Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Lambdaで複数アカウント間でアレコレする / Gunosy Beer Bash #7

koid
July 27, 2016
Technology
1
1.7k

AWS Lambdaで複数アカウント間でアレコレする / Gunosy Beer Bash #7

koid

July 27, 2016
Tweet

More Decks by koid

See All by koid
新しい技術の導入時に大切にしていること / IVS CTO Night 2018 LT
koid
2
6.7k
GunosyでのKinesis Analytics利用について / AWS Solution Days 2017 -AWS DB Day-
koid
0
180
GunosyでのKinesis Analytics利用について / BigData JAWS 6 Kinesis Analytics
koid
1
810
re:Inventに行ってきました - 気になった新サービス / AWS re:Invent2016 Participants LT
koid
0
1.9k
AWS Lambda - ピーキーなアクセスに備える / Gunosy Beer Bash #8
koid
0
1.7k
サーバにログインしない・させないサービス運用 / AWS Summit 2015 Devcon
koid
6
8.7k
GunosyのMicroServicesとOpsWorks / よくわかる AWS OpsWorks
koid
18
5.4k

Other Decks in Technology

See All in Technology
Product Minded Software Engineers: Understanding the Product with a code-first approach
cembasaranoglu
0
210
ロケーターを学んでテスト自動化上級者を目指そう
nozomiito
0
580
[k8sjp #56] Kustomize v5 を含む最新機能とテクニックの紹介
koba1t
0
320
cronworkflowを用いた バッチ障害時の運用改善
ayanonanjo
0
210
ChatGPTにR言語を教えてもらう(仮)
doradora09
1
120
マネーフォワードエックスカンパニーとGo言語の歩み
jtaka1012
2
130
5分でまとめるAWSマイグレーション / 5minutes aws migration
se_o_chan
1
170
赤裸々図解!新卒3年目でマネジメントもこなすフルスタックエンジニアになるまで
mizunohiroaki
0
140
NIST SP800-63-4 IPD 63A: Identity Proofing 概要紹介
kthrtty
0
350
AmebaにおけるQAコスト改善施策〜テスト項目の整理とAutify for Mobileによる自動化
sosuiiii
0
160
[Keynote] Production is like ultra running: brutal, ungrateful, but worth every step
colinfay
0
110
自動運転レベル4解禁にあたり求められる遠隔監視技術
sbtechnight
PRO
0
490

Featured

See All Featured
Thoughts on Productivity
jonyablonski
50
2.8k
Bash Introduction
62gerente
602
210k
Embracing the Ebb and Flow
colly
76
3.6k
Building an army of robots
kneath
300
41k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
6
910
We Have a Design System, Now What?
morganepeng
37
6k
Designing for humans not robots
tammielis
245
24k
StorybookのUI Testing Handbookを読んだ
zakiyama
8
3.3k
Designing for Performance
lara
600
65k
The MySQL Ecosystem @ GitHub 2015
samlambert
240
11k

Transcript

  1. AWS Lambdaで
    複数アカウント間でアレコレする
    株式会社Gunosy
    ⼩出 幸典

    View Slide

  2. ⾃⼰紹介
    •  名前
    –  ⼩出 幸典 (こいで ゆきのり)
    •  所属
    –  株式会社Gunosy 開発本部
    •  プロビジョニング・デプロイフローの共通化とか
    •  過剰リソース警察、コスト削減おじさん
    •  好きなAWSサービス
    –  OpsWorks, Lambda, Trusted Advisor

    View Slide

  3. はじめに - AWS Lambdaとは
    •  コードをアップロードするとイベントに応じて実⾏
    •  サーバのプロビジョニング・管理が不要
    •  AWSの⾊々なサービスと連携可能

    View Slide

  4. AWS Lambdaのユースケース@Gunosy
    データ同期
    APIバックエンド
    所謂普通のバッチ
    Amazon
    RDS
    Amazon
    Elasticsearch
    Service
    Amazon
    EMR
    Amazon
    Kinesis
    Amazon
    Cognito
    Amazon API
    Gateway
    AWS
    Lambda
    AWS
    Lambda
    AWS
    Lambda
    監視・管理
    Amazon
    CloudWatch
    Amazon
    SNS
    AWS
    Lambda
    AWS
    OpsWorks
    AWS
    Lambda

