Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
Search
平木佳介
July 05, 2024
1
4k
踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る
JAWS ミート 2024の登壇資料です。
平木佳介
July 05, 2024
Tweet
Share
More Decks by 平木佳介
See All by 平木佳介
AWS re:Inforce 2024 re:Cap セミナー ~IAM Access Analyzerのアップデートを語ります~
khiraki
1
640
組織におけるAWSネットワーク集約王者決定戦
khiraki
1
540
速さの鍵を握る! Fastly で実現する CDN の力
khiraki
1
680
クラウドの落とし穴:AWS Backupで発生した高額請求の衝撃とその教訓
khiraki
0
6.2k
AIと一緒に音楽を作ろう ~作曲体験セッション~ | DevelopersIO 2023
khiraki
0
1.6k
Amazon Security Lake サービス概要
khiraki
0
6.3k
Featured
See All Featured
VelocityConf: Rendering Performance Case Studies
addyosmani
327
24k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Designing for humans not robots
tammielis
250
25k
Being A Developer After 40
akosma
89
590k
Navigating Team Friction
lara
183
15k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
Become a Pro
speakerdeck
PRO
26
5.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Scaling GitHub
holman
459
140k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
Code Reviewing Like a Champion
maltzj
521
39k
Transcript
JAWS ミート 2024 踏み台の運用が変わる? VPC上で起動できるようになったCloudShellを語る クラスメソッド株式会社 AWS事業本部 | 平木
佳介 1
自己紹介 2 ~$ whoami 平木佳介 (Hiraki Keisuke) ~$ ~$
jobs [2]+ 実行中 クラスメソッド(株)AWS事業本部コンサルティング 部 ~$ ~$ groups ソリューションアーキテクト ~$ ~$ cat 平木佳介.conf | grep 出身 出身: 静岡県 ~$ ~$ cat 平木佳介.conf | grep 好きなAWSサービス 好きなAWSサービス : AWS Security Hub
3 普段、踏み台サーバを運用していますか?
4 踏み台サーバのために運用を考えるのは面倒… 少し使いたいだけな のにEC2を停止して もEBSの料金が… 脆弱性対策の 対象が増える… 踏み台サーバを立 てるだけで申請が 必要…
5 先月のアップデート https://dev.classmethod.jp/articles/cloudshell-vpc-environment/
6 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
7 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
8 今までの踏み台 プライベートなEC2なら代替手段が様々ある
9 今までの踏み台 RDSやRedshiftといったマネージドDBなどに接続する場合
10 今までの踏み台 結局踏み台を運用しないといけない…
11 今までの踏み台 そんな中、登場したのが CloudShell VPC environment!
12 今までの踏み台 結論
13 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
14 CloudShell VPC environmentについて 2024年6月13日 (re:Inforce2024開催直後) AWS
CloudShell VPC環境をサポートする機能が追加
15 CloudShell VPC environmentについて VPC上でCloudShellを起動できるように 今まではパブリック環境のみだったがプライベートにCloudShellを活用可能 アクセス制御はセキュリティグループで 構築時にENIが払い出され、セキュリティグループによりアクセス制御可能
すぐに構築可能 従来のCloudShellと同じコンソール画面で手軽に構築可能 マネージドサービスによる恩恵 マネージドサービスによるインフラセキュリティの運用負荷の軽減
16 CloudShell VPC environmentについて セキュリティグループ によるアクセス制御 インターネットゲートウェイへのルートが あればインターネット通信可
17 CloudShellでハッピーに! EC2の料金が ゼロに! ※データ転送量は発生 パッチ適用の 考慮が不要 サーバの構築
不要
18 CloudShell VPC environmentについて 考慮すべきこともある
19 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
20 手軽に踏み台サーバ が作れて嬉しい! 気軽にプライベート 空間内にリソースを 作られては困る…
21 考慮すべきこと 追加されたIAM条件キーを活用して制限可能 • CloudShell:VpcIds ◦ 1つ以上のVPCを許可/拒否する •
CloudShell:SubnetIds ◦ 1つ以上のサブネットを許可/拒否する • CloudShell:SecurityGroupIds ◦ 1つ以上のセキュリティグループを許可/拒否する
22 考慮すべきこと 追加されたIAM条件キーを活用して制限可能 { "Version": "2012-10-17", "Statement": [
{ "Sid": "DenyCloudShellVpcEnvironments", "Action": [ "cloudshell:CreateEnvironment" ], "Effect": "Deny", "Resource": "*", "Condition": { "Null": { "cloudshell:VpcIds": "false" }}}]} cloudshell:VpcIdsキーが存在したらアクションを拒否 といったポリシーを記載することが可能
23 考慮すべきこと https://dev.classmethod.jp/articles/cloudshell-vpc-scp-restrict/
24 考慮すべきこと 制約事項 • 「アクション」メニューからのデータのアップロード・ダウンロードは不可 ◦ インターネットへ出れる環境であれば別のツールで実現可能 • 永続的なストレージは使用不可
◦ セッション終了時にホームディレクトリが削除されるためS3へ保存などの仕組 みが必要 • ログイン履歴といった監査ログの機能は現在のところなし ◦ CloudTrailではStartSession ,StartEnvironment というレコードが記録されるが VPC環境かどうかの判別不能
25 トピック 今までの踏み台 01 02 04 03 CloudShell VPC
environmentにつ いて 考慮すべきこと まとめ
26 まとめ 1 2 3 踏み台サーバの運用方法が大きく変わる予感 手軽に出来すぎてしまうので制御も必要 一時的な利用用途では最高のアップデート
27