が
⼿手動で対応
新しい
AWSオペレーション
APIによるコントロール
Cloud  Automator(クラウドオー...
Cloud  Automatorの機能
• ジョブの⾃自動化
• 構成レビュー⾃自動化
Cloud  Automatorの機能
• ジョブの⾃自動化
• 構成レビュー⾃自動化
アジェンダ
• 構成レビュー機能とは
• 構成レビュー機能の仕組み
構成レビュー⾃自動化とは
構成レビュー⾃自動化
お客さまのAWSリソースが決められたガイドライン
に沿って構成されているか継続的にレビューします。
これによってAWSの環境が当初計画された通りに運
⽤用されているかすぐに把握出来るようになります。
たとえば・・・
たとえば・・・
たとえば・・・
チェックリスト不不要!
Cloud  Automatorがレビューします
構成レビュー機能の仕組み
キーとなる  AWS  サービス
• AWS  Config  Rules
• AWS  Lambda
• AWS  IAM  Role
• Amazon  S3
• Amazon  SNS
• AWS  CloudWatch
★
★
★
AWS  Config  Rules
AWS  Config  Rules  は  IT  管理理者が  AWS  のリソー
スのプロビジョニングおよび設定のガイドラインを
定義し、ガイドラインとのコンプライアンスを継続
的に監視することを可能にす...
AWS  Config  Rules
• Managed  Rules
• AWSが事前に⽤用意しているBlueprint
• https://github.com/awslabs/aws-‐‑‒config-‐‑‒rules
• Custom  ...
AWS  Lambda
AWS  Lambda  は、コードを  AWS  Lambda  にアッ
プロードすると、サービスが  AWS  インフラストラ
クチャを使⽤用してコードの実⾏行行を代⾏行行するコン
ピューティングサービスです。コード...
AWS  IAM  Role
IAM  ロールは、AWS  のサービスをリクエストする
ための⼀一連のアクセス許可を定義する  IAM  エンティ
ティです。IAM  ロールは特定のユーザーまたはグ
ループに関連付けられません。代わりに、信頼さ...
構成レビュー機能のシステム構成
同⼀一アカウントでのシステム構成
同⼀一アカウントにした場合の特徴
• メリット
• 構成がシンプルで分かりやすい
• デメリット
• 複数のAWSアカウントをレビューする場合、すべての
AWSアカウントにLambda関数を⽤用意しないといけない
クロスアカウントでのシステム構成
クロスアカウント構成で必要となる権限
実⾏行行出来る権限
評価結果を送信出来る権限
EC2を参照出来る権限
クロスアカウント構成で必要となる権限
• Lambda関数にアクセス許可  (AddPermission)
• Config  RulesがLambda関数を起動出来る権限
• サードパーティを許可するIAMロール
• Lambad関数がEC2を...
クロスアカウント時のシステム構成
サードパーティを許可
アクセス許可
クロスアカウントにした場合の特徴
• メリット
• 複数のAWSアカウントを評価する場合でも、Lambda関
数を⼀一元管理理出来る
• 複数のAWSアカウントを評価する場合でも、ログを⼀一元
管理理出来る
• デメリット
• 同⼀一アカウント...
Cloud  Automator独⾃自で必要としているもの
Cloud  Automator独⾃自で必要としているもの
• S3
• 利利⽤用者が指定したオプションの受け渡し
• Config  RulesのInput  ParameterにはJSON形式で256
⽂文字以内という上限がある
• Inpu...
必要な要素のセットアップ
必要な要素のセットアップ
• ユーザー環境
• AWS  Config  Rulesを作成
• AWSリソースの参照とConfig  Rulesに評価結果を通知出
来るようにIAMロールを作成
• Cloud  Automator側
• ユーザーの...
構成レビュー機能のシステム構成
まとめ
まとめ
Cloud  Automatorの構成レビュー機能は⼀一⾒見見複雑な
ようですが、AWS  Config  Rulesを使い、複数アカ
ウントで利利⽤用する場合の基本構成に近いです。
覚えれない場合はCloud  Automatorを使っ...
Upcoming SlideShare
Loading in …5
×

