Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Systems ManagerとAWS Configのちょっといい話

kaojiri
July 05, 2018
Technology
3
1.2k

AWS Systems ManagerとAWS Configのちょっといい話

2018/07/05 OpsSecJAWS#1 登壇資料です。

kaojiri

July 05, 2018
Tweet

More Decks by kaojiri

See All by kaojiri
コンテナ監視って何見るの?~初心者編~
kaojiri
8
5k
Kubernetesモニタリングのベストプラクティス_JAWSDays2021_20210320
kaojiri
0
500
AWS SummitTokyo2019-reCap_20190620
kaojiri
1
57
JAWS-UG_SAITAMA_20190420
kaojiri
1
180
OpsJAWS-JAWSUG-KANAZAWA_20181123
kaojiri
1
240
組織を意識した AWS構成管理プロセスを考える_20180112
kaojiri
0
590
JAWS Days2017 EXCEL構成管理からの脱却と次世代MSPとDevOps 2.0 by OpsJAWS
kaojiri
0
1.4k
OpsJAWS#7 20160729 SIerにおけるDevOpsの現状 ~terraformを使ったAWS開発~
kaojiri
1
860
OpsJAWS#5 20160420 背伸びをしないAWS構成管理
kaojiri
0
2.6k

Other Decks in Technology

See All in Technology
Spring Boot 3.0へのアップデートのハマり所 / Findings in Migrating our Application to Spring Boot 3.0
line_developers
PRO
4
420
Snyk の紹介 〜セキュリティの Shift Left を目指す〜
toshiaizawa
0
110
「はたらく」前に知るべきIT企業5つのヒミツ 〜プロが教えるプロダクト開発最前線〜 / geeksai_2023spring
visional_engineering_and_design
0
250
PHP で学ぶ Cache の距離の話 / study_cache_with_php
hanhan1978
3
660
Teamsコネクタについて(チーム、チャネル)
miyakemito
2
260
[CI/CD2023]OSSで構築するOpenAPI開発のCI/CD
xibuka
2
240
売上と開発環境を同時に改善するためにPerl Webアプリケーションをどのようにリプレイスするか
masashi_sutou
0
250
関数型で表現するイベントソーシングの実装とその教育
tomohisa
0
160
就活は相談したもの勝ち
carta_engineering
0
120
自分のデータは自分で守る - あなたのCI/CDパイプラインをセキュアにする処方箋
jacopen
4
440
ChatGPTをプロダクトに入れる開発が"毎日がAfter GPT"だった件/ChatGPT LT Link and Motivation
lmi
1
2.5k
量子コンピュータ時代のプログラミングセミナー / 20230316_Amplify_seminar _route_planning_optimization
fixstars
0
180

Featured

See All Featured
Mobile First: as difficult as doing things right
swwweet
213
7.9k
Art Directing for the Web. Five minutes with CSS Template Areas
malarkey
197
11k
Infographics Made Easy
chrislema
236
17k
The Cult of Friendly URLs
andyhume
70
5.2k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
Pencils Down: Stop Designing & Start Developing
hursman
114
10k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
14
1.2k
The Mythical Team-Month
searls
210
40k
Navigating Team Friction
lara
177
12k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
13k
Robots, Beer and Maslow
schacon
154
7.4k
Agile that works and the tools we love
rasmusluckow
321
20k

Transcript

  1. Systems ManagerとAWS Configの
    ちょっといい話
    2018/07/05
    OpsSecJAWS #1

    View Slide

  2. AWS Systems Manager
    使ってますか?

    View Slide

  3. Run Command
    コマンドのリモート実行
    ステートマネージャー
    OS設定の一貫性を維持
    インベントリ
    インベントリ情報を収集
    メンテナンスウィンドウ
    管理・保守タスクを
    定期的に実行
    パッチマネージャー
    パッチ適用を管理
    オートメーション
    一般的な保守・デプロイ
    タスクを自動化
    パラメータストア
    機密データを一元管理
    AWS Systems Manager

