Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CloudFormation Guard で Policy as Code! 実際どうよ? /...

Yukitaka Ohmura
October 08, 2022
Technology
0
560

CloudFormation Guard で Policy as Code! 実際どうよ? / Policy as Code with CloudFormation Guard

「JAWS DAYS 2022 AWS SA/エキスパート 怒涛のLTチャレンジ」(https://jawsdays2022.jaws-ug.jp/) でお話ししたLTの資料です。

Yukitaka Ohmura

October 08, 2022
Tweet

More Decks by Yukitaka Ohmura

See All by Yukitaka Ohmura
JAWS-UG ちばらき 地味でも大事な re:Invent 2024 / JAWS-UG chibaraki Enjoy cool and unaware feature at pre:Invent 2024
ohmura
3
120
20240208_CFn_IaC_Gen_with_CDK.pdf
ohmura
1
320
CloudFormation IaC generatorを使った既存AWS環境の管理方法 / Managing existing environment with AWS CFn IaC generator
ohmura
9
3.6k
スタートアップに学ぶイノベーションの起こし方とクラウドの活用方法 / Learning from startup - how to innovate and to use AWS
ohmura
0
160
AWS Well-Architected Framework 2023年10月 アップデート情報 / AWS Well-Architected Framework Oct. 2023 update
ohmura
0
790
Cloud Financial Management ~AWSコストの可視化・最適化・予測・FinOps~ / Cloud Financial Management Overview
ohmura
8
4.7k
What we leaned about CDK from developing BLEA
ohmura
0
84

Other Decks in Technology

See All in Technology
さくらの夕べ Debianナイト - さくらのVPS編
dictoss
0
140
ゆるくVPC Latticeについてまとめてみたら、意外と奥深い件
masakiokuda
2
210
LINEギフトのLINEミニアプリアクセシビリティ改善事例
lycorptech_jp
PRO
0
340
TopAppBar Composableをカスタムする
hunachi
0
170
AIエージェントの地上戦 〜開発計画と運用実践 / 2025/04/08 Findy W&Bミートアップ #19
smiyawaki0820
18
5.1k
MCP Documentation Server @AI Coding Meetup #1
yyoshiki41
1
2.3k
データベースで見る『家族アルバム みてね』の変遷 / The Evolution of Family Album Through the Lens of Databases
kohbis
4
1.1k
Enterprise AI in 2025?
pamelafox
0
140
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming
tomzoh
0
130
20250413_湘南kaggler会_音声認識で使うのってメルス・・・なんだっけ?
sugupoko
0
120
モンテカルロ木探索のパフォーマンスを予測する Kaggleコンペ解説 〜生成AIによる未知のゲーム生成〜
rist
4
1.3k
SRE NEXT CfP チームが語る 聞きたくなるプロポーザルとは / Proposals by the SRE NEXT CfP Team that are sure to be accepted
chaspy
1
520

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
How to train your dragon (web standard)
notwaldorf
91
6k
RailsConf 2023
tenderlove
29
1k
Making Projects Easy
brettharned
116
6.1k
Java REST API Framework Comparison - PWX 2021
mraible
29
8.5k
Fireside Chat
paigeccino
37
3.4k
Why Our Code Smells
bkeepers
PRO
336
57k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.6k
Become a Pro
speakerdeck
PRO
27
5.3k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.2k
Optimizing for Happiness
mojombo
377
70k

Transcript

  1. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. ⼤村 幸敬 Manager, Solutions Architect Amazon Web Services Japan 2022/10/08 CloudFormation Guard で Policy as Code︕ 実際どうよ︖ J AW S D AY S 2 0 2 2 AW S S A / エ キ ス パ ー ト 怒 涛 の LT チ ャ レ ン ジ

  2. © 2022, Amazon Web Services, Inc. or its affiliates. ⼤村

    幸敬(おおむら ゆきたか) 部⻑ / シニア ソリューションアーキテクト • これからクラウドを使いはじめる エンタープライズ企業をサポート • 運⽤系サービス & DevOps 系サービスをリード • Baseline Environment on AWS (BLEA) 開発者 好きなAWSのサービス︓ AWS Command Line Interface (CLI) AWS Cloud Development Kit (CDK) AWS Systems Manager Incident Manager @yktko 2

  3. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. Policy as Code 3

  4. © 2022, Amazon Web Services, Inc. or its affiliates. Policy

    as Code が実現する世界 開発から運⽤までいずれの⼯程でもシステム環境が ポリシーに適合していることをコードで検証できる 4 CFn 検証 コーディング デプロイ 稼働環境 ポリシーコード (従うべきセキュリティ等を定義) CloudFormation (CFn) 検証 検証 CloudFormation テンプレート

  5. © 2022, Amazon Web Services, Inc. or its affiliates. Policy

    as Code on AWS の現状 1. CFnテンプレートの検証: cfn-guard, cfn_nag, cfn-lint 2. CFnデプロイ時の 予防的ガードレール: CFn Hooks 3. 稼働環境の 発⾒的ガードレール: AWS Config Rules 5 CFn cfn-guard コーディング デプロイ 稼働環境 CloudFormation CFn Hooks Config Rules (カスタムルール) CloudFormation テンプレート

