Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PayPayにおける 大規模インフラ運用自動化への取り組み

Avatar for PayPay PayPay
November 04, 2022
Technology
4
1.6k

PayPayにおける 大規模インフラ運用自動化への取り組み

Speaker: Tomoki Nishinaka
Presented at: 運用を楽にしよう!AWS Systems Manager 事例祭り

Avatar for PayPay

PayPay

November 04, 2022
Tweet

More Decks by PayPay

See All by PayPay
Building Sustainable Quality Development
Avatar for PayPay paypay
0
150
「共感」で繋ぐプロダクトマネジメント
Avatar for PayPay paypay
0
6.6k
QA Processes Supporting High-Frequency Releases
Avatar for PayPay paypay
0
270
PayPayでのDynamoDB活用事例について
Avatar for PayPay paypay
16
15k
PayPayでのAWS活用事例について
Avatar for PayPay paypay
17
6.4k
TiDB at PayPay : Why we chose & How we operate
Avatar for PayPay paypay
9
7k

Other Decks in Technology

See All in Technology
Quarkusで作るInteractive Stream Application
Avatar for Tomohiro Hashidate joker1007
0
160
メッセージ駆動が可能にする結合の最適化
Avatar for かとじゅん j5ik2o
6
780
DDD x Microservice Architecture : Findy Architecture Conf 2025
Avatar for syobochim syobochim
12
3.1k
改竄して学ぶコンテナサプライチェーンセキュリティ ~コンテナイメージの完全性を目指して~/tampering-container-supplychain-security
Avatar for mochizuki875 mochizuki875
1
360
AI駆動開発を実現するためのアーキテクチャと取り組み
Avatar for Yuichiro Yamashita baseballyama
13
7.7k
はじめての OSS コントリビューション 〜小さな PR が世界を変える〜
Avatar for Chihiro Ito chiroito
4
350
不確実性に備える ABEMA の信頼性設計とオブザーバビリティ基盤
Avatar for Katsutoshi Nagaoka nagapad
3
4.3k
[CV勉強会@関東 ICCV2025] WoTE: End-to-End Driving with Online Trajectory Evaluation via BEV World Model
Avatar for Shin-kyoto shinkyoto
0
290
Post-AIコーディング時代のエンジニア生存戦略
Avatar for shinoyu shinoyu
0
300
膨大なデータをどうさばく? Java × MQで作るPub/Subアーキテクチャ
Avatar for igu zenta
0
120
グローバルなコンパウンド戦略を支えるモジュラーモノリスとドメイン駆動設計
Avatar for かわうそ kawauso
3
5.6k
学術的根拠から読み解くNotebookLMの音声活用法
Avatar for Shu Kobuchi shukob
0
130

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
24k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.2k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
6.1k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
17k
Scaling GitHub
Avatar for Zach Holman holman
463
140k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
140
34k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k

Transcript

  1. PayPayにおける 大規模インフラ運用自動化への取り組み 運用を楽にしよう!AWS Systems Manager 事例祭り 1

  2. 2 名前:Tomoki Nishinaka 所属:PayPay株式会社 Cloud Infrastructure Team 役割:Tech Lead 好きなAWSサービス:

    AWS IAM Identity Center(AWS SSO) 自己紹介

  3. 3 登録ユーザー 5,100万人到達!
 PayPayについて ※ 2022年9月時点 当社調べ


  4. 4 PayPayのシステム

  5. 5 ❏ 脆弱性対応のためのデータ収集及び修正パッチ適用 • 運用台数が数千台規模のため、 ◦ SSHやAnsibleなどで情報収集は困難 ◦ 収集した情報を集中管理をする必要がある ◦

    修正パッチを迅速に配信する必要がある ❏ 踏み台サーバの管理 • 入退社があるたびにユーザ・鍵管理が必要 運用する上での課題

  6. 6 ❏ Systems Managerの導入の前にやってよかったこと • 全インフラのコード化を実施 ◦ Terraform Moduleを活用し、 ▪

    EC2インスタンスのSSM必須化 ▪ 開発者がEC2を作成時に意識しなくても、自動的に SSM AgentやIAM Roleが設定される ▪ レビュー時にうっかり、漏れを防ぐことができる • Tagを全リソースに付与 ◦ 対象のEC2を特定する際、 ▪ Env: Stg, Resource: Kafka Env: Prod, Resource: Kubernetes • などとつけることで、対象を APIで検索しやすくなります。 ◦ これもTerraform Moduleで自動的に入る変数と開発者が設定出来る変数を用意しています。 • IAM Userから AWS IAM Identity Center(AWS SSO)への移行 ◦ IAM Userの管理の煩雑さからの開放 ▪ IAM Userの API KEYの流出リスクの軽減 ▪ ID Providerの連携による、アカウント作成・削除の容易さ SystemsManager導入事例

  7. ❏ State Managerによる脆弱性スキャン • SSMが入っているすべてのアカウント、すべての EC2インスタンスを自動で定期的にスキャン 7 導入事例紹介 Systems Manager

    State Manager Documents 脆弱性スキャン Target -> instance id:* Cron -> 0 */1 * * *

  8. ❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 9 導入事例紹介 Systems Manager State

    Manager Documents  EDR v1 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response

  9. ❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 10 導入事例紹介 Systems Manager State

    Manager Documents  EDR v2 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response

  10. 11 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS

    SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの  Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center

  11. 12 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS

    SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの  Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center Session Manager を利用することで、 • 開発者/管理者は、SSH鍵の管理が必要なくなった • CloudWatch LogsやCloudTrailなどでAuditが容易

  12. 13 ❏ ログインユーザがssm-user固定でAuditやり難いのでは? Session Manager Tips

  13. 14 ❏ SSMSessionRunAs を設定することで任意のOSユーザにログインできる Session Manager Tips

  14. 15  Systems Manager導入により、 システムのセキュリティを向上できた! システムの運用も効率化できた! まとめ

  15. 16 仲間を募集しています 16 採用ページはこちら

  16. 18 APPENDIX