Upgrade to Pro — share decks privately, control downloads, hide ads and more …

管理統制もLambdaで!

Mamoru Ohashi
January 21, 2016
Technology
0
23

 管理統制もLambdaで!

JAWS-UGアーキテクチャ支部クラウドネイティブ分科会 CDP討論会 #5 にて発表させて頂いた資料のPublish版です。
今回の議題はLambda縛りだったので、当社のAWSアカウントの管理統制にて採用しているLambdaのアーキテクチャについて書いてみました。

Mamoru Ohashi

January 21, 2016
Tweet

More Decks by Mamoru Ohashi

See All by Mamoru Ohashi
ソフトウェア開発子会社立ち上げのためのタスク管理術〜Asana活用で"混乱期"を乗り越える〜
mamohacy
1
310
NW-JAWS誕生秘話:シーズン1を終えるにあたって
mamohacy
1
110
リスキリングの特効薬!「技術コミュニティ」のススメ
mamohacy
1
1.4k
KDDIにおけるクラウド活⽤のあゆみ〜CCoEが率いる社内カルチャー変⾰〜
mamohacy
1
110
シゴトをジモトに運び込め〜大企業でCCoEやってた私が地元に事業所を作るまで〜
mamohacy
2
340
地域ICTクラブ 令和4年度 地域交流会 in 静岡(沼津)
mamohacy
1
550
コミュニティづくりは甘くない!〜亀田さんからの宿題回答編〜
mamohacy
0
120
SlideShareをやめて SpeakerDeckに移行します
mamohacy
1
2.2k
エンタープライズ・コミュニティジャーニー 〜KDDIにおけるコミュニティ文化醸成と人材教育への取り組み〜
mamohacy
1
650

Other Decks in Technology

See All in Technology
Shinagile 2024
kawaguti
PRO
2
120
エムスリーマルチデバイスチーム紹介資料 / Introduction of M3 Multi Device Team
m3_engineering
1
160
Blazor WASM × Code-first gRPC で始める C# ⼤統⼀理論
sansantech
PRO
1
540
エムスリーQAチーム紹介資料 / Introduction of M3 QA Team
m3_engineering
1
320
生成AIと産業向けソフトウェアの自動生成 〜 ハノーバーメッセ2024より〜
kioto
2
420
SWC Transformerから見るTypeScript関数記述ベストプラクティス
fujiyamaorange
1
180
Step by Stepで学ぶ、ADT(代数的データ型)、モナドからEffect-TSまで
leveragestech
1
3k
多言語化対応における TypeScript の型定義を通して開発のしやすさについて考えた / TSKaigi TypeScript Multilingualization
nabeliwo
2
390
スクラムに出会って「できた」を実感できるようになってきた話 / Scrum makes me feel like I can do it
yayoi_dd
2
110
Domain-driven Design: A Complete Example
ewolff
2
260
Google Cloud Next '24 Recap in ZOZO AIにより変わる開発 運用/Development and operation changed by AI
gachimuchiengineer
0
200
TDD - Test Driven Drupal
opdavies
0
3k

Featured

See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
56
9.3k
BBQ
matthewcrist
80
8.8k
Building Applications with DynamoDB
mza
88
5.7k
Building an army of robots
kneath
300
41k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k
For a Future-Friendly Web
brad_frost
172
9k
Designing for humans not robots
tammielis
247
25k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
20
1.8k
What’s in a name? Adding method to the madness
productmarketing
PRO
17
2.7k
The Invisible Side of Design
smashingmag
294
49k
Six Lessons from altMBA
skipperchong
22
3k
Testing 201, or: Great Expectations
jmmastey
30
6.4k

Transcript

  1. Mamoru Ohashi @mamohacy @mamohacy @NERF22#20150915 管理統制もLambdaで! 〜 AWSによるAWS⾃⾝の管理統制の⾃動化 〜 2016.01.21

  2. @mamohacy 1 ⼤橋 衛(オオハシマモル) 1974/10/01(41歳) AWS Solution Archtect(associate) ずっとエンタープライズ畑 アプリ開発エンジニア12年

    インフラ設計エンジニア4年 2013年 AWSに出会い衝撃を受ける 2016年1⽉より某社にて AWSコンサル/セキュリティ監査業務に 従事 家族︓妻、娘2⼈ 趣味︓スノーボード、読書 絶賛本名プレイ中 @mamohacy http://blog.mamohacy.tribrid- jp.com/ ⾃⼰紹介 @NERF22#20150915

  3. @mamohacy 2 私の所属部⾨の担当業務 @NERF22#20150915 AWSまわりの各種管理統制 ・アカウント管理 ・セキュリテイガバナンス ・利⽤料⾦管理 メンバー少ない(15システム/⽉600万円 →

