JAWS-UG 初心者支部#35 LT大会！！ 会社AWS環境が無法地帯なの そろそろなんとかする話 2021/01/19　けびん

目次 01 自己紹介 03 02 04 まとめ/今後に向 けて 無法地帯って？ 今回やったこと

自己紹介 けびん (北海道の某製造業の情シス) うさぎ年。家族：妻・子供3人(♂1、♀2) Twitter : kekeke_47　／　けびん＠札幌 興味：クラフトビール(外飲みしたい・・)、ボードゲーム(一応 サークル副管理者)、AWS(SAA取得。何かつくりたい。「好き なサービス」を今年は言えるようになりたい)

北海道で、情シスやエンジニア 向けのコミュニティはじめまし た。 #CSE北海道　 #エゾジニア 呼び名はどっちでもOK。 詳しい経緯などは、 以下のnote記事を ぜひ読んでください！！ https://note.com/cse_hokkaido/n/ nfd1df6c3baa1 自己紹介

さて。本題です。 「無法地帯」って、何のこと？

・設定内容、ドキュメントに記録されていない。 　設定背景も頭の中だけ。(そして忘れる。。) ・コード化もされていない。(毎回GUIポチポチ。。) ・作ったら、作りっぱなし。(塩漬けのオンプレレベル。。) ・新しく入った方に、引継ぎできない。(口伝。。) ・自分が入社後から、AWSを導入。 ・自身も素人。とりあえず色々見ながらやってるだけ。

まともな管理が されていない。

あなたなら、どうしますか？

今回、自分がやったこと ↓ Trusted Advisor の指摘に従ってみた。

コスト最適化、パフォーマンス、セキュリティ、フォールトトレラン ス、サービスの制限という5つの分野でAWSについてのベスト プラクティスを教えてくれる、 初心者には大変ありがた〜いサービスです。 (一応) Trusted Advisor　について →クラメソさんのメンバーズに入っていると、 　この内容を抜粋して、週1でメールしてくれる。 　　→そのうちやろうで、やってなかった。。。

対応前

対応後 やったぜ！ All Greeeeen !!!!!

・使ってなかったEC2,EBSあるけど？　→削除しました。 ・セキュリティグループ、all0で許可してるぞ？→削除したor指定した。 ・EBSのスナップショット、RDSのバックアップ取ってないぞ？ 　　→本番用なのにやっていなかったもの取りました。許してください。 ・セキュリティグループの中のルール、数多すぎるぞ！ 　　→prefix listに置き換えた。(拠点ごとのIPをまとめた) ・IAMアクセスキー、ローテーションしろ！　→しました。 どんな指摘あったの？(＝AWSに怒られてたこと) 詳しくは、以下URLも参照してください。（チェックしてくれる項目リストです） https://aws.amazon.com/jp/premiumsupport/technology/trusted-adviso r/best-practice-checklist/

対応後 ん！？

Tips: 無視するものを非表示にする方法 困ったら、クラメソさんブログ。→ 出典：https://dev.classmethod.jp/articles/trustedadvisor-security-check/ 弁解：意図的にその設定とせざるを得ないものだけを、非表示にしまし た。。。

困ったら、クラメソさんブログ。→ 出典：https://dev.classmethod.jp/articles/trustedadvisor-security-check/ ん！？ Tips: 無視するものを非表示にする方法

そう、これは ”最低限”やっておくべきこと →底辺のこの環境、 　まだまだ問題は山積み。。

・Trusted Advisor、まずはちゃんと定期的に見よう。 　　　→見えない人: 会社の金でビジネスプランに入ってもらおうw 　　　　もしくは請求代行とかで結果的に使えるように。) ・注意されている項目、見直そう。 　→見直しを１つのきっかけに。(色々目についてくるから・・) まとめ

今後、やりたいこと ・コスト面、お得な設定に変えてみた　の話。 　→EBSを、gp2→gp3へ。(各種ReCap参照) 　→EC2: リザーブドインスタンス(RI)、Saving Planの購入。 　 （社内稟議が面倒そうでやってなかった。そろそろチャレンジ！) ・適切なバックアップとは？（要るもの要らない判別) ・CloudFormation、Terraformの活用による、インフラのコード化。 　(新しく作るものからチャレンジ？)

ご静聴、ありがとうございました。