$30 off During Our Annual Pro Sale. View Details »

AWS Lambdaで複数アカウント間でアレコレする / Gunosy Beer Bash #7

koid
July 27, 2016
Technology
1
1.8k

AWS Lambdaで複数アカウント間でアレコレする / Gunosy Beer Bash #7

koid

July 27, 2016
Tweet

More Decks by koid

See All by koid
新しい技術の導入時に大切にしていること / IVS CTO Night 2018 LT
koid
2
6.8k
GunosyでのKinesis Analytics利用について / AWS Solution Days 2017 -AWS DB Day-
koid
0
200
GunosyでのKinesis Analytics利用について / BigData JAWS 6 Kinesis Analytics
koid
1
850
re:Inventに行ってきました - 気になった新サービス / AWS re:Invent2016 Participants LT
koid
0
1.9k
AWS Lambda - ピーキーなアクセスに備える / Gunosy Beer Bash #8
koid
0
1.9k
サーバにログインしない・させないサービス運用 / AWS Summit 2015 Devcon
koid
6
8.8k
GunosyのMicroServicesとOpsWorks / よくわかる AWS OpsWorks
koid
18
5.6k

Other Decks in Technology

See All in Technology
負債と言わないことが負債と向き合うこと
kenchan
5
1.8k
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
0
120
device mapperによるディスクI/O障害のエミュレーション
sat
PRO
6
1.6k
分散型SNS最新状況
kojira
0
190
Japan.R2023_いろんな可視化ツールあるけどggplotて何がいいの?- 複数ツールで比較してみた!-
wakamatsu_takumu
1
230
スタートアップにおける、チーム拡大を見据えたコンポーネント分割の取り組み
rynsuke
2
820
⾃律的な開発チームを⽀えるためのSLO運⽤
sansantech
PRO
5
860
実装がすべてではない、開発者の周りから考える Web プロダクトセキュリティ
oldbigbuddha
1
210
【Python東海#44】Pydroid3で画像処理
kazuhitotakahashi
0
220
AWS re:Invent 2023の期間中に出たコンテナアップデート集
yoshiitaka
3
190
LangChainやるならPythonよりTypeScriptの方がいんじゃね?
optimisuke
0
210
Honoが良さそう🔥
is_ryo
0
170

Featured

See All Featured
Agile that works and the tools we love
rasmusluckow
323
20k
Building an army of robots
kneath
299
41k
No one is an island. Learnings from fostering a developers community.
thoeni
14
1.8k
Rebuilding a faster, lazier Slack
samanthasiow
71
7.9k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
33
8.6k
A better future with KSS
kneath
230
16k
Six Lessons from altMBA
skipperchong
18
2.7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
240
20k
Pencils Down: Stop Designing & Start Developing
hursman
115
11k
Bash Introduction
62gerente
603
210k
Designing with Data
zakiwarfel
93
4.6k
The MySQL Ecosystem @ GitHub 2015
samlambert
241
11k

Transcript

  1. AWS Lambdaで
    複数アカウント間でアレコレする
    株式会社Gunosy
    ⼩出 幸典

    View Slide

  2. ⾃⼰紹介
    •  名前
    –  ⼩出 幸典 (こいで ゆきのり)
    •  所属
    –  株式会社Gunosy 開発本部
    •  プロビジョニング・デプロイフローの共通化とか
    •  過剰リソース警察、コスト削減おじさん
    •  好きなAWSサービス
    –  OpsWorks, Lambda, Trusted Advisor

    View Slide

  3. はじめに - AWS Lambdaとは
    •  コードをアップロードするとイベントに応じて実⾏
    •  サーバのプロビジョニング・管理が不要
    •  AWSの⾊々なサービスと連携可能

    View Slide

  4. AWS Lambdaのユースケース@Gunosy
    データ同期
    APIバックエンド
    所謂普通のバッチ
    Amazon
    RDS
    Amazon
    Elasticsearch
    Service
    Amazon
    EMR
    Amazon
    Kinesis
    Amazon
    Cognito
    Amazon API
    Gateway
    AWS
    Lambda
    AWS
    Lambda
    AWS
    Lambda
    監視・管理
    Amazon
    CloudWatch
    Amazon
    SNS
    AWS
    Lambda
    AWS
    OpsWorks
    AWS
    Lambda

