Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS RDK 〜AWS ConfigのカスタムルールをLambdaで書くときに使うツールキット〜

Avatar for daiki.mori daiki.mori
August 31, 2023
Technology
0
500

AWS RDK 〜AWS ConfigのカスタムルールをLambdaで書くときに使うツールキット〜

AWSで発見的統制を取るために利用されるAWS Config
そのカスタムルールをLambdaで書きたいときに有効なRDKのご紹介

Avatar for daiki.mori

daiki.mori

August 31, 2023
Tweet

More Decks by daiki.mori

See All by daiki.mori
いい感じにグラフを表示、やっぱWebでやりたいね。それをAWSで実現!
Avatar for daiki.mori daikimori
0
170
サーバーレスアーキテクチャを使って、小さく作って大きくする取り組み
Avatar for daiki.mori daikimori
0
4k
JAWS-UG Osaka ZERO-ETL/jawsug osaka zero-etl
Avatar for daiki.mori daikimori
0
73
JAWS DAYS 2022/Osaka/プログラムは作ったら終わり︖︖ その後が⼤事なんだよ︕︕/20221008_X-Ray_LambdaPowertools
Avatar for daiki.mori daikimori
0
140
データを受け取って、データを加工して、データを可視化する直前までのお話 / AWS DATA ETL
Avatar for daiki.mori daikimori
0
180
[JAWS DAYS 2021] Amazon Connect and Serverless
Avatar for daiki.mori daikimori
1
250
JAWS-UG Kansai Meetup(2020/11) Amazon Connectの今
Avatar for daiki.mori daikimori
0
91
Playing in re:Invent
Avatar for daiki.mori daikimori
0
140
Introduction of Amazon Connect
Avatar for daiki.mori daikimori
0
59

Other Decks in Technology

See All in Technology
[mercari GEARS 2025] Keynote
Avatar for mercari mercari
PRO
0
170
手を動かしながら学ぶデータモデリング - 論理設計から物理設計まで / Data modeling
Avatar for soudai sone soudai
PRO
21
4.4k
マウントとるやつ、リリースするやつ
Avatar for おーつき otsuki
1
120
AIエージェントは「使う」だけじゃなくて「作る」時代! 〜最新フレームワークで楽しく開発入門しよう〜
Avatar for みのるん minorun365
11
1.6k
Flutter DevToolsで発見! 本番アプリのパフォーマンス問題と改善の実践
Avatar for GOTO-TSL goto_tsl
1
380
決済システムの信頼性を支える技術と運用の実践
Avatar for ykagano ykagano
0
490
プログラミング言語を書く前に日本語を書く── AI 時代に求められる「言葉で考える」力/登壇資料(井田 献一朗)
Avatar for Hacobu hacobu
PRO
0
150
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
3
1.3k
LINE公式アカウントの技術スタックと開発の裏側
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
350
今日から使える AWS Step Functions 小技集 / AWS Step Functions Tips
Avatar for Masanori Yamaguchi kinunori
7
650
AI時代におけるドメイン駆動設計 入門 / Introduction to Domain-Driven Design in the AI ​​Era
Avatar for Futoshi Endo fendo181
0
670
AWS IAM Identity Centerによる権限設定をグラフ構造で可視化+グラフRAGへの挑戦
Avatar for Yuta Kimi ykimi
2
730

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.3k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
33
1.8k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.6k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
791
250k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.3k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k

Transcript

  1. AWS RDK 〜AWS ConfigのカスタムルールをLambdaで書 くときに使うツールキット〜 JAWS-UG⼤阪 「AWSのセキュリティサービス&ソリューション座談会」 株式会社サーバーワークス 森 ⼤樹

    2023/08/31

  2. 2 ⾃⼰紹介 ★ Who am I ? 所属・⽒名 株式会社サーバーワークス /

    アプリケーションサービス部 / ディベロップメントサービス1課 / 課⻑ 森 ⼤樹 ([email protected]) キャリア 約20年、SIerでプログラマ/プロジェクトマネージャの実務経験後、 2017年1⽉にサーバーワークスへ⼊社 Java / C# / Pythonを中⼼に様々なプログラム⾔語で開発 CICD環境の構築、運⽤などを⾏い、現在に⾄る 資格 PMP(Project Management Professional) 資格 CSM(Certified ScrumMaster) 資格 趣味 スノーボード/お酒 好きなAWSサービス AWS Lambda/Amazon Connect

