Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2025-09-25 SRETT #13 ConftestによるTerraformのPolic...

Avatar for SUZUKI Masashi SUZUKI Masashi
September 25, 2025
Technology
0
150

2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる

[3-shake SRE Tech Talk #13 オンサイト - connpass](https://3-shake.connpass.com/event/362683/)
でLTした内容。

Conftestを軽く試してみた内容。もう少し深堀りして、再度発表したいところ。

Avatar for SUZUKI Masashi

SUZUKI Masashi

September 25, 2025
Tweet

More Decks by SUZUKI Masashi

See All by SUZUKI Masashi
2025-09-19 クラウドにおけるシークレット管理
Avatar for SUZUKI Masashi masasuzu
0
100
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
Avatar for SUZUKI Masashi masasuzu
0
28
2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった
Avatar for SUZUKI Masashi masasuzu
2
440
2025-01-31 吉祥寺.pm 37 初めての海外カンファレンス
Avatar for SUZUKI Masashi masasuzu
0
540
2025-01-24-SRETT11-OpenTofuについてそろそろ調べてみるか
Avatar for SUZUKI Masashi masasuzu
0
1.6k
2024-03-29 SRETT9 Cloud SQLの可用性について
Avatar for SUZUKI Masashi masasuzu
0
510
2023-12-18 SRETT8 Terraform使いがPulumiに入門する
Avatar for SUZUKI Masashi masasuzu
0
2.5k
2023-12-01 吉祥寺.pm ベストプラクティスと組織とIaC
Avatar for SUZUKI Masashi masasuzu
1
1.7k
SRETT#6_Terraformのtfstateについて考える
Avatar for SUZUKI Masashi masasuzu
2
3.9k

Other Decks in Technology

See All in Technology
React19.2のuseEffectEventを追う
Avatar for マグロ隊長kinTV maguroalternative
2
560
研究開発部メンバーの働き⽅ / Sansan R&D Profile
Avatar for Sansan, Inc. sansan33
PRO
3
20k
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.8k
AIエージェント入門 〜基礎からMCP・A2Aまで〜
Avatar for Shu Kobuchi shukob
0
120
Copilot Studio ハンズオン - 生成オーケストレーションモード
Avatar for tomoyasasaki tomoyasasakimskk
0
160
ハノーファーメッセ2025で見た生成AI活用ユースケース.pdf
Avatar for 濱田孝治 hamadakoji
0
210
OpenTelemetry が拡げる Gemini CLI の可観測性
Avatar for Tomonori Hayashi phaya72
2
940
AIフル活用で挑む!空間アプリ開発のリアル
Avatar for TAAT taat
0
110
ローカルLLMとLINE Botの組み合わせ その2(EVO-X2でgpt-oss-120bを利用) / LINE DC Generative AI Meetup #7
Avatar for you(@youtoy) you
PRO
0
130
会社を支える Pythonという言語戦略 ~なぜPythonを主要言語にしているのか?~
Avatar for curekoshimizu curekoshimizu
1
180
CNCFの視点で捉えるPlatform Engineering - 最新動向と展望 / Platform Engineering from the CNCF Perspective
Avatar for hhiroshell hhiroshell
0
110
20251007: What happens when multi-agent systems become larger? (CyberAgent, Inc)
Avatar for Arata Furukawa ornew
1
510

Featured

See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
285
14k
Code Review Best Practice
Avatar for Trisha Gee trishagee
72
19k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
8.9k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
185
22k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
127
54k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
7k
Writing Fast Ruby
Avatar for Erik Berlin sferik
629
62k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.7k

Transcript

  1. ConftestによるTerraformの Policy as Codeを試してみる Copyright © 3-shake, Inc. All Rights

    Reserved. 2025-09-25 SRETT #13 すずきまさし

  2. Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •

    すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部所属 • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ◦ Terraform

  3. ある程度規模が大きくなると Terraformの規約を効かせるのが難しくなる。 そのために、以下の方法を検討したが、うまくいかない。 • レビューを徹底 ◦ 人間なのでどうしても限界がある • AWS Config

