re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)

Transcript

1. 今すぐ使える！超コアサービス （IAM/S3/EC2 ）のアップデート紹介

2. 2 Please Share me !! #cmregrowth

3. スライドは後で入手することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター音が出ないようにご配慮ください 3

4. 4 自己紹介 茶谷 和弥 （ちゃだいん） クラスメソッド株式会社 AWS事業本部 コンサルティング部 好きなAWSサービス： S3,

   CloudFormation 好きなクラフトビール： 箕面ビール W-IPA chazuke4649

5. 本セッションで紹介するアップデート 1. IAM Access Analyzer 2. S3 Access Points 3.

   EC2 Image Builder 5

6. 6 IAM Access Analyzer

7. IAM Access Analyzer とは 外部からアクセスできるリソースを 超カンタンに検出・修正できる素敵なサービス 7

8. 前提 セキュリティリスクで 1番避けたいのが「うっかり外部公開」 とはいえ、自在にスケールするクラウドにおいて、 「意図しない外部からのアクセス経路」がないことを 担保し続けるのって結構大変！ 8

9. 今まで • １つ１つ手作業 or Policy Simulator でアクセス検証 … • 検証後は、AWS

   Config を作り込んで変更監視 … → なかなか骨の折れる作業 参考）IAM Access Analyzerと既存の機能を比較してどう使っていくか考 察してみた 9

10. 今までに対する不安や疑問 • 時間とコストはどれくらいかかる？ • 本当に全経路確認できてる？漏れてない？ • これを継続できる？ • 新しいリソース追加時はまた一からやり直し？ 10

11. IAM Access Analyzerを使えば • 時間とコストはどれくらいかかる？ → 利用料金無料 !! 数秒レベルで設定・解析し検出完了 •

    本当に全経路確認できてる？漏れてない？ → 数学的な手法（自動推論）で考えうる全てのアクセ スパスを分析することができ、最高レベルの保証を提供 • これを継続できる？ • → 24時間ごとに解析、専用コンソールで一目瞭然 • 新しいリソース追加時はまた一からやり直す • → 追加・変更時は30分以内に解析 11

12. 12 簡単な流れ 1. アナライザーを有効（リージョン単位で必要） 2. 検出結果一覧をレビュー 3. 意図通りはアーカイブ、意図通りでないものは修 正（そのまま同じ画面からできます） AWS

    Identity & Access Management アクセス分析 - アマゾン ウェブ サービス

13. 13 対象のリソース • Amazon S3 バケット • IAM ロール •

    AWS KMS キー • AWS Lambda 関数とレイヤー • Amazon SQS キュー

14. 14 Access Analyzer for S3

15. Access Analyzer for S3とは IAM Access Analyzer の S3 特化版

    • S3コンソールに専用画面があり、確認しやすい • IAM Access Analyzer有効で自動有効 • CSVレポートがダウンロード可能（他はできない） • もちろん利用料金無料 !! 15

16. IAM Access Analyzer 試す時間 画面開いてから検出結果表示まで 数秒レベル !!!! 16

17. IAM Access Analyzer 続きはブログで 超カンタンで無料でなので、 とりあえず有効にしてみてください！ • [速報] AWS IAM

    Access Analyzerがリリースされました！ • IAM Access Analyzerと既存の機能を比較してどう使っていくか考察してみた • re:Invent 2019 IAM Access Analyzerについて調べてみた • IAM Access Analyzer を一発で有効にしてみた • 【速報】新機能！S3 Access Analyzerがリリースされました • 新機能のAccess Analyzer for S3を利用して誤ったS3の公開を止める！ 17

18. 18 S3 Access Points

19. S3 Access Pointsとは 複数のアクセス元を それぞれ個別でアクセス制御ができる素敵なサービス 19

20. 比較すると 今まで S3 Access Pointsを使用 20

21. 今まで • 複数のアクセスも１つの バケットポリシーで管理 • 細やかな設定を加えると、 それだけjsonが複雑に • アクセス元や条件の追 加・削除時に間違えるリ

    スク 21

22. S3 Access Points を使えば • 複数のアクセス元に対し 複数のアクセスポイント • 個別で設定可能なので、 他への影響はなし

    • 追加・削除もしやすい 22

23. 設定できること アクセスタイプ • VPC • Internet ※VPCは別途VPCエンドポイントが必要 23

24. 設定できること ブロックパブリックアク セスを設定可能 アクセスポイントポリシ ーを設定可能 24

25. S3 Access Points が有効な条件 • ２つ以上のアクセス元がある（１つなら不要） • それぞれ個別でアクセスを制御したい（全て同じで OKなら不要） 25

26. 推奨設定 アクセスポイントを使用する場合、 アクセスポイント経由以外のアクセスをバケットポリシ ーで拒否する →アクセスポイントのみ管理すればOKな状態に S3アクセスポイントのうれしい点を自分な りの理解で解説してみる https://dev.classmethod.jp/cloud/aws/explai n-the-good-point-of-s3-access-points/ 参考のバケットポリシーは