  3. ⽬次 1. はじめに 2. AWS Config 3. AWS Config Rule

    Development Kit (RDK) 4. まとめ

  4. はじめに

  5. 5 はじめに クラウドのセキュリティは最優先事項 AWSでは、責任共有モデルをベースに守るべきポイントがある

  6. 6 はじめに クラウドのセキュリティは最優先事項 AWSでは、責任共有モデルをベースに守るべきポイントがある

  7. 7 はじめに クラウドのセキュリティは最優先事項 AWSでは、責任共有モデルをベースに守るべきポイントがある 予防的統制 問題が起きないように事前にチェックするイメージ 発⾒的統制 問題が起こっても気付ける仕組みを作るイメージ

  8. 8 はじめに クラウドのセキュリティは最優先事項 AWSでは、責任共有モデルをベースに守るべきポイントがある 予防的統制 問題が起きないように事前にチェックするイメージ 発⾒的統制 問題が起こっても気付ける仕組みを作るイメージ

  9. AWS Config

  10. 10 AWS Config AWS Config AWSアカウントにあるAWSリソースに関する設定の詳細ビューを提供 AWSリソースの設定履歴 AWSマネジメントコンソールやAPI、CLIを使⽤して設定された情報が履歴として残る ソフトウェアの設定履歴 Amazon

    EC2やオンプレで稼働しているサーバで実⾏されているソフトウェアの設定変更 が履歴として記録できる リソース間の関係の追跡 アカウント内のAWSリソース関係を検出、マッピング、追跡します

  11. 11 AWS Config AWS Config ルール AWS Configを使⽤して収集したAWSリソースの設定項⽬に対して、評価を⾏うもの AWS Config

    マネージドルール AWSによって管理されている事前定義されたルール AWS Config カスタムルール ⾃分たちでルールを作ることができる Guard もしくは AWS Lambdaを使⽤可能 結果としては 準拠 / ⾮準拠 / 対象外 を返す

  12. 12 AWS Config AWS Config ルール / カスタムルールで検知した例

  13. 13 AWS Config これらの設定をAWSマネジメントコンソールで実施すると問題がある可能性あり

  14. 14 AWS Config これらの設定をAWSマネジメントコンソールで実施すると問題がある可能性あり 設定は冪等性を担保したい

  15. 15 AWS Config これらの設定をAWSマネジメントコンソールで実施すると問題がある可能性あり 設定は冪等性を担保したい そんなあなたに︕

  16. 16 AWS Config これらの設定をAWSマネジメントコンソールで実施すると問題がある可能性あり 設定は冪等性を担保したい そんなあなたに︕ AWS Config RDK Rule

    Development Kit

  17. 17 AWS Config これらの設定をAWSマネジメントコンソールで実施すると問題がある可能性あり 設定は冪等性を担保したい そんなあなたに︕ AWS Config カスタム Lambdaルールを

    AWS Config RDKで︕ AWS Config RDK Rule Development Kit

  18. AWS Config Rule Development Kit (RDK)

  19. 19 AWS Config Rule Development Kit (RDK) AWS Config カスタム

    Lambda ルールの作成を⽀援する開発キット コマンドラインからルールに使⽤するLambda関数の雛形の作成、テスト実⾏、 デプロイが可能 AWS Serverless Application Model (SAM)のようなイメージ CI/CDパイプラインに組み込むことも可能︕ AWSマネジメントコンソールを利⽤した⼿動で作成しないので冪等性を担保

  20. 20 AWS Config Rule Development Kit (RDK) 前提条件 Python 3.7+

    AWS Config / Amazon S3 / AWS IAM / AWS Lambdaなどの権限が必要 最低限必要な権限は GitHub 参照 RDK内部ではboto3を利⽤しているため、基本的にboto3利⽤時の設定と同じ インストール インストールされたか確認 $ pip install rdk $ rdk usage: rdk [-h] [-p PROFILE] [-k ACCESS_KEY] [-s SECRET_ACCESS_KEY] [-r REGION] <command> ... rdk: error: the following arguments are required: <command>, <command arguments>

