Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
Search
平木佳介
July 05, 2024
1
4.2k
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
JAWS ミート 2024の登壇資料です。
平木佳介
July 05, 2024
Tweet
Share
More Decks by 平木佳介
See All by 平木佳介
AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Analyzerのアップデートを語ります~
khiraki
1
670
組織におけるAWSネットワーク集約王者決定戦
khiraki
1
570
速さの鍵を握る! Fastly で実現する CDN の力
khiraki
1
700
クラウドの落とし穴:AWS Backupで発生した高額請求の衝撃とその教訓
khiraki
0
6.3k
AIと一緒に音楽を作ろう ~作曲体験セッション~ | DevelopersIO 2023
khiraki
0
1.7k
Amazon Security Lake サービス概要
khiraki
0
7.2k
Featured
See All Featured
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
4
420
The Cost Of JavaScript in 2023
addyosmani
47
7.3k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
114
50k
Designing for Performance
lara
604
68k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.4k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
560
We Have a Design System, Now What?
morganepeng
51
7.4k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Being A Developer After 40
akosma
89
590k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7.1k
A Philosophy of Restraint
colly
203
16k
Transcript
JAWS ミート 2024 踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る クラスメソッド株式会社 AWS事業本部 | 平木
佳介 1
自己紹介 2 ~$ whoami 平木佳介 (Hiraki Keisuke) ~$ ~$
jobs [2]+ 実行中 クラスメソッド(株)AWS事業本部コンサルティング 部 ~$ ~$ groups ソリューションアーキテクト ~$ ~$ cat 平木佳介.conf | grep 出身 出身: 静岡県 ~$ ~$ cat 平木佳介.conf | grep 好きなAWSサービス 好きなAWSサービス : AWS Security Hub
3 普段、踏み台サーバを運用していますか?
4 踏み台サーバのために運用を考えるのは面倒… 少し使いたいだけな のにEC2を停止して もEBSの料金が… 脆弱性対策の 対象が増える… 踏み台サーバを立 てるだけで申請が 必要…
5 先月のアップデート https://dev.classmethod.jp/articles/cloudshell-vpc-environment/
6 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
7 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
8 今までの踏み台 プライベートなEC2なら代替手段が様々ある
9 今までの踏み台 RDSやRedshiftといったマネージドDBなどに接続する場合
10 今までの踏み台 結局踏み台を運用しないといけない…
11 今までの踏み台 そんな中、登場したのが CloudShell VPC environment!
12 今までの踏み台 結論
13 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
14 CloudShell VPC environmentについて 2024年6月13日 (re:Inforce2024開催直後) AWS
CloudShell VPC環境をサポートする機能が追加
15 CloudShell VPC environmentについて VPC上でCloudShellを起動できるように 今まではパブリック環境のみだったがプライベートにCloudShellを活用可能 アクセス制御はセキュリティグループで 構築時にENIが払い出され、セキュリティグループによりアクセス制御可能
すぐに構築可能 従来のCloudShellと同じコンソール画面で手軽に構築可能 マネージドサービスによる恩恵 マネージドサービスによるインフラセキュリティの運用負荷の軽減
16 CloudShell VPC environmentについて セキュリティグループ によるアクセス制御 インターネットゲートウェイへのルートが あればインターネット通信可
17 CloudShellでハッピーに! EC2の料金が ゼロに! ※データ転送量は発生 パッチ適用の 考慮が不要 サーバの構築
不要
18 CloudShell VPC environmentについて 考慮すべきこともある
19 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
20 手軽に踏み台サーバ が作れて嬉しい! 気軽にプライベート 空間内にリソースを 作られては困る…
21 考慮すべきこと 追加されたIAM条件キーを活用して制限可能 • CloudShell:VpcIds ◦ 1つ以上のVPCを許可/拒否する •
CloudShell:SubnetIds ◦ 1つ以上のサブネットを許可/拒否する • CloudShell:SecurityGroupIds ◦ 1つ以上のセキュリティグループを許可/拒否する
22 考慮すべきこと 追加されたIAM条件キーを活用して制限可能 { "Version": "2012-10-17", "Statement": [
{ "Sid": "DenyCloudShellVpcEnvironments", "Action": [ "cloudshell:CreateEnvironment" ], "Effect": "Deny", "Resource": "*", "Condition": { "Null": { "cloudshell:VpcIds": "false" }}}]} cloudshell:VpcIdsキーが存在したらアクションを拒否 といったポリシーを記載することが可能
23 考慮すべきこと https://dev.classmethod.jp/articles/cloudshell-vpc-scp-restrict/
24 考慮すべきこと 制約事項 • 「アクション」メニューからのデータのアップロード・ダウンロードは不可 ◦ インターネットへ出れる環境であれば別のツールで実現可能 • 永続的なストレージは使用不可
◦ セッション終了時にホームディレクトリが削除されるためS3へ保存などの仕組 みが必要 • ログイン履歴といった監査ログの機能は現在のところなし ◦ CloudTrailではStartSession ,StartEnvironment というレコードが記録されるが VPC環境かどうかの判別不能
25 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
26 まとめ 1 2 3 踏み台サーバの運用方法が大きく変わる予感 手軽に出来すぎてしまうので制御も必要 一時的な利用用途では最高のアップデート
27