Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ここがすごいよ! AWS Systems Manager!
Search
さいちゃん
July 18, 2024
Technology
2.5k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ここがすごいよ! AWS Systems Manager!
さいちゃん
July 18, 2024
More Decks by さいちゃん
See All by さいちゃん
デベロッパーセキュリティ強化! ~シフトレフトで安全な開発を~
saichan11
0
1.3k
PagerDutyで始めるか対応の自動化
saichan11
0
1.6k
Dome9_IAMSaftyで考えるIAMベストプラクティス.pdf
saichan11
0
920
Other Decks in Technology
See All in Technology
型は壁、Rustでもバグを直すな、表現できなくせよ
nwiizo
5
390
【FinOps】データドリブンな意思決定を目指して
z63d
3
600
Fabricをフル活用する AI Agent Hub -製造業特化AIエージェントの設計
iotcomjpadmin
0
190
Docker Desktop不要の時代が来る? WSL標準の「wslc」で Linuxコンテナを動かしてみた.
ueponx
0
630
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
800
デジタル・デザイン構想 by Sayaka Ishizuka
y150saya
0
190
Agentic AI 時代のテスト手法: Kiro とはじめるプロパティベーステスト (AWS Summit Japan 2026 | DEV212)
ymhiroki
0
200
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
0
600
打造你的 AI 工作流:Agent Skill + MCP 實戰工作坊
appleboy
0
500
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
1
1.1k
AI時代における最適なQA組織の作り方
ymty
3
350
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
290
Featured
See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
A Tale of Four Properties
chriscoyier
163
24k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
180
Mobile First: as difficult as doing things right
swwweet
225
10k
The SEO Collaboration Effect
kristinabergwall1
1
500
Technical Leadership for Architectural Decision Making
baasie
3
430
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
55k
Building an army of robots
kneath
306
46k
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
210
Heart Work Chapter 1 - Part 1
lfama
PRO
8
36k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
240
Transcript
ここがすごいよ! AWS Systems Manager! 2024.7.18 AWS事業本部 コンサルティング部 さいちゃん
⾃⼰紹介 サイード ラティファ栄美里(さいちゃん) • 所属 ◦ AWS事業本部 コンサルティング部 ◦ 普段はAWSの構築支援や運用設計支援等を担当
• 好きなAWSサービス ◦ AWS IAM、AWS Systems Manager • ブログ 2
Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 3 お願い
本セッションで伝えたいこと • AWS Systems Managerとは? • AWS Systems Manager の使⽤⽅法
• AWS Systems Manager各機能のここがすごい! • 今後の運⽤のヒント 4
AWS Systems Managerとは? 5
AWS Systems Managerとは? 6 ”AWS Systems Manager は、AWS アプリケーションおよびリソースのオペレーションハブであり、 ハイブリッドおよびマルチクラウド環境向けのセキュアなエンドツーエンドの管理ソリューション
です。これにより、安全でセキュアなオペレーションを⼤規模に実現できます。” https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html SystemsManagerはシステム運⽤を 楽にする機能がたくさん詰まった、 スーパーヒーローなんです!! 使わないなってもったいなすぎる‧‧
AWS Well-Architected フレームワーク 7 Well-Architected Frameworkとは、 AWSが行ってきたサポートで 得られた知見を集約・整理した ベストプラクティス集のようなもの 【AWSドキュメント】AWS
Well-Architected Framework https://docs.aws.amazon.com/ja_jp/wellarchitected/20 22-03-31/framework/welcome.html
使⽤⽅法は? 8
1.SSM Agentの導⼊ • SSM Agentが対象インスタンスにインストールされている 必要がある • SSM Agent を使⽤すると、Systems