    View Slide

  5. AWS Lambdaのユースケース@Gunosy
    監視・管理
    データ同期
    APIバックエンド
    所謂普通のバッチ
    Amazon
    Elasticsearch
    Service
    Amazon
    EMR
    Amazon
    Kinesis
    Amazon
    Cognito
    Amazon
    CloudWatch
    Amazon
    SNS
    Amazon API
    Gateway
    AWS
    Lambda
    AWS
    Lambda
    AWS
    Lambda
    AWS
    OpsWorks
    AWS
    Lambda
    Amazon
    RDS
    AWS
    Lambda

    View Slide

  6. 本⽇お話させていただく内容
    •  Gunosyでは複数のAWSアカウントを利⽤しています
    –  ざっくり⾔うと事業・サービス別

    View Slide

  7. 本⽇お話させていただく内容
    •  事業・サービス別にAWSアカウントを分けていくと…
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing

    View Slide

  8. 本⽇お話させていただく内容
    •  事業・サービス別にAWSアカウントを分けていくと…
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制

    View Slide

  9. 本⽇お話させていただく内容
    •  事業・サービス別にAWSアカウントを分けていくと…
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制
    とても煩雑

    View Slide

  10. 本⽇お話させていただく内容
    •  どうにかして省⼒化したい
    –  おそらく今後もアカウントは増える
    –  アカウント新規作成時の初期設定は⼿間
    –  運⽤ツール類を共通化しても更新を反映するのも⼿間

    View Slide

  11. 本⽇お話させていただく内容
    どうしよう

    View Slide

  12. そうだこうしよう
    •  個別に作るのはやめよう
    Service Account 1 Service Account 2 Service Account 3
    Monitoring Account
    監視・運⽤
    管理統制

    View Slide

  13. ポイントは2つ
    1. 別のアカウントに存在するLambdaのInvoke
    2. Lambdaから別アカウントのリソースへのアクセス

    View Slide

  14. 例1)別のアカウントに存在するLambdaのInvoke
    •  CloudWatch Alarmの通知
    Service Account
    Amazon
    CloudWatch
    Monitoring Account
    Amazon
    SNS
    AWS
    Lambda
    ①Publish
    ②Invoke
    サービスアカウント
    からのPublishを許可
    Alarm中のAccountID
    を⾒て通知先を振り分け

    View Slide

  15. 例1)別のアカウントに存在するLambdaのInvoke
    •  SNSのTopicを監視アカウントに置く場合
    –  SNSのTopic PolicyにてサービスアカウントからのPublishを許可
    •  SNSのTopicをサービスアカウントに置く場合
    –  SNSのTopic Policyにて監視アカウントからのアクセス(※)を許可
    •  ※ LambdaSubscribe, ListSubscriptionsByTopic, Receive
    –  Lambda Fuctionにて、サービスアカウントからのInvokeを許可

    View Slide

  16. 例2)Lambdaから別アカウントのリソースへのアクセス
    •  リソースのルール確認(AWS Config的な)
    Service Account Monitoring Account
    Amazon
    SNS
    AWS
    Lambda
    ③Publish
    Amazon
    RDS
    Amazon
    ElastiCache
    Amazon
    Redshift
    AWS STS
    Report
    ①AssumeRole
    ②Describe

    View Slide

  17. 例2)Lambdaから別アカウントのリソースへのアクセス
    •  プロビジョニングのチェック
    Service Account Monitoring Account
    AWS
    Lambda
    ③Invoke
    ①AssumeRole
    ②Describe
    AWS
    Lambda
    AWS
    OpsWorks
    Amazon
    EC2
    AWS STS
    ④AssumeRole
    ⑤Setup

    View Slide

  18. 例2)Lambdaから別アカウントのリソースへのアクセス
    •  サービスアカウント側にて、監視⽤ロールを発⾏
    –  監視アカウントに対しAssumeRoleを許可
    •  監視アカウント側にて、Lambda⽤ロールを発⾏
    –  監視⽤ロールへのAssumeRoleを許可
    Service Account Monitoring Account
    AWS IAM
    Monitoring
    role
    AWS IAM
    Lambda
    role
    AssumeRole
    を許可
    AssumeRole
    を許可

    View Slide

  19. まとめ
    AWS Lambda + クロスアカウントで
    効率的な監視・管理を!

    View Slide

  20. 終わりに
    •  ご清聴ありがとうございました

    View Slide