Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2025-09-25 SRETT #13 ConftestによるTerraformのPolic...

Avatar for SUZUKI Masashi SUZUKI Masashi
September 25, 2025
Technology
0
100

2025-09-25 SRETT #13 ConftestによるTerraformのPolicy as Codeを試してみる

[3-shake SRE Tech Talk #13 オンサイト - connpass](https://3-shake.connpass.com/event/362683/)
でLTした内容。

Conftestを軽く試してみた内容。もう少し深堀りして、再度発表したいところ。

Avatar for SUZUKI Masashi

SUZUKI Masashi

September 25, 2025
Tweet

More Decks by SUZUKI Masashi

See All by SUZUKI Masashi
2025-09-19 クラウドにおけるシークレット管理
Avatar for SUZUKI Masashi masasuzu
0
66
2025-08-05 Google Cloud Next Tokyo 2025 Cloud RunとCloud SQLの接続方式と事例
Avatar for SUZUKI Masashi masasuzu
0
21
2025-06-20 PrivateLinkがNLBなしで作れるようになり便利になった
Avatar for SUZUKI Masashi masasuzu
2
410
2025-01-31 吉祥寺.pm 37 初めての海外カンファレンス
Avatar for SUZUKI Masashi masasuzu
0
540
2025-01-24-SRETT11-OpenTofuについてそろそろ調べてみるか
Avatar for SUZUKI Masashi masasuzu
0
1.5k
2024-03-29 SRETT9 Cloud SQLの可用性について
Avatar for SUZUKI Masashi masasuzu
0
500
2023-12-18 SRETT8 Terraform使いがPulumiに入門する
Avatar for SUZUKI Masashi masasuzu
0
2.5k
2023-12-01 吉祥寺.pm ベストプラクティスと組織とIaC
Avatar for SUZUKI Masashi masasuzu
1
1.7k
SRETT#6_Terraformのtfstateについて考える
Avatar for SUZUKI Masashi masasuzu
2
3.8k

Other Decks in Technology

See All in Technology
Streamlit は社内ツールだけじゃない!PoC の速さで実現する'商用品質'の分析 SaaS アーキテクチャ
Avatar for 𝕂' kdash
2
970
AI Agentと MCP Serverで実現する iOSアプリの 自動テスト作成の効率化
Avatar for スパイダープラス株式会社 spiderplus_cb
0
200
業務でAIの力を最大限に発揮するために #弁護士ドットコム
Avatar for 弁護士ドットコム bengo4com
0
290
日経が挑戦するデータ民主化 ~ セルフサービス基盤がもたらす利点と苦悩~/nikkei-tech-talk-37
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
210
Function calling機能をPLaMo2に実装するには / PFN LLMセミナー
Avatar for Preferred Networks pfn
PRO
0
180
【GPT-5本出版記念】npaka による AIの今とこれから と AI時代の生存戦略
Avatar for npaka npaka
2
810
Flaky Testへの現実解をGoのプロポーザルから考える | Go Conference 2025
Avatar for upamune / Yu SERIZAWA upamune
1
210
Why React!?? Next.jsそしてReactを改めてイチから選ぶ
Avatar for ypresto ypresto
9
3.1k
PyCon JP 2025 DAY1 「Hello, satellite data! ~Pythonではじめる衛星データ解析~」
Avatar for ぴっかりん ra0kley
0
690
FastAPIの魔法をgRPC/Connect RPCへ
Avatar for MonotaRO monotaro
PRO
0
420
Geospatialの世界最前線を探る [2025年版]
Avatar for Yasunori Kirimoto dayjournal
2
430
北海道の人に知ってもらいたいGISスポット / gis-spot-in-hokkaido-2025
Avatar for sakaik sakaik
0
180

Featured

See All Featured
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1.1k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
330
21k
The Language of Interfaces
Avatar for Des Traynor destraynor
162
25k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.5k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.9k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.2k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1.2k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k

Transcript

  1. ConftestによるTerraformの Policy as Codeを試してみる Copyright © 3-shake, Inc. All Rights

    Reserved. 2025-09-25 SRETT #13 すずきまさし

  2. Copyright © 3-shake, Inc. All Rights Reserved. おまえだれよ 2 •

    すずきまさし/masasuzu/@masasuz • 株式会社スリーシェイクSreake事業部所属 • クラウドインフラなんでも屋さんをしてます ◦ お客様の外部から ▪ 設計、運用、構築等の技術支援を行います。 ◦ お客様の内部から ▪ インフラチームの一員として内製化支援も行います。 • 得意領域 ◦ AWS ▪ AWS Community Builder Cloud Operation Since 2024 ▪ 2025 Japan All AWS Certifications Engineers ◦ Google Cloud ◦ Terraform