    View Slide

  5. AWS Lambdaのユースケース@Gunosy
    監視・管理
    データ同期
    APIバックエンド
    所謂普通のバッチ
    Amazon
    Elasticsearch
    Service
    Amazon
    EMR
    Amazon
    Kinesis
    Amazon
    Cognito
    Amazon
    CloudWatch
    Amazon
    SNS
    Amazon API
    Gateway
    AWS
    Lambda
    AWS
    Lambda
    AWS
    Lambda
    AWS
    OpsWorks
    AWS
    Lambda
    Amazon
    RDS
    AWS
    Lambda

    View Slide

  6. 本⽇お話させていただく内容
    •  Gunosyでは複数のAWSアカウントを利⽤しています
    –  ざっくり⾔うと事業・サービス別

    View Slide

  7. 本⽇お話させていただく内容
    •  事業・サービス別にAWSアカウントを分けていくと…
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing

    View Slide

  8. 本⽇お話させていただく内容
    •  事業・サービス別にAWSアカウントを分けていくと…
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制

    View Slide

  9. 本⽇お話させていただく内容
    •  事業・サービス別にAWSアカウントを分けていくと…
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    Amazon
    CloudWatch
    Amazon
    ElastiCache
    Amazon
    RDS
    Amazon
    Redshift
    Amazon
    EC2
    Elastic Load
    Balancing
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制
    監視・運⽤
    管理統制
    とても煩雑

    View Slide

  10. 本⽇お話させていただく内容
    •  どうにかして省⼒化したい
    –  おそらく今後もアカウントは増える
    –  アカウント新規作成時の初期設定は⼿間
    –  運⽤ツール類を共通化しても更新を反映するのも⼿間

    View Slide

  11. 本⽇お話させていただく内容
    どうしよう

    View Slide

  12. そうだこうしよう
    •  個別に作るのはやめよう
    Service Account 1 Service Account 2 Service Account 3
    Monitoring Account
    監視・運⽤
    管理統制

    View Slide

  13. ポイントは2つ
    1. 別のアカウントに存在するLambdaのInvoke
    2. Lambdaから別アカウントのリソースへのアクセス

    View Slide

  14. 例1)別のアカウントに存在するLambdaのInvoke
    •  CloudWatch Alarmの通知
    Service Account
    Amazon
    CloudWatch
    Monitoring Account
    Amazon
    SNS
    AWS
    Lambda
    ①Publish
    ②Invoke
    サービスアカウント
    からのPublishを許可
    Alarm中のAccountID
    を⾒て通知先を振り分け

    View Slide

  15. 例1)別のアカウントに存在するLambdaのInvoke
    •  SNSのTopicを監視アカウントに置く場合
    –  SNSのTopic PolicyにてサービスアカウントからのPublishを許可
    •  SNSのTopicをサービスアカウントに置く場合
    –  SNSのTopic Policyにて監視アカウントからのアクセス(※)を許可
    •  ※ LambdaSubscribe, ListSubscriptionsByTopic, Receive
    –  Lambda Fuctionにて、サービスアカウントからのInvokeを許可

    View Slide

  16. 例2)Lambdaから別アカウントのリソースへのアクセス
    •  リソースのルール確認(AWS Config的な)
    Service Account Monitoring Account
    Amazon
    SNS
    AWS
    Lambda
    ③Publish
    Amazon
    RDS
    Amazon
    ElastiCache
    Amazon
    Redshift
    AWS STS
    Report
    ①AssumeRole
    ②Describe

    View Slide

  17. 例2)Lambdaから別アカウントのリソースへのアクセス
    •  プロビジョニングのチェック
    Service Account Monitoring Account
    AWS
    Lambda
    ③Invoke
    ①AssumeRole
    ②Describe
    AWS
    Lambda
    AWS
    OpsWorks
    Amazon
    EC2
    AWS STS
    ④AssumeRole
    ⑤Setup

    View Slide

  18. 例2)Lambdaから別アカウントのリソースへのアクセス
    •  サービスアカウント側にて、監視⽤ロールを発⾏
    –  監視アカウントに対しAssumeRoleを許可
    •  監視アカウント側にて、Lambda⽤ロールを発⾏
    –  監視⽤ロールへのAssumeRoleを許可
    Service Account Monitoring Account
    AWS IAM
    Monitoring
    role
    AWS IAM
    Lambda
    role
    AssumeRole
    を許可
    AssumeRole
    を許可

    View Slide

  19. まとめ
    AWS Lambda + クロスアカウントで
    効率的な監視・管理を!

    View Slide

  20. 終わりに
    •  ご清聴ありがとうございました

    View Slide