  21. 21 AWS Config Rule Development Kit (RDK) セットアップ AWS Config

    の設定が検証され、必要なS3バケットまたはIAM Roleが作成される 今回は、Cloud9を利⽤して実⾏

  22. 22 AWS Config Rule Development Kit (RDK) ルールの作成 ルールを作成するディレクトリで rdk

    create コマンドを実⾏するとLambdaのスケルトンを 含むいくつかのファイルが作成される 例では Amazon EC2 インスタンスの推奨インスタンスタイプを t2.micro に設定 カスタム Lambda ルールのコードとそのテストコードとパラメータ情報ファイルを出⼒

  23. 23 AWS Config Rule Development Kit (RDK) サンプルコードを実装 ec2_desired_instance_type.pyを修正 評価対象が

    AWS::EC2::Instanceでない場合、 NOT_APPLICABLE (対象外) インスタンスタイプが t2.micro の場合、 COMPLIANT (準拠) インスタンスタイプが t2.micro 以外の場合、 NON_COMPLIANT (⾮準拠)

  24. 24 AWS Config Rule Development Kit (RDK) テストコードを実装 test_expected_compliantは準拠のテスト test_expected_non_compliantは⾮準拠のテスト

    サンプルコードはブログ参照

  25. 25 AWS Config Rule Development Kit (RDK) テストの実⾏ 3つのテストが想定通りの結果となっている

  26. 26 AWS Config Rule Development Kit (RDK) デプロイの実⾏

  27. 27 AWS Config Rule Development Kit (RDK) デプロイ確認 CFnで確認

  28. 28 AWS Config Rule Development Kit (RDK) デプロイ確認 Configで確認

  29. 29 AWS Config Rule Development Kit (RDK) デプロイ確認 Configで確認

  30. 30 AWS Config Rule Development Kit (RDK) RDKを使うメリット・デメリット メリット 検査したいロジックだけを

    考えればOK RDKがよしなに吸収してくれているので、Lambdaの 構成やロジックをイチから考えなくてもOK 検査したいところだけをじっくり考えて テストが簡単 最悪AWSアカウントがなくてもテストが実⾏可能 テストは準拠/⾮準拠だけを考えればOK デメリット Lambdaのランタイムに 制限あり 今回はPython3.7を利⽤しましたが、Python以外に はJava, C#のみ 詳細は こちら を参照

  31. まとめ

  32. 32 まとめ AWSリソースの発⾒的統制という観点でAWS Configを利⽤ AWSマネジメントコンソールを使うと間違える可能性がある AWS Config Rule Development Kit

    (RDK) を使ってみよう ロジックやテストも局所的に作るのみでOK ぜひ、ご利⽤を︕

  33. 33 まとめ AWS Config

  34. 34 まとめ AWS Config RDKを使ってみる RDKを 思い出す

  35. 35 まとめ AWS Config RDKを使ってみる フィードバックする RDKを 思い出す 効果を確認する

  36. 36 まとめ AWS Config RDKを使ってみる フィードバックする 効果を確認する 次の⼈が使う

  37. 37 まとめ AWS Config RDKを使ってみる フィードバックする 次の⼈が使う 効果を確認する RDKを 思い出す

  38. Appendix

  39. 39 Appendix AWS Control Tower Workshop / Security & Compliance

    / AWS Config With RDK RDK Documentation aws-config-rdk(GitHub) サーバーワークス エンジニアブログ AWS Config Rule Development Kit(RDK)使ってみた ~1. 概要編~ AWS Config Rule Development Kit(RDK)使ってみた ~2. 実践編~ AWS Config Rule Development Kit(RDK)使ってみた ~3. デプロイツー ル⽐較編~ AWS Config カスタムポリシールール(Guard) ~1. 基本編~ AWS Config カスタムポリシールール(Guard) ~2. 応⽤編~
  40. None