20210826 EC2の起動するインスタンスタイプを制御する方法

Slide 1

Slide 1 text

EC2 の起動するインスタンスタイプを制限する方法 2021/8/26 Thu Masaru Ogura

Slide 2

Slide 2 text

自己紹介 • 小倉大 (マサル) Facebook : https://www.facebook.com/masaru.ogura.71 Twitter : @MasaruOgura • 株式会社サーバーワークス • ススキノが生んだエンジニア • 2020/2021 APN ALL AWS Certifications Engineer

Slide 3

Slide 3 text

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御 • AWS Config ルールで制御

Slide 4

Slide 4 text

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御 • AWS Config ルールで制御

Slide 5

Slide 5 text

AWS Service Catalog • AWS 製品カタログの作成、管理 • ポートフォリオから AWS サービスを起動 • ポートフォリオに制限をかけることでリスクを最小化 https://aws.amazon.com/jp/servicecatalog/

Slide 6

Slide 6 text

https://www.slideshare.net/AmazonWebServicesJapan/20180718-aws-black-belt- online-seminar-aws-service-catalog

Slide 7

Slide 7 text

Service Catalog で制御ポートフォリオの制約を設定する

Slide 8

Slide 8 text

Service Catalog で制御起動可能なインスタンスタイプを設定する

Slide 9

Slide 9 text

Service Catalog で制御ポートフォリオから起動するときにインスタンスタイプを制限できる

Slide 10

Slide 10 text

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御 • AWS Config ルールで制御

Slide 11

Slide 11 text

AWS IAM • AWS 操作をセキュアに行うための認証認可の仕組み • IAM ポリシーは AWS アクセスに対する権限設定 https://aws.amazon.com/jp/iam/

Slide 12

Slide 12 text

https://d1.awsstatic.com/webinars/jp/pdf/services/20160921_AWS-BlackBelt-IAM.pdf

Slide 13

Slide 13 text

IAM ポリシーで制御 IAM ポリシーでインスタンスタイプを制限できる

Slide 14

Slide 14 text

IAM ポリシーで制御 IAM ポリシーを適用した IAM ユーザーが指定外のインスタンスタイプを起動しようとすると権限不足により作成が失敗します

Slide 15

Slide 15 text

EC2 の起動するインスタンスタイプを制御する方法 • AWS Service Catalog で制御 • IAM ポリシーで制御 • AWS Config ルールで制御

Slide 16

Slide 16 text

AWS Config • AWS リソースの設定を評価、変更管理 • 準拠すべきルールを事前に設定し、ルールに沿っているかを評価 https://aws.amazon.com/jp/config/

Slide 17

Slide 17 text

https://www.slideshare.net/AmazonWebServicesJapan/20190618-aws-black-belt- online-seminar-aws-config

Slide 18

Slide 18 text

AWS Config ルールで制御 Config ルールの desired-instance-type を追加します

Slide 19

Slide 19 text

AWS Config ルールで制御パラメータでインスタンスタイプを指定します

Slide 20

Slide 20 text

AWS Config ルールで制御 Config ルールの修復アクションを設定します

Slide 21

Slide 21 text

AWS Config ルールで制御 Systems Manager オートメーションで起動した EC2 を削除します

Slide 22

Slide 22 text

まとめ • EC2 の起動するインスタンスタイプを制御する方法を3つ紹介しました。 • 検証環境などで、意図せず大きなインスタンスタイプを選んで、高額請求が来ないようにすることができます。

Slide 23

Slide 23 text

参考リンク • AWS Service Catalogで制御された自由を – https://blog.serverworks.co.jp/tech/2020/03/18/servicecatalog/ • Amazon Elastic Compute Cloud (Amazon EC2) の SCP 例 – https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_man age_policies_scps_examples_ec2.html#example-ec2-1 • 自動修復の設定 (コンソール) – https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation .html#setup-autoremediation

Slide 24

Slide 24 text

ご清聴ありがとうございました。