2018/07/05 OpsSecJAWS#1 登壇資料です。
Systems ManagerとAWS Configのちょっといい話2018/07/05OpsSecJAWS #1
View Slide
AWS Systems Manager使ってますか?
Run Commandコマンドのリモート実行ステートマネージャーOS設定の一貫性を維持インベントリインベントリ情報を収集メンテナンスウィンドウ管理・保守タスクを定期的に実行パッチマネージャーパッチ適用を管理オートメーション一般的な保守・デプロイタスクを自動化パラメータストア機密データを一元管理AWS Systems Manager
Run Commandコマンドのリモート実行ステートマネージャーOS設定の一貫性を維持インベントリインベントリ情報を収集メンテナンスウィンドウ管理・保守タスクを定期的に実行パッチマネージャーパッチ適用を管理オートメーション一般的な保守・デプロイタスクを自動化パラメータストア機密データを一元管理AWS Systems Manager本日はここ
インベントリ • AWSの基本(責任共有モデル)• OSより下位レイヤーの部分はAWSで管理、それ以上は利用者責任• インベントリのすごいところ• OS以上の管理ができる(ログインなしで)• 責任範囲は利用者だけど、AWSの機能を使って管理できるように責任共有モデル:https://aws.amazon.com/jp/compliance/shared-responsibility-model/
お見合いAPミドル・各種SWOS周りAWSインフラDevOps誰???初期導入時はインフラ側に任せて構築してもらったので、その後のメンテもOpsでお願いできると思いがち。こういうところの状態管理って、EXCELで手で更新とかそういう文化が残ってる初期開発が終わりOpsフェーズに入ると、Opsは、OS以下の安定稼働に注力しがち…
Systems managerで解決APミドル・各種SWOS周りAWSインフラDevOpsSystems managerで、EC2内の各種コンポーネント情報を管理可能
コンポーネントの一覧を確認可能
変更を追跡可能(AWS Config)
みます?
確認顧客顧客環境AWS ConfigExcel生成AWS構成パラメーターシートLambda発火本番環境 複製環境+Ops複製検知
Tips• イベントドリブンでやるにはCloudWatchEventsだが…• Inventory Resource State Changeだとインベントリ変更に反応しない• これはカスタムインベントリのステータス変更に関するトリガー• 英語版のドキュメントにだけ記載ありhttps://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-delete.html#sysman-inventory-delete-cwe• Config RulesのSSM:ManagedInstanceInventoryで対応するこっちこっちじゃなくて
Tips• 変更時以外も発火する• 新規インベントリ関連付け時や、起動・停止時など• 厳密に「変更された時だけ」をトリガーしようとすると地味に条件は多い• ユースケースによってはスケジュール実行が無難なケースも…○停止時"invokingEvent":{"configurationItemSummary":{ "changeType\":"DELETE","messageType":"OversizedConfigurationItemChangeNotification","recordVersion":"1.0"},○起動時、新規インベントリ関連付け時など"invokingEvent":{"configurationItemDiff":{"changedProperties":{},"changeType":"CREATE“},"messageType":"ConfigurationItemChangeNotification","recordVersion":"1.3“},
まとめ• 宙ぶらりんな部分を無くす努力を• AWSの機能で実現できるならガンガン使おう (今回はSystems Manager )• AWS Nativeが難しければ、既存ソフトとの併用を (今回はSystems Manager +Excel )• ツール化で煩雑な作業を減らそう• 現場と管理者は良き関係を維持しよう
Thank you