    5⼈でメンテ) 運⽤の⾃動化・監査の⾃動化は必須(やんないと死ぬ・・・) 監査⾃動化+メール通知+ChatOps このへんに 使ってます︕

  4. @mamohacy 3 セキュリティガバナンス︖ @NERF22#20150915    "'  #(

      QK*  QK       3 +J4F7 PA)J4F7   +/,6, <5BDI $ DI -2 $ %'D;1C=H +!&9>=H M5GL:.:=H M5GL:  %'D; R0?@ SN8OE

  5. @mamohacy 4 【参考】CloudTrailフィルタ • CloudTrailのログ内容をリアルタイムでフィルタリング • 条件⼀致したレコードが⾒つかった際に既定のアクションを実⾏ • アクションにはメール発出の他に⾃作プログラムの起動も指定可能 CloudTrail

    CloudWatch Logs CloudWatch Metrics Filter + +

  6. @mamohacy 5 発生内容 検知手段 対策 IAMユーザーへのアクセス権限設定の追加・変更・削除 CloudTrailフィルタ メール通知 IAMグループへのアクセス権限設定の追加・変更・削除 CloudTrailフィルタ

    メール通知 IAMアカウント管理統制 IAM User 追加/更新 削除(紐付けの解除) IAM Group 所属 IAM Policy 追加/更新 削除(紐付けの解除) (アクセス権限設定) 作成 削除 除外 IAMユーザーの追加と削除ならびにグループへの所属と除外は権限としてデフォルト許可。 それ以外の操作は運⽤で禁⽌とするが、万が⼀実⾏された場合に備えこれを検知できる仕組みも具備する。

  7. @mamohacy 6 How to Use Lambda!? 当部のアカウント 開発部のアカウント @virginia @virginia

    @tokyo 共通機能 共通機能 不正な権限操作が⾏われていないか︖ そもそもIAMの権限にIAMの権限操作を 付与していない(rootアカウントだけが可能) 我々が操作するときは周知して実⾏する JSON->TXT変換 アカウント名付与 当部運⽤者へ メール通知

  8. @mamohacy 7 発生内容 検知手段 対策 rootアカウントによるマネジメントコンソールへのログイン CloudTrailフィルタ メール通知 IAMアカウントによるマネジメントコンソールへの連続ログイン失敗 CloudTrailフィルタ

    メール通知 不許可ロケーションからのログイン IAMポリシー設定 ブロック(※) 不正ログイン対策 User User User rootログインの成功 IAMログインの連続失敗(3回) 不許可ロケーションからのログイン ※マネジメントコンソールへのログインは可能だがAWSの全リソースにアクセス不可状態となる

  9. @mamohacy 8 How to Use Lambda!? 当部のアカウント 開発部のアカウント @virginia @virginia

    @tokyo 共通機能 共通機能 IAMログインの 失敗を検知 同⼀ユーザー &n分間で x回連続︖ JSON->TXT変換 アカウント名付与 当部運⽤者へ メール通知 個別機能 共通機能

  10. @mamohacy 9 発生内容 検知方法/対策 通知方法 ログの不正読み取り SSE-KMSによる暗号化 ブロック ログの不正削除 削除時のMFA必須化設定

    バケットポリシー設定 ブロック ログの不正改竄、持ち出し IAMアカウントのアクセス権限設定 ブロック CloudTrailログへのアクセス権限設定変更 独自構築(※1) ブロック&メール通知 CloudTrailログ保全 User 不正読み取り 不正削除/不正改竄 不正改竄・不正持出し アクセス権限設定変更 CloudTrailログ 暗号化 ※2︓アクセス権限設定のログを定期検査し、異常が⾒つかった時点で強制的に元の権限に戻したうえメール通知も⾏う CloudTrailログは旧来でいうところのカメラ映像や⼊退室ログに相当するため改竄や持ち出しについても厳重に管理します (永年保存)

  11. @mamohacy 10 How to Use Lambda!? 当部のアカウント 開発部のアカウント @virginia @virginia

    @tokyo 共通機能 共通機能 • 1⽇1回定期実⾏ • CloudTrail関連の権限が付与さ れていないか、全ポリシー/ ロール/アタッチ状態をチェッ ク • 問題があれば強制排除&SNS 呼び出し JSON->TXT変換 アカウント名付与 当部運⽤者へ メール通知 個別機能

  12. @mamohacy 11 料⾦管理 @NERF22#20150915 11 全管理対象アカウントの料⾦を常時監視 ・予算との乖離がないか︖ ・急激な利⽤費上昇がないか ・⼀定⾦額を超えてからでは遅い ⽇々のチェックが重要、だけど・・

    毎回コストエクスプローラーでちまちま・・とかやってられ ない︕

  13. @mamohacy 12 How to Use Lambda!? • 1⽇1回定期実⾏ • Billingを取得する別のLambda

    FunctionをInvoke • 受け取った値を整形して WebHookをCall(Curl) CloudWatchのBilling情報を取得 して返すだけ 各アカウント 1つのチャネルにアカウント毎に その⽇の料⾦が吐き出される ・前々⽇との伸び率 ・前⽇の費⽤ ・前々⽇の費⽤ ・当⽉の合計費⽤

  14. @mamohacy 13 まとめと感想 uSNS->Lambdaの組合せは⾄る所で使える魔法の杖 u処理の細かい単位でLambdaを組んでいくのはあり • 合計値算出処理 • JSON->TXTパース •

    etc u同期処理が深くなるのはバッドプラクティス︖