Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
Search
平木佳介
July 05, 2024
1
4.8k
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
JAWS ミート 2024の登壇資料です。
平木佳介
July 05, 2024
Tweet
Share
More Decks by 平木佳介
See All by 平木佳介
AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える
khiraki
0
34
AWS Community Buildersを布教したい件について
khiraki
0
12
IAMアクセスキー漏洩について
khiraki
0
21
Organizations のポリシー使いこなしてますか? ~最新の Security Hub ポリシーを添えて~
khiraki
0
15
クラウド食堂 #2 ~AWSネタでLT会~ 登壇ネタのためにAWSの運用で地味に使えそうな ブラウザ拡張機能を作ってみた
khiraki
0
610
AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Analyzerのアップデートを語ります~
khiraki
1
810
組織におけるAWSネットワーク集約王者決定戦
khiraki
1
730
速さの鍵を握る! Fastly で実現する CDN の力
khiraki
1
860
クラウドの落とし穴:AWS Backupで発生した高額請求の衝撃とその教訓
khiraki
0
6.8k
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.9k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Java REST API Framework Comparison - PWX 2021
mraible
33
8.8k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
6k
The Language of Interfaces
destraynor
161
25k
Building Better People: How to give real-time feedback that sticks.
wjessup
368
19k
A Modern Web Designer's Workflow
chriscoyier
696
190k
Visualization
eitanlees
148
16k
Automating Front-end Workflow
addyosmani
1370
200k
Transcript
JAWS ミート 2024 踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る クラスメソッド株式会社 AWS事業本部 | 平木
佳介 1
自己紹介 2 ~$ whoami 平木佳介 (Hiraki Keisuke) ~$ ~$
jobs [2]+ 実行中 クラスメソッド(株)AWS事業本部コンサルティング 部 ~$ ~$ groups ソリューションアーキテクト ~$ ~$ cat 平木佳介.conf | grep 出身 出身: 静岡県 ~$ ~$ cat 平木佳介.conf | grep 好きなAWSサービス 好きなAWSサービス : AWS Security Hub
3 普段、踏み台サーバを運用していますか?
4 踏み台サーバのために運用を考えるのは面倒… 少し使いたいだけな のにEC2を停止して もEBSの料金が… 脆弱性対策の 対象が増える… 踏み台サーバを立 てるだけで申請が 必要…
5 先月のアップデート https://dev.classmethod.jp/articles/cloudshell-vpc-environment/
6 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
7 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
8 今までの踏み台 プライベートなEC2なら代替手段が様々ある
9 今までの踏み台 RDSやRedshiftといったマネージドDBなどに接続する場合
10 今までの踏み台 結局踏み台を運用しないといけない…
11 今までの踏み台 そんな中、登場したのが CloudShell VPC environment!
12 今までの踏み台 結論
13 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
14 CloudShell VPC environmentについて 2024年6月13日 (re:Inforce2024開催直後) AWS
CloudShell VPC環境をサポートする機能が追加
15 CloudShell VPC environmentについて VPC上でCloudShellを起動できるように 今まではパブリック環境のみだったがプライベートにCloudShellを活用可能 アクセス制御はセキュリティグループで 構築時にENIが払い出され、セキュリティグループによりアクセス制御可能
すぐに構築可能 従来のCloudShellと同じコンソール画面で手軽に構築可能 マネージドサービスによる恩恵 マネージドサービスによるインフラセキュリティの運用負荷の軽減
16 CloudShell VPC environmentについて セキュリティグループ によるアクセス制御 インターネットゲートウェイへのルートが あればインターネット通信可
17 CloudShellでハッピーに! EC2の料金が ゼロに! ※データ転送量は発生 パッチ適用の 考慮が不要 サーバの構築
不要
18 CloudShell VPC environmentについて 考慮すべきこともある
19 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
20 手軽に踏み台サーバ が作れて嬉しい! 気軽にプライベート 空間内にリソースを 作られては困る…
21 考慮すべきこと 追加されたIAM条件キーを活用して制限可能 • CloudShell:VpcIds ◦ 1つ以上のVPCを許可/拒否する •
CloudShell:SubnetIds ◦ 1つ以上のサブネットを許可/拒否する • CloudShell:SecurityGroupIds ◦ 1つ以上のセキュリティグループを許可/拒否する
22 考慮すべきこと 追加されたIAM条件キーを活用して制限可能 { "Version": "2012-10-17", "Statement": [
{ "Sid": "DenyCloudShellVpcEnvironments", "Action": [ "cloudshell:CreateEnvironment" ], "Effect": "Deny", "Resource": "*", "Condition": { "Null": { "cloudshell:VpcIds": "false" }}}]} cloudshell:VpcIdsキーが存在したらアクションを拒否 といったポリシーを記載することが可能
23 考慮すべきこと https://dev.classmethod.jp/articles/cloudshell-vpc-scp-restrict/
24 考慮すべきこと 制約事項 • 「アクション」メニューからのデータのアップロード・ダウンロードは不可 ◦ インターネットへ出れる環境であれば別のツールで実現可能 • 永続的なストレージは使用不可
◦ セッション終了時にホームディレクトリが削除されるためS3へ保存などの仕組 みが必要 • ログイン履歴といった監査ログの機能は現在のところなし ◦ CloudTrailではStartSession ,StartEnvironment というレコードが記録されるが VPC環境かどうかの判別不能
25 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
26 まとめ 1 2 3 踏み台サーバの運用方法が大きく変わる予感 手軽に出来すぎてしまうので制御も必要 一時的な利用用途では最高のアップデート
27