Cloud Automator構成レビューを支える技術

627 views

Published on

AWS Config Rulesを使ったCloud Automatorのバックエンド構成について解説した資料です

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Cloud Automator構成レビューを支える技術

  1. 1. Cloud  Automator 構成レビュー機能を ⽀支える技術   株式会社サーバーワークス   柳柳瀬  任章
  2. 2. ⾃自⼰己紹介 @oko_̲chang http://facebook.com/yanase.hideaki http://okochang.hatenablog.jp NARUTO  -‐‑‒  ナルト  -‐‑‒ 柳柳瀬  任章(やなせ  ひであき)/  Cloud  Automator
  3. 3. Cloud  Automator  とは AWSの運⽤用を ⾃自動化! これまでの AWSオペレーション AWS運⽤用担当者が ⼿手動で対応 新しい AWSオペレーション APIによるコントロール Cloud  Automator(クラウドオートメーター)とは、バックアップや災害対策、 AWS費⽤用の節約といった「ジョブ」と、AWSがポリシー通りに運⽤用されているこ とを確認する「構成レビュー」という2つのAWS運⽤用を⾃自動化し、AWSの 利利⽤用メリットを最⼤大限に引き出すためのサービスです。
  4. 4. Cloud  Automatorの機能 • ジョブの⾃自動化 • 構成レビュー⾃自動化
  5. 5. Cloud  Automatorの機能 • ジョブの⾃自動化 • 構成レビュー⾃自動化
  6. 6. アジェンダ • 構成レビュー機能とは • 構成レビュー機能の仕組み
  7. 7. 構成レビュー⾃自動化とは
  8. 8. 構成レビュー⾃自動化 お客さまのAWSリソースが決められたガイドライン に沿って構成されているか継続的にレビューします。 これによってAWSの環境が当初計画された通りに運 ⽤用されているかすぐに把握出来るようになります。
  9. 9. たとえば・・・
  10. 10. たとえば・・・
  11. 11. たとえば・・・
  12. 12. チェックリスト不不要!
  13. 13. Cloud  Automatorがレビューします
  14. 14. 構成レビュー機能の仕組み
  15. 15. キーとなる  AWS  サービス • AWS  Config  Rules • AWS  Lambda • AWS  IAM  Role • Amazon  S3 • Amazon  SNS • AWS  CloudWatch ★ ★ ★
  16. 16. AWS  Config  Rules AWS  Config  Rules  は  IT  管理理者が  AWS  のリソー スのプロビジョニングおよび設定のガイドラインを 定義し、ガイドラインとのコンプライアンスを継続 的に監視することを可能にする⼀一連の新しいクラウ ドガバナンス機能です。AWS  Config  Rules  では⼀一 般的な  AWS  のベストプラクティスに基づく事前ビ ルドのルール、またはお客様が定義するカスタム ルールのいずれかを選択できます。
  17. 17. AWS  Config  Rules • Managed  Rules • AWSが事前に⽤用意しているBlueprint • https://github.com/awslabs/aws-‐‑‒config-‐‑‒rules • Custom  Rules • ユーザーが独⾃自で定義出来るルール ★
  18. 18. AWS  Lambda AWS  Lambda  は、コードを  AWS  Lambda  にアッ プロードすると、サービスが  AWS  インフラストラ クチャを使⽤用してコードの実⾏行行を代⾏行行するコン ピューティングサービスです。コードをアップロー ドして、Lambda  関数と呼ばれる関数を作成するこ とで、AWS  Lambda  がコードを実⾏行行するサーバー のプロビジョニングおよび管理理を⾏行行います。
  19. 19. AWS  IAM  Role IAM  ロールは、AWS  のサービスをリクエストする ための⼀一連のアクセス許可を定義する  IAM  エンティ ティです。IAM  ロールは特定のユーザーまたはグ ループに関連付けられません。代わりに、信頼され たエンティティが、IAM  ユーザー、アプリケーショ ン、AWS  のサービス  (EC2  など)  などのロールを引 き受けます。
  20. 20. 構成レビュー機能のシステム構成
  21. 21. 同⼀一アカウントでのシステム構成
  22. 22. 同⼀一アカウントにした場合の特徴 • メリット • 構成がシンプルで分かりやすい • デメリット • 複数のAWSアカウントをレビューする場合、すべての AWSアカウントにLambda関数を⽤用意しないといけない
  23. 23. クロスアカウントでのシステム構成
  24. 24. クロスアカウント構成で必要となる権限 実⾏行行出来る権限 評価結果を送信出来る権限 EC2を参照出来る権限
  25. 25. クロスアカウント構成で必要となる権限 • Lambda関数にアクセス許可  (AddPermission) • Config  RulesがLambda関数を起動出来る権限 • サードパーティを許可するIAMロール • Lambad関数がEC2を参照出来る権限 • Lambda関数がConfig  Rulesに評価結果を送信出来る権 限
  26. 26. クロスアカウント時のシステム構成 サードパーティを許可 アクセス許可
  27. 27. クロスアカウントにした場合の特徴 • メリット • 複数のAWSアカウントを評価する場合でも、Lambda関 数を⼀一元管理理出来る • 複数のAWSアカウントを評価する場合でも、ログを⼀一元 管理理出来る • デメリット • 同⼀一アカウント内で構成するよりも複雑になる
  28. 28. Cloud  Automator独⾃自で必要としているもの
  29. 29. Cloud  Automator独⾃自で必要としているもの • S3 • 利利⽤用者が指定したオプションの受け渡し • Config  RulesのInput  ParameterにはJSON形式で256 ⽂文字以内という上限がある • Input  ParameterではS3パスを渡す • SNS • 評価結果をConfig  RulesだけでなくCloud  Automatorの DBに保存するための通知
  30. 30. 必要な要素のセットアップ
  31. 31. 必要な要素のセットアップ • ユーザー環境 • AWS  Config  Rulesを作成 • AWSリソースの参照とConfig  Rulesに評価結果を通知出 来るようにIAMロールを作成 • Cloud  Automator側 • ユーザーのConfig  RulesがLambda関数を起動出来るよ うに権限を追加する • ユーザーが指定したパラメーターをS3にアップ
  32. 32. 構成レビュー機能のシステム構成
  33. 33. まとめ
  34. 34. まとめ Cloud  Automatorの構成レビュー機能は⼀一⾒見見複雑な ようですが、AWS  Config  Rulesを使い、複数アカ ウントで利利⽤用する場合の基本構成に近いです。 覚えれない場合はCloud  Automatorを使ってね。

×