  6. © 2022, Amazon Web Services, Inc. or its affiliates. Policy

    as Code on AWS の課題 • 同じポリシーを異なる形式で定義する必要がある § cfn-guard → Guard DSLで定義 § AWS Config Rules → Lambdaコード+RDK*で定義 6 CFn cfn-guard コーディング デプロイ 稼働環境 CloudFormation Config Rules (カスタムルール) CloudFormation テンプレート *RDK = Rule Development Kit https://github.com/awslabs/aws-config-rdk CFn Guard DSL Lambda+ RDK

  7. © 2022, Amazon Web Services, Inc. or its affiliates. Config

    Rules を CFn Guard DSLで定義可能に 7 Q: 同じDSLでCFnテンプレートも 実環境も検証できるのでは︖ CFn cfn-guard コーディング デプロイ 稼働中環境 CloudFormation Config Rules (w/CFn Guard DSL) CloudFormation テンプレート CFn Guard DSL

  8. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. やってみた 8

  9. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. の前に CFn Guard おさらい 9

  10. © 2022, Amazon Web Services, Inc. or its affiliates. AWS

    CloudFormation Guard (CFn Guard) • 2020年10⽉ CFn Guard 1.0 がリリース • 2021年5⽉ 2.0 がリリースされ DSLが⼤きく変更(1.0と⾮互換) • 2022年6⽉ 2.1 がリリース • 2022年8⽉ Config Rules が CFn Guard DSL に対応 10 https://github.com/aws-cloudformation/cloudformation-guard

  11. © 2022, Amazon Web Services, Inc. or its affiliates. CFn

    Guard (フェーズ1: ルールとテストを書く) 11 S3が暗号化されていることを 検証するルール (Guard DSL) s3-encrypt.guard ルールのテストコード (YAML) s3-encrypt_tests.yaml ルールのテスト実⾏ (Guard CLI) すべてのテストが意図した結果になり テストをPASSしている

  12. © 2022, Amazon Web Services, Inc. or its affiliates. CFn

    Guard (フェーズ2: CFnテンプレートの検証) 12 S3が暗号化されていることを 検証するルール (Guard DSL) s3-encrypt.guard CFnテンプレ (S3バケット暗号化あり) ルールで検証(PASS) s3-encrypted.yaml s3-un-encrypted.yaml CFnテンプレ (S3バケット暗号化なし) ルールで検証(FAIL)

  13. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. AWS Config Rules を CFn Guard DSLで定義 13

  14. © 2022, Amazon Web Services, Inc. or its affiliates. 同じDSLで

    CFnテンプレート と Config を検証するルール (Parameterized Rules) 14 https://github.com/aws-cloudformation/cloudformation-guard/releases/tag/2.1.0 For CFn For CFn For Config For Config 共通のルールへそれぞれから適したパラメータを渡す サンプルルールの内容(抜粋) CFn Guard GitHubのサンプルコード CFnテンプレートの検証はOK︕ (中略)

  15. © 2022, Amazon Web Services, Inc. or its affiliates. Parameterized

    Rulesサンプルで Config Rules を定義する 15 https://aws.amazon.com/jp/blogs/mt/announcing-aws-config-custom-rules-using-guard-custom-policy/

  16. © 2022, Amazon Web Services, Inc. or its affiliates. Parameterized

    Rulesサンプルで Config Rules を定義する 16

  17. © 2022, Amazon Web Services, Inc. or its affiliates. Parameterized

    Rulesサンプルで Config Rules を定義する 17 😇

  18. © 2022, Amazon Web Services, Inc. or its affiliates. Parameterized

    Rulesサンプルで Config Rules を定義する 18 😭

  19. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. (今は)できませんでした 19

  20. © 2022, Amazon Web Services, Inc. or its affiliates. まとめ

    20 Q: 同じGuard DSLで CFnテンプレートも実環境も検証できるのでは︖ A: もう少し、こなれてくる必要がありそう CFn cfn-guard コーディング デプロイ 稼働中環境 CloudFormation Config Rules (w/CFn Guard DSL) CloudFormation テンプレート CFn Guard DSL

  21. © 2022, Amazon Web Services, Inc. or its affiliates. まとめ

    21 CloudFormationテンプレートの検証に Config カスタムルールの開発に CFn Guard それぞれお試しください︕ CFn cfn-guard コーディング デプロイ 稼働環境 CloudFormation CFn Hooks Config Rules (カスタムルール w/CFn Guard) CloudFormation テンプレート

  22. © 2022, Amazon Web Services, Inc. or its affiliates. ©

    2022, Amazon Web Services, Inc. or its affiliates. Thank you ! 22 Email: ohmurayu@amazon.co.jp Twitter: @yktko