Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PayPayにおける 大規模インフラ運用自動化への取り組み

Avatar for PayPay PayPay
November 04, 2022
Technology
4
1.5k

PayPayにおける 大規模インフラ運用自動化への取り組み

Speaker: Tomoki Nishinaka
Presented at: 運用を楽にしよう!AWS Systems Manager 事例祭り

Avatar for PayPay

PayPay

November 04, 2022
Tweet

More Decks by PayPay

See All by PayPay
Building Sustainable Quality Development
Avatar for PayPay paypay
0
120
「共感」で繋ぐプロダクトマネジメント
Avatar for PayPay paypay
0
6.1k
QA Processes Supporting High-Frequency Releases
Avatar for PayPay paypay
0
240
PayPayでのDynamoDB活用事例について
Avatar for PayPay paypay
16
15k
PayPayでのAWS活用事例について
Avatar for PayPay paypay
17
6.3k
TiDB at PayPay : Why we chose & How we operate
Avatar for PayPay paypay
9
6.9k

Other Decks in Technology

See All in Technology
経理出身PdMがAIプロダクト開発を_ハンズオンで学んだ話.pdf
Avatar for Shunsuke Narita shunsukenarita
1
250
VLMサービスを用いた請求書データ化検証 / SaaSxML_Session_1
Avatar for Sansan R&D sansan_randd
0
140
AIに全任せしないコーディングとマネジメント思考
Avatar for kichion kikuchikakeru
0
290
Kiro Hookを Terraformで検証
Avatar for ao-inoue ao_inoue
0
140
オブザーバビリティプラットフォーム開発におけるオブザーバビリティとの向き合い / Hatena Engineer Seminar #34 オブザーバビリティの実現と運用編
Avatar for Arthur arthur1
0
140
Tableau API連携の罠!?脱スプシを夢見たはずが、逆に依存を深めた話
Avatar for CUEBiC Inc. cuebic9bic
2
160
データエンジニアがクラシルでやりたいことの現在地
Avatar for harry gappy50
3
770
KCD Lima: eBee in Peru!
Avatar for Liz Rice lizrice
0
110
【Λ(らむだ)】最近のアプデ情報 / RPALT20250729
Avatar for Λ lambda
0
140
「手を動かした者だけが世界を変える」ソフトウェア開発だけではない開発者人生
Avatar for Yasuhiro Onishi onishi
15
7.9k
alecthomas/kong はいいぞ
Avatar for FUJIWARA Shunichiro fujiwara3
6
1.2k
サイバー攻撃のシミュレーション:攻撃者の視点からみる防御のむずかしさ!AWSで試してみよう / 20250423 Kumiko Hemmi
Avatar for SHIFT EVOLVE shift_evolve
PRO
1
190

Featured

See All Featured
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
271
21k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
272
27k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
179
9.8k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.7k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k

Transcript

  1. PayPayにおける 大規模インフラ運用自動化への取り組み 運用を楽にしよう!AWS Systems Manager 事例祭り 1

  2. 2 名前:Tomoki Nishinaka 所属:PayPay株式会社 Cloud Infrastructure Team 役割:Tech Lead 好きなAWSサービス:

    AWS IAM Identity Center(AWS SSO) 自己紹介

  3. 3 登録ユーザー 5,100万人到達!
 PayPayについて ※ 2022年9月時点 当社調べ


  4. 4 PayPayのシステム

  5. 5 ❏ 脆弱性対応のためのデータ収集及び修正パッチ適用 • 運用台数が数千台規模のため、 ◦ SSHやAnsibleなどで情報収集は困難 ◦ 収集した情報を集中管理をする必要がある ◦

    修正パッチを迅速に配信する必要がある ❏ 踏み台サーバの管理 • 入退社があるたびにユーザ・鍵管理が必要 運用する上での課題

  6. 6 ❏ Systems Managerの導入の前にやってよかったこと • 全インフラのコード化を実施 ◦ Terraform Moduleを活用し、 ▪

    EC2インスタンスのSSM必須化 ▪ 開発者がEC2を作成時に意識しなくても、自動的に SSM AgentやIAM Roleが設定される ▪ レビュー時にうっかり、漏れを防ぐことができる • Tagを全リソースに付与 ◦ 対象のEC2を特定する際、 ▪ Env: Stg, Resource: Kafka Env: Prod, Resource: Kubernetes • などとつけることで、対象を APIで検索しやすくなります。 ◦ これもTerraform Moduleで自動的に入る変数と開発者が設定出来る変数を用意しています。 • IAM Userから AWS IAM Identity Center(AWS SSO)への移行 ◦ IAM Userの管理の煩雑さからの開放 ▪ IAM Userの API KEYの流出リスクの軽減 ▪ ID Providerの連携による、アカウント作成・削除の容易さ SystemsManager導入事例

  7. ❏ State Managerによる脆弱性スキャン • SSMが入っているすべてのアカウント、すべての EC2インスタンスを自動で定期的にスキャン 7 導入事例紹介 Systems Manager

    State Manager Documents 脆弱性スキャン Target -> instance id:* Cron -> 0 */1 * * *

  8. ❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 9 導入事例紹介 Systems Manager State

    Manager Documents  EDR v1 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response

  9. ❏ State ManagerによるEDR導入・更新 • EDRを強制的にSSM経由で導入・更新を実施 10 導入事例紹介 Systems Manager State

    Manager Documents  EDR v2 導入 / 更新 Target -> Resource: Kafka Cron -> 0 */1 * * * EDR: Endpoint Detection and Response

  10. 11 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS

    SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの  Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center

  11. 12 ❏ 踏み台サーバ管理の変更 • 必要な時間だけ、踏み台サーバの権限を付与剥奪するシステムを内部で作成 ◦ SSMのRoleは、AWS IAM Identity Center(AWS

    SSO)のPermissionSetで管理 導入事例紹介 開発者 踏み台サーバ ①IAM Identity Center経由でSSMの  Roleを時限で付与 ②SSM経由で踏み台サーバを利用 システム IAM Identity Center Session Manager を利用することで、 • 開発者/管理者は、SSH鍵の管理が必要なくなった • CloudWatch LogsやCloudTrailなどでAuditが容易

  12. 13 ❏ ログインユーザがssm-user固定でAuditやり難いのでは? Session Manager Tips

  13. 14 ❏ SSMSessionRunAs を設定することで任意のOSユーザにログインできる Session Manager Tips

  14. 15  Systems Manager導入により、 システムのセキュリティを向上できた! システムの運用も効率化できた! まとめ

  15. 16 仲間を募集しています 16 採用ページはこちら

  16. 18 APPENDIX