  3. ある程度規模が大きくなると Terraformの規約を効かせるのが難しくなる。 そのために、以下の方法を検討したが、うまくいかない。 • レビューを徹底 ◦ 人間なのでどうしても限界がある • AWS Config

    修復アクション ◦ 事後なのでTerraformとの差分が出る ◦ 作る前にチェックしたい ◦ Google Cloudで使えない GitHub ActionsなどのCI上で動くうまいポリシーチェックのソリューションがないか。 Copyright © 3-shake, Inc. All Rights Reserved. 最近の悩み 3

  4. • trivy config (tfsec) ◦ セキュリティに限らずポリシーもチェックしたい • tflint ◦ 静的解析なので限界がある

    • Sentinel ◦ HCP Terraform前提 Copyright © 3-shake, Inc. All Rights Reserved. ツール検討 4

  5. • OPA(Open Policy Agent)を内部的に利用 • 設定ファイルがポリシーに準拠しているかをチェックするポリシーエンジン • ポリシー記述はRegoという宣言型言語を用いる • terraformのplan結果をチェックすることができる

    • Policy as Codeの実現 Copyright © 3-shake, Inc. All Rights Reserved. Conftest 5

  6. Policy as Codeとは、セキュリティ、コンプライアンス、運用などに関するポリシー (ルール)を、人間が読むため だけの文書ではなく、コードとして定義・管理・実行するアプローチです。これにより、 ITインフラやアプリケーショ ンのライフサイクル全体で、ポリシー準拠を自動的に検証・強制することが可能になります。 以下のようなメリットがあります • 自動化とフィードバック

    ◦ CI/CDパイプラインに組み込むことで早期に開発者にフィードバック • 一貫性と再現性 ◦ ポリシーがコードとして表現されるので環境全体で一貫したポリシーを実現 • 可視性と透明性 ◦ ポリシーをレポジトリ管理することで変更履歴が残る Copyright © 3-shake, Inc. All Rights Reserved. Policy as Code(PaC) 6

  7. opa evalでも同じようなことができますが、 ポリシーに準拠しているかどうかをチェックするには conftestの方が向いてそう Copyright © 3-shake, Inc. All Rights

    Reserved. opa eval VS conftest test 7 opa eval conftest test 入力形式 JSON YAML, JSON, Dockerfile, HCL 出力結果 評価結果 テスト結果 出力形式 JSON プログラムが読むことを意図 TAP, JSON, JUnit, Table 人間が読みやすい形式が選択可能

  8. • インスタンスを1つ作る Copyright © 3-shake, Inc. All Rights Reserved. 実装例

    main.tf 8

  9. Copyright © 3-shake, Inc. All Rights Reserved. 実装例 policy.rego 9

    インスタンス名が命名規則に そってるかどうかをチェックす る

  10. • terraform planをjsonに変換したものを入力に渡してチェックする ◦ 変更する部分がポリシーに沿ってるかチェックしたい Copyright © 3-shake, Inc. All

    Rights Reserved. 実行形式 10

  11. 1. 成功例:instance.name = “dev-someservice” 2. 失敗例:instance.name = “daev-someservice” Copyright ©

    3-shake, Inc. All Rights Reserved. 出力例 11

  12. • 日本語ブログやスライドにあるサンプルコードが動かない ◦ サンプルコードだと deny[msg] のような記載になってるが、エラーになる ◦ v0の記述のようです。 Copyright ©

    3-shake, Inc. All Rights Reserved. 調べるに当たってはまったこと 12

  13. • ConftestでPolicy as Codeを実現できる • terraform plan結果をチェックさせることでポリシーを強制することができる • 規模が大きくなったときにポリシーチェックがスケールするようになる Copyright

    © 3-shake, Inc. All Rights Reserved. まとめ 13

  14. • Regoの学習コストをどう取るか ◦ 今まで使ってきた言語よりクセがある ◦ 簡単な例しか試していないが、複雑なポリシーを書くときにどうなるか • 採用例があまり多くない印象 • 継続調査

    ◦ もう少し使ってみてから判断したい Copyright © 3-shake, Inc. All Rights Reserved. 所感 14