    このブログをチェック 26

27. S3 Access Points 試す時間 画面開いてからアクセスポイント作成まで 数十秒レベル !!! 27

28. S3 Access Points の結論 無料ですぐに作成できます！ バケットポリシーに苦労した経験のある方は即試してみ てください。 • [速報]アクセスポリシーを持ったS3のアクセスポイント「Amazon S3

    Access Points」がGAになりました！ • [S3 Access Points]S3バケットアクセスをVPC内に制限する • [S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分 ける • S3アクセスポイントのうれしい点を自分なりの理解で解説してみる • [re:Invent 2019] 「S3 Access Point」を自分なりに解釈してみた 28

29. 29 EC2 Image Builder

30. EC2 Image Builder とは ゴールデンイメージの作成・更新を まるっと自動化できる素敵なサービス 30

31. 今までのゴールデンイメージ管理 • 手動作成だととても時間がかかる作業 … • 自前スクリプトやPackerなど複数のツールを多用 … → これらを解決するのが、Image Builder

    !!! 31

32. EC2 Image Builder 特徴 • イメージ作成・テスト・配布を一気通貫で自動化 • 手動実行・スケジューリングも可能 • 複数リージョンに配布可能

    • 別AWSアカウントに配布可能 • GUIでカンタン操作 • VM Import/Exportを併用し、オンプレとも連携可能 • Image Builder利用は無料 （スナップショットは従来通りの料金） 32

33. 33 簡単な流れ 1. 事前準備（カスタムする場合、ビルドコンポーネント,テストの設定） 2. イメージパイプラインの作成 3. イメージパイプラインの実行 4. ゴールデンイメージの配布

    EC2 Image Builder

34. ビルドコンポーネント ソフトウェアのインストールや、 OSセキュリティ設定を定義 • AWS管理分が使用可能 • Python 3 • PHP

    7.2, 7.3 • Corretto • STIG 等 • 独自で作成分も使用可能 • 独自アプリケーション • 独自セキュリティ設定 34

35. ビルドコンポーネント 独自作成の場合、 定義ドキュメント（yaml形式） を作成する 例：Apacheインストール 35

36. テスト 作成したイメージのテストを定義 • AWS管理分が使用可能 • 起動・再起動テスト • Inspector脆弱性テスト 等 •

    独自で作成分も使用可能 • 独自基準テスト • こちらもyamlで記述 36

37. レシピ イメージパイプラインに設定する 「 OS + ビルドコンポーネント + テスト」の組み合わせ • OS

    • Amazon Linux 2 • Windows Server 2019/2016/2012 R2 • AMIs • AWS管理分 • 個人作成分 37

38. イメージパイプライン 「レシピ + パイプライン設定」の組み合わせ 設定できること • スケジュール（手動/スケジューラー/Cron形式） • インスタンスタイプ •

    SNSトピック • VPC/サブネット/SecurityGroup • キーペア • ログ用S3バケット etc 38

39. E2 Image Builder 試す時間 画面開いてからイメージパイプライン実行開始まで 数分レベル !!! 39

40. EC2 Image Builder 続きはブログで（すでに14本!!!!） • EC2のイメージ作成を劇的に効率化するEC2 Image Builderが発表されました！ #reinvent •

    [re:Invent 2019] EC2イメージビルダーをサクッと試してみた #reinvent • EC2 Image Builderで作ったイメージを他アカウントに共有してみた #reinvent • [re:Invent 2019] EC2イメージビルダーを使って複数リージョンにAMIを作成してみた #reinvent • [re:Invent 2019] EC2 Image Builder で S3 からコンテンツをデプロイしてみた #reinvent • [re:Invent 2019] EC2 Image Builder でコンポーネントを作成してみた #reinvent • [re:Invent 2019] EC2 Image Builder で複数コンポーネントを実行してみた #reinvent • [re:Invent 2019] EC2 Image Builder のパイプラインを AWS CLI で実行してみた #reinvent • EC2 Image BuilderでCloudwatch Agent構築したAMIを作成してみた #reinvent • EC2 Image BuilderでWindows ServerのAMIを作成してみた • [re:Invent2019] EC2 Image Builderを使ってPowerShell Coreをインストールしてみた #reinvent • [re:Invent2019] EC2 Image BuilderのWindows STIGコンポーネントを調べてみた #reinvent • [小ネタ] EC2 Image Builder のエラーを追う！ #reinvent • [レポート] 簡単にマシンイメージ作成ができる新サービス「EC2 Image Builder」 #reinvent 40

41. 41 まとめ

42. 42 まとめ ü Access Analyzerは、外部アクセス経路検出の救世主 !! ü S3 Access Pointsは、S3複数アクセス管理の救世主

    !! ü EC2 Image Builderは、ゴールデンAMI管理の救世主 !! ü 全て、今すぐ使えます !!

43. まとめ 速攻試して re:Inventなアップデートを 体感ください。 43

44. 44 Thank you !!

45. 45