踏み台の運用が変わる？ VPC上で起動できるようになったCloudShellを語る

Transcript

1. JAWS ミート 2024 
 踏み台の運用が変わる？
 VPC上で起動できるようになったCloudShellを語る
 クラスメソッド株式会社 AWS事業本部 | 平木

   佳介
 1

2. 自己紹介 2 ~$ whoami
 平木佳介 (Hiraki Keisuke) 
 ~$
 ~$

   jobs
 [2]+ 実行中 クラスメソッド(株)AWS事業本部コンサルティング 部
 ~$
 ~$ groups
 ソリューションアーキテクト 
 ~$
 ~$ cat 平木佳介.conf | grep 出身 
 出身： 静岡県
 ~$
 ~$ cat 平木佳介.conf | grep 好きなAWSサービス 
 好きなAWSサービス ： AWS Security Hub 


3. 3 普段、踏み台サーバを運用していますか？

4. 4 踏み台サーバのために運用を考えるのは面倒…
 少し使いたいだけな のにEC2を停止して もEBSの料金が…
 脆弱性対策の
 対象が増える…
 踏み台サーバを立 てるだけで申請が 必要…


5. 5 先月のアップデート https://dev.classmethod.jp/articles/cloudshell-vpc-environment/


6. 6 トピック 今までの踏み台 
 01
 02
 04
 03
 CloudShell VPC

   environmentにつ いて
 考慮すべきこと 
 まとめ


7. 7 トピック
 今までの踏み台 
 01
 02
 04
 03
 CloudShell VPC

   environmentにつ いて
 考慮すべきこと 
 まとめ


8. 8 今までの踏み台
 プライベートなEC2なら代替手段が様々ある


9. 9 今までの踏み台
 RDSやRedshiftといったマネージドDBなどに接続する場合


10. 10 今までの踏み台 結局踏み台を運用しないといけない… 


11. 11 今までの踏み台 そんな中、登場したのが 
 CloudShell VPC environment！ 


12. 12 今までの踏み台
 結論


13. 13 トピック
 今までの踏み台 
 01
 02
 04
 03
 CloudShell VPC

    environmentにつ いて
 考慮すべきこと 
 まとめ


14. 14 CloudShell VPC environmentについて
 2024年6月13日 
 （re:Inforce2024開催直後） 
 
 AWS

    CloudShell 
 VPC環境をサポートする機能が追加 


15. 15 CloudShell VPC environmentについて
 VPC上でCloudShellを起動できるように 
 今まではパブリック環境のみだったがプライベートにCloudShellを活用可能
 アクセス制御はセキュリティグループで 
 構築時にENIが払い出され、セキュリティグループによりアクセス制御可能


    すぐに構築可能 
 従来のCloudShellと同じコンソール画面で手軽に構築可能
 マネージドサービスによる恩恵 
 マネージドサービスによるインフラセキュリティの運用負荷の軽減


16. 16 CloudShell VPC environmentについて
 セキュリティグループ 
 によるアクセス制御 
 インターネットゲートウェイへのルートが あればインターネット通信可

    


17. 17 CloudShellでハッピーに！
 EC2の料金が ゼロに！
 ※データ転送量は発生 
 パッチ適用の 考慮が不要 
 サーバの構築

    不要


18. 18 CloudShell VPC environmentについて 考慮すべきこともある 


19. 19 トピック
 今までの踏み台 
 01
 02
 04
 03
 CloudShell VPC

    environmentにつ いて
 考慮すべきこと 
 まとめ


20. 20 手軽に踏み台サーバ が作れて嬉しい！ 
 気軽にプライベート 空間内にリソースを 作られては困る… 


21. 21 考慮すべきこと
 追加されたIAM条件キーを活用して制限可能 
 • CloudShell:VpcIds 
 ◦ 1つ以上のVPCを許可/拒否する
 •

    CloudShell:SubnetIds 
 ◦ 1つ以上のサブネットを許可/拒否する
 • CloudShell:SecurityGroupIds 
 ◦ 1つ以上のセキュリティグループを許可/拒否する


22. 22 考慮すべきこと
 追加されたIAM条件キーを活用して制限可能 
 {
 "Version": "2012-10-17", 
 "Statement": [

    
 {
 "Sid": "DenyCloudShellVpcEnvironments", 
 "Action": [ 
 "cloudshell:CreateEnvironment" 
 ],
 "Effect": "Deny", 
 "Resource": "*", 
 "Condition": { 
 "Null": { 
 "cloudshell:VpcIds": "false" 
 }}}]} 
 cloudshell:VpcIdsキーが存在したらアクションを拒否 といったポリシーを記載することが可能


23. 23 考慮すべきこと https://dev.classmethod.jp/articles/cloudshell-vpc-scp-restrict/


24. 24 考慮すべきこと
 制約事項
 • 「アクション」メニューからのデータのアップロード・ダウンロードは不可 
 ◦ インターネットへ出れる環境であれば別のツールで実現可能
 • 永続的なストレージは使用不可

    
 ◦ セッション終了時にホームディレクトリが削除されるためS3へ保存などの仕組 みが必要
 • ログイン履歴といった監査ログの機能は現在のところなし 
 ◦ CloudTrailではStartSession ,StartEnvironment というレコードが記録されるが VPC環境かどうかの判別不能


25. 25 トピック
 今までの踏み台 
 01
 02
 04
 03
 CloudShell VPC

    environmentにつ いて
 考慮すべきこと 
 まとめ


26. 26 まとめ
 1 2 3 踏み台サーバの運用方法が大きく変わる予感 手軽に出来すぎてしまうので制御も必要 一時的な利用用途では最高のアップデート

27. 27