AWSアンチパターン 戦記 2024.7 アマゾンウェブサービスジャパン 荒⽊靖宏

Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 2 お願い

$ whoami 荒⽊はAWSのSAです AWSをつかいはじめて17年 ソリューションアーキテクト（SA）13年 AWSアンチパターン研究 12年

本題のまえに

AWS サポート ⽬的を達成するための専⾨的なガイダンスとアシスタンスを⼊⼿

https://aws.amazon.com/jp/premiumsupport/tech-support-guidelines/

アンチパターンに準備をして挑むべし プラクティスをアウトプットするべし

AWSアンチパターン

AWSアンチパターンのこれまで 発表日 タイトル（一部抜粋） 2022年10月 AWSで2022に打破されたアンチパターン(2022.09まで) 2022年1月 JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介 2018年5月 失敗例を成功に変えるAWSアンチパターン 2015年6月 失敗例を成功に変える AWSアンチパターンのご紹介 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編

AWSアンチパターンのこれまで 2012年10月 [AWS Summit 2012] クラウドデザインパターン#8 CDP アンチ パターン編 AWSクラウドデザインパターンとは... AWSクラウドを使ったシステムアーキテクチャ設計を⾏う 際に発⽣する、典型的な問題とそれに対する解決策‧設計 ⽅法を、分かりやすく分類して、ノウハウとして利⽤でき るように整理したもの

アンチパターン 動作やプロセス、構造につい て、当初は妥当であったの に、最終的に悪い結果が繰り 返される リファクタリングするための ⽅法が存在する

システムを取り巻く環境 利⽤者とその環境 あなたの作ったサービス AWSのサービス群

システム構築時 利⽤者とその環境 あなたの作るサービス AWSのサービス群 XXXみたいなサー ビス作りたいので ベストプラクティ スを教えて！ XXXなら、 1.6TBのHDD がある c1.xlargeで XXXさん、 DynamoDB活 ⽤されてます XXXさん、 VPNだと帯域 たりないので 専⽤線つかっ てます とあるSA

動作するシステム 妥当なシステム アンチパターン 環境の変化 リファクタリング システム構築は「妥当点」でリリースされ それははじまりにすぎない

アンチパターンとベストプラクティス 合理的なシステム アンチパターン 環境の変化 リファクタリング ベストプラクティス （1社では） 尋常ならざる努⼒

環境の変化？ 利⽤者とその環境 あなたの作ったサービス AWSのサービス群 変動要因 AWS⾃体の更新と拡張 使いこなし術の進化 ビジネス要件、規制、 技術トレンド

環境変化には⾃ら対応するべき 利⽤者とその環境 あなたの作ったサービス AWSのサービス群 変動要因 AWS⾃体の更新と拡張 使いこなし術の進化 ビジネス要件、規制、 技術トレンド ⾃⼒をつけ る取り組み

⾃信をもった リファクタリングのために

外形監視サービス リファクタリング時は外部から⾒た時の挙動は変えない Synthetics RUM Evidently AWS X-Ray アプリケーション動作 の監視やカナリアテ ストの実行に エンドユーザの実際 の体験をモニタリング A/Bテストやカナリ アデプロイに使用 分散システムの 問題箇所特定に

モニタリングとログ収集 システムの可視性を⾼めて健全性を維持 インシデントへの迅速な対応を可能に Amazon CloudWatch AWS CloudTrail Amazon EventBridge AWS X-Ray AWS Distro for OpenTelemetry Amazon Managed Service for Prometheus

収集したデータの活⽤ 収集したログデータは、統合→加⼯→分析→可 視化して使⽤する Amazon Athena Amazon QuickSight AWS Lambda Amazon Kinesis AWS Glue Amazon SageMaker

インフラをコード化して再現性確保 変更管理の容易化、変更履歴の追跡が容易 AWS CloudFormation AWS Cloud Development Kit (AWS CDK)

リファクタリングのための番外編 AWSに頼らない⾃⾛⼒の確保 OSSやSaaSの利⽤検討 社内知識活⽤のための投資

DevelopersIOでふりかえる AWSアンチパターンを ⽣みそうな発表選 24 多すぎるので新し ⽬のセキュリティ 関連に絞りました

Cloudshell VPC environment ←平⽊佳介さんの今⽉の記事 “今回新規で追加された CloudShell VPC environment によって踏み台 サーバの運⽤に⼤きな変化が起きる と思います。 しかし⼿軽にできるのが逆にネック になってしまったり監査証跡が取れ ないなど踏み台サーバとして 100% 代替するのは難しそうですが最⾼の アップデートだと思いました。” https://dev.classmethod.jp/articles/jawsmt-2024-cloudshell-vpc/