    View Slide

  4. Run Command
    コマンドのリモート実行
    ステートマネージャー
    OS設定の一貫性を維持
    インベントリ
    インベントリ情報を収集
    メンテナンスウィンドウ
    管理・保守タスクを
    定期的に実行
    パッチマネージャー
    パッチ適用を管理
    オートメーション
    一般的な保守・デプロイ
    タスクを自動化
    パラメータストア
    機密データを一元管理
    AWS Systems Manager
    本日はここ

    View Slide

  5. インベントリ 
    • AWSの基本(責任共有モデル)
    • OSより下位レイヤーの部分はAWSで管理、それ以上は利用者責任
    • インベントリのすごいところ
    • OS以上の管理ができる(ログインなしで)
    • 責任範囲は利用者だけど、AWSの機能を使って管理できるように
    責任共有モデル:https://aws.amazon.com/jp/compliance/shared-responsibility-model/

    View Slide

  6. お見合い
    AP
    ミドル・各種SW
    OS周り
    AWSインフラ
    Dev
    Ops
    誰???
    初期導入時はインフラ側
    に任せて構築してもらっ
    たので、その後のメンテ
    もOpsでお願いできると
    思いがち。
    こういうところの状態管
    理って、EXCELで手で更
    新とかそういう文化が残
    ってる
    初期開発が終わり
    Opsフェーズに入ると、
    Opsは、OS以下の安定
    稼働に注力しがち…

    View Slide

  7. Systems managerで解決
    AP
    ミドル・各種SW
    OS周り
    AWSインフラ
    Dev
    Ops
    Systems managerで、
    EC2内の各種コンポー
    ネント情報を管理可能

    View Slide

  8. コンポーネントの一覧を確認可能

    View Slide

  9. 変更を追跡可能(AWS Config)

    View Slide

  10. みます?

    View Slide

  11. View Slide

  12. 確認
    顧客
    顧客環境
    AWS Config
    Excel
    生成
    AWS構成
    パラメーターシート
    Lambda
    発火
    本番環境 複製環境

    Ops
    複製
    検知

    View Slide

  13. View Slide

  14. Tips
    • イベントドリブンでやるにはCloudWatchEventsだが…
    • Inventory Resource State Changeだとインベントリ変更に反応しない
    • これはカスタムインベントリのステータス変更に関するトリガー
    • 英語版のドキュメントにだけ記載あり
    https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-delete.html#sysman-inventory-delete-cwe
    • Config RulesのSSM:ManagedInstanceInventoryで対応する
    こっち
    こっちじゃなく

    View Slide

  15. Tips
    • 変更時以外も発火する
    • 新規インベントリ関連付け時や、起動・停止時など
    • 厳密に「変更された時だけ」をトリガーしようとすると地味に条件は多い
    • ユースケースによってはスケジュール実行が無難なケースも…
    ○停止時
    "invokingEvent":{
    "configurationItemSummary":{
      "changeType\":"DELETE",

    "messageType":"OversizedConfigurationItemChangeNotification",
    "recordVersion":"1.0"
    },
    ○起動時、新規インベントリ関連付け時など
    "invokingEvent":{
    "configurationItemDiff":{
    "changedProperties":{},
    "changeType":"CREATE“
    },

    "messageType":"ConfigurationItemChangeNotification",
    "recordVersion":"1.3“
    },

    View Slide

  16. まとめ
    • 宙ぶらりんな部分を無くす努力を
    • AWSの機能で実現できるならガンガン使おう (今回はSystems Manager )
    • AWS Nativeが難しければ、既存ソフトとの併用を (今回はSystems Manager +Excel )
    • ツール化で煩雑な作業を減らそう
    • 現場と管理者は良き関係を維持しよう

    View Slide

  17. Thank you

    View Slide