Slide 1
Slide 1 text
JAWS ミート 2024
踏み台の運用が変わる?
VPC上で起動できるようになったCloudShellを語る
クラスメソッド株式会社 AWS事業本部 | 平木 佳介
1
Slide 2
Slide 2 text
自己紹介 2
~$ whoami
平木佳介 (Hiraki Keisuke)
~$
~$ jobs
[2]+ 実行中 クラスメソッド(株)AWS事業本部コンサルティング
部
~$
~$ groups
ソリューションアーキテクト
~$
~$ cat 平木佳介.conf | grep 出身
出身: 静岡県
~$
~$ cat 平木佳介.conf | grep 好きなAWSサービス
好きなAWSサービス : AWS Security Hub
Slide 3
Slide 3 text
3
普段、踏み台サーバを運用していますか?
Slide 4
Slide 4 text
4
踏み台サーバのために運用を考えるのは面倒…
少し使いたいだけな
のにEC2を停止して
もEBSの料金が…
脆弱性対策の
対象が増える…
踏み台サーバを立
てるだけで申請が
必要…
Slide 5
Slide 5 text
5
先月のアップデート
https://dev.classmethod.jp/articles/cloudshell-vpc-environment/
Slide 6
Slide 6 text
6
トピック
今までの踏み台
01
02
04
03
CloudShell VPC environmentにつ
いて
考慮すべきこと
まとめ
Slide 7
Slide 7 text
7
トピック
今までの踏み台
01
02
04
03
CloudShell VPC environmentにつ
いて
考慮すべきこと
まとめ
Slide 8
Slide 8 text
8
今までの踏み台
プライベートなEC2なら代替手段が様々ある
Slide 9
Slide 9 text
9
今までの踏み台
RDSやRedshiftといったマネージドDBなどに接続する場合
Slide 10
Slide 10 text
10
今までの踏み台
結局踏み台を運用しないといけない…
Slide 11
Slide 11 text
11
今までの踏み台
そんな中、登場したのが
CloudShell VPC environment!
Slide 12
Slide 12 text
12
今までの踏み台
結論
Slide 13
Slide 13 text
13
トピック
今までの踏み台
01
02
04
03
CloudShell VPC environmentにつ
いて
考慮すべきこと
まとめ
Slide 14
Slide 14 text
14
CloudShell VPC environmentについて
2024年6月13日
(re:Inforce2024開催直後)
AWS CloudShell
VPC環境をサポートする機能が追加
Slide 15
Slide 15 text
15
CloudShell VPC environmentについて
VPC上でCloudShellを起動できるように
今まではパブリック環境のみだったがプライベートにCloudShellを活用可能
アクセス制御はセキュリティグループで
構築時にENIが払い出され、セキュリティグループによりアクセス制御可能
すぐに構築可能
従来のCloudShellと同じコンソール画面で手軽に構築可能
マネージドサービスによる恩恵
マネージドサービスによるインフラセキュリティの運用負荷の軽減
Slide 16
Slide 16 text
16
CloudShell VPC environmentについて
セキュリティグループ
によるアクセス制御
インターネットゲートウェイへのルートが
あればインターネット通信可
Slide 17
Slide 17 text
17
CloudShellでハッピーに!
EC2の料金が
ゼロに!
※データ転送量は発生
パッチ適用の
考慮が不要
サーバの構築
不要
Slide 18
Slide 18 text
18
CloudShell VPC environmentについて
考慮すべきこともある
Slide 19
Slide 19 text
19
トピック
今までの踏み台
01
02
04
03
CloudShell VPC environmentにつ
いて
考慮すべきこと
まとめ
Slide 20
Slide 20 text
20
手軽に踏み台サーバ
が作れて嬉しい!
気軽にプライベート
空間内にリソースを
作られては困る…
Slide 21
Slide 21 text
21
考慮すべきこと
追加されたIAM条件キーを活用して制限可能
● CloudShell:VpcIds
○ 1つ以上のVPCを許可/拒否する
● CloudShell:SubnetIds
○ 1つ以上のサブネットを許可/拒否する
● CloudShell:SecurityGroupIds
○ 1つ以上のセキュリティグループを許可/拒否する
Slide 22
Slide 22 text
22
考慮すべきこと
追加されたIAM条件キーを活用して制限可能
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyCloudShellVpcEnvironments",
"Action": [
"cloudshell:CreateEnvironment"
],
"Effect": "Deny",
"Resource": "*",
"Condition": {
"Null": {
"cloudshell:VpcIds": "false"
}}}]}
cloudshell:VpcIdsキーが存在したらアクションを拒否
といったポリシーを記載することが可能
Slide 23
Slide 23 text
23
考慮すべきこと
https://dev.classmethod.jp/articles/cloudshell-vpc-scp-restrict/
Slide 24
Slide 24 text
24
考慮すべきこと
制約事項
● 「アクション」メニューからのデータのアップロード・ダウンロードは不可
○ インターネットへ出れる環境であれば別のツールで実現可能
● 永続的なストレージは使用不可
○ セッション終了時にホームディレクトリが削除されるためS3へ保存などの仕組
みが必要
● ログイン履歴といった監査ログの機能は現在のところなし
○ CloudTrailではStartSession ,StartEnvironment というレコードが記録されるが
VPC環境かどうかの判別不能
Slide 25
Slide 25 text
25
トピック
今までの踏み台
01
02
04
03
CloudShell VPC environmentにつ
いて
考慮すべきこと
まとめ
Slide 26
Slide 26 text
26
まとめ
1
2
3
踏み台サーバの運用方法が大きく変わる予感
手軽に出来すぎてしまうので制御も必要
一時的な利用用途では最高のアップデート
Slide 27
Slide 27 text
27