Amazon GuardDutyのEC2ランタイム保護 にUbuntuとDebianが追加 ← 臼田佳祐さんの 2024-06-20 の記事 “GuardDutyのEC2 Runtime MonitoringでサポートするOSが 増えました。やったね。” “新しくUbuntuとDebianがサ ポートされたので試してみま す。” https://dev.classmethod.jp/articles/guardduty-ec2-runtime-support-ubuntu-and-debian/

Amazon GuardDuty Malware Protection for Amazon S3 (2024 re:Inforceで発表) ← 臼田佳祐さんの 2024-06-11 の記事 “ちなみに、従来S3に対する サーバレスなマルウェアスキャ ンを実行しようとしたら、Trend MicroのCloud One File Strage Security(C1FSS)が代表的な選 択肢でした。” https://dev.classmethod.jp/articles/release-guardduty-s3-malware-protection/

CloudTrail LakeでCloudTrail Insights のイベントが分析できるように ←芦沢 広昭さんの2024.03の記事 “セキュリティガバナンスに関する費 ⽤にあまりコストをかけたくない、む しろゼロに抑えたいという要望も出て くるはずです。これまでの証跡による Insights運⽤ではこれが実現できませ んでした。” https://dev.classmethod.jp/articles/cloudtrail-lake-supported-cloudtrail-insights/

Amazon Detectiveの調査機能で、IAMリ ソースの調査が可能に ←鈴⽊純さんの2023.11の記事 “Detective の調査機能で、IAM リソー スについての調査を試してみました。 攻撃者が利⽤した IAM リソースを特定 できた時の影響範囲の特定などに活⽤ できそうです。 いざという時のために、この機能が利 ⽤できることを覚えておきたいです ね。” https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam-resource/

Amazon S3の新規バケットのブロックパブ リックアクセスが有効化およびACLが無効化 ←みなみ さんの2023.04の記事 “今回のアップデートでは、APIでバケット作 成する場合に、デフォルトでブロックパブ リックアクセスが有効化、ACLが無効化され るというものです。 実施に、CloudFormationなどIaCでS3バ ケットを構築した際に、ブロックパブリック アクセスの有効化、ACLの無効化を忘れた⽅ もいるんじゃないでしょうか？ それではスクリプトで利⽤可能な全リージョ ンでS3バケットを作成してみます。” https://dev.classmethod.jp/articles/udpate-default-change-amazon-s3-bpa-acl/

AWS IAM Access Analyzer ←千葉 幸宏（チバユキ）さんの2022.11の記事 2019.12GAのサービスだが “2022年10⽉には他にも IAM Acceess Analyzer 関連のアップデートがあり ます。最近頑張ってるなという印象を 感じます。” “どんどん強くなっていく IAM Access Analyser を活⽤して環境のセキュリ ティレベルを上げていきましょい。” https://dev.classmethod.jp/articles/iam-access-analyzer-findings-amazon-sns-topics-5-aws-resource-types-account-access/

CloudFrontからS3への新たなアクセス制御⽅法とし てOrigin Access Control (OAC)が発表されました！ ←清⽔俊也さんの2022.08の記事 “CloudFrontからS3へのアクセス制限を⾏う場 合には必須機能であるOAIですが、S3バケット 側でAWS Key Management Service (AWS KMS)を使った暗号化、SSE-KMSを使⽤した場 合に使⽤できない（対応していない）という制 限がありました。” “セキュリティ⾯の強化もありますので、新た にCloudFrontからS3へのアクセス制限を⾏う 場合にはOAC (origin Access Control)を使⽤し ていきましょう。” https://dev.classmethod.jp/articles/amazon-cloudfront-origin-access-control/

まとめ

アンチパターンに準備をして挑むべし プラクティスをアウトプットするべし

アンチパターンとベストプラクティス 合理的なシステム アンチパターン 環境の変化 リファクタリング ベストプラクティス （1社では） 尋常ならざる努⼒ みんなでOutputすればより よいものになる データを集め、テストを繰 り返せるように準備をすれ ば確実性が増す

Thanks!

No content

No content

No content