    修復アクション ◦ 事後なのでTerraformとの差分が出る ◦ 作る前にチェックしたい ◦ Google Cloudで使えない GitHub ActionsなどのCI上で動くうまいポリシーチェックのソリューションがないか。 Copyright © 3-shake, Inc. All Rights Reserved. 最近の悩み 3

  4. • trivy config (tfsec) ◦ セキュリティに限らずポリシーもチェックしたい • tflint ◦ 静的解析なので限界がある

    • Sentinel ◦ HCP Terraform前提 Copyright © 3-shake, Inc. All Rights Reserved. ツール検討 4

  5. • OPA(Open Policy Agent)を内部的に利用 • 設定ファイルがポリシーに準拠しているかをチェックするポリシーエンジン • ポリシー記述はRegoという宣言型言語を用いる • terraformのplan結果をチェックすることができる

    • Policy as Codeの実現 Copyright © 3-shake, Inc. All Rights Reserved. Conftest 5

  6. Policy as Codeとは、セキュリティ、コンプライアンス、運用などに関するポリシー (ルール)を、人間が読むため だけの文書ではなく、コードとして定義・管理・実行するアプローチです。これにより、 ITインフラやアプリケーショ ンのライフサイクル全体で、ポリシー準拠を自動的に検証・強制することが可能になります。 以下のようなメリットがあります • 自動化とフィードバック

    ◦ CI/CDパイプラインに組み込むことで早期に開発者にフィードバック • 一貫性と再現性 ◦ ポリシーがコードとして表現されるので環境全体で一貫したポリシーを実現 • 可視性と透明性 ◦ ポリシーをレポジトリ管理することで変更履歴が残る Copyright © 3-shake, Inc. All Rights Reserved. Policy as Code(PaC) 6

  7. opa evalでも同じようなことができますが、 ポリシーに準拠しているかどうかをチェックするには conftestの方が向いてそう Copyright © 3-shake, Inc. All Rights

    Reserved. opa eval VS conftest test 7 opa eval conftest test 入力形式 JSON YAML, JSON, Dockerfile, HCL 出力結果 評価結果 テスト結果 出力形式 JSON プログラムが読むことを意図 TAP, JSON, JUnit, Table 人間が読みやすい形式が選択可能

  8. • インスタンスを1つ作る Copyright © 3-shake, Inc. All Rights Reserved. 実装例

    main.tf 8

  9. Copyright © 3-shake, Inc. All Rights Reserved. 実装例 policy.rego 9

    インスタンス名が命名規則に そってるかどうかをチェックす る

  10. • terraform planをjsonに変換したものを入力に渡してチェックする ◦ 変更する部分がポリシーに沿ってるかチェックしたい Copyright © 3-shake, Inc. All

    Rights Reserved. 実行形式 10

  11. 1. 成功例:instance.name = “dev-someservice” 2. 失敗例:instance.name = “daev-someservice” Copyright ©

    3-shake, Inc. All Rights Reserved. 出力例 11

  12. • 日本語ブログやスライドにあるサンプルコードが動かない ◦ サンプルコードだと deny[msg] のような記載になってるが、エラーになる ◦ v0の記述のようです。 Copyright ©

    3-shake, Inc. All Rights Reserved. 調べるに当たってはまったこと 12

  13. • ConftestでPolicy as Codeを実現できる • terraform plan結果をチェックさせることでポリシーを強制することができる • 規模が大きくなったときにポリシーチェックがスケールするようになる Copyright

    © 3-shake, Inc. All Rights Reserved. まとめ 13

  14. • Regoの学習コストをどう取るか ◦ 今まで使ってきた言語よりクセがある ◦ 簡単な例しか試していないが、複雑なポリシーを書くときにどうなるか • 採用例があまり多くない印象 • 継続調査

    ◦ もう少し使ってみてから判断したい Copyright © 3-shake, Inc. All Rights Reserved. 所感 14