Manager でこれらの リソースを更新、管理、設定できるようになる • AmazonLinuxやWindows、Ubuntu ServeにはSSM Agent はプリインストール済み ◦ その他SSM Agent がプリインストールされている AMIはこちら ◦ https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ami-preinstalled-agent.html 9
2.SSM APIへの経路確保 • SSM Agentからのアウトバウンド経路確保 10 インターネット経由 VPCエンドポイント経由
3.IAMロールの付与 • EC2にアタッチするIAMロールを作製 ◦ 「AmazonSSMManagedInstanceCore」 ポリシーをアタッチ(必須) ◦ 必要に応じてS3などの ポリシーをアタッチ 11
AWS Systems Managerの ここがすごい! 12
クラウドだけじゃない Systems Manager がサポートしているマシンタイプ • EC2インスタンス • ⾃社構築サーバー(オンプレミスサーバー) • 他のクラウド環境内の
VM を含む仮想マシン (VM) • AWS IoT Greengrass コアデバイス • AWS IoT および⾮ AWS エッジデバイス 13
ハイブリッドクラウドや マルチクラウド運⽤をしている場合でも、 ⼀括で運⽤に必要な作業の実施が可能。 14
具体的に何ができるの? 15
機能⼀覧 • アプリケーション管理 ◦ Application Manager ◦ AppConfig ◦ Parameter
Store • 変更管理 ◦ Change Manager ◦ Automation ◦ Change Calendar ◦ Maintenance Windows 16 • ノード管理 ◦ Compliance ◦ Fleet Manager ◦ Inventory ◦ Session Manager ◦ Run Command ◦ State Manager ◦ Patch Manager ◦ Distributor ◦ Hybrid Activations • オペレーション管理 ◦ Incident Manager ◦ Explorer ◦ OpsCenter ◦ CloudWatch Dashboards • 共有リソース ◦ Documents
機能⼀覧 • アプリケーション管理 ◦ Application Manager ◦ AppConfig ◦ Parameter
Store • 変更管理 ◦ Change Manager ◦ Automation ◦ Change Calendar ◦ Maintenance Windows 17 • ノード管理 ◦ Compliance ◦ Fleet Manager ◦ Inventory ◦ Session Manager ◦ Run Command ◦ State Manager ◦ Patch Manager ◦ Distributor ◦ Hybrid Activations • オペレーション管理 ◦ Incident Manager ◦ Explorer ◦ OpsCenter ◦ CloudWatch Dashboards • 共有リソース ◦ Documents
Session Manager 18
Session Manager AWS Systems Manager Session Manager 19 ブラウザベースのシェルを通じてインスタンスの管理が可能。 EC2インスタンスやオンプレミスサーバーへのセキュアな
リモートアクセスを提供。
Session Managerの ここがすごい! 20
Session Manager IAMポリシーを使ったインスタンスのアクセス制御 21 • インスタンスへのアクセス 許可や拒否をIAMポリシー のみを利⽤して管理可能 • IAMユーザーやグループごと
にアクセス出来るインスタ ンスを制御 https://docs.aws.amazon.com/ja_jp/systems-manager/lates t/userguide/getting-started-restrict-access-quickstart.html
Session Manager SSHキーや踏み台ホストの管理、インバウンド ポート設定の必要がない 22 • インバウンドSSHポートやリモートPowerShellポートを開いたま まにしておくと悪意のあるコマンドや、許可していないコマンド がインスタンス上で⾏われるリスクも •
ポートを開く必要がない為よりセキュアにEC2へ接続可能 • SSHキーや踏み台ホストの管理も必要ないため、管理不⾜が引き ⾦となるセキュリティリスクの可能性も軽減
Session Manager ログの記録 23 • AWS Systems Manager による AWS
CloudTrail API コールのログ記録 • S3もしくはCloudWatch Logsへのセッションデータログを記録 • Amazon EventBridgeとの連携
Run Command 24
Run Command 25 EC2インスタンスやオンプレミスサーバーに対して、リモート で管理タスクを実⾏するためのツール。コマンドを記載するこ とで、複数のインスタンスで⼀括でコマンド実⾏が可能。 AWS Systems Manager Run
Command
Run Commandの ここがすごい! 26
Run Command コマンドドキュメントが⽤意されている 27 • 実⾏時にパラメータを指定して使⽤できる事前設定済みのドキュメント が⽤意されている • よく使われるコマンドについては、⼀から毎回コマンドを⽤意する必要 がないので運⽤の効率化を計ることが出来る
(例)AWS-ConfigureAWSPackage、AWS-ConfigureCloudWatch AWSFleetManager-CreateGroup、AWSFIS-Run-CPU-Stress など
Run Command 28 コマンドの⾃動実⾏はうれしいけど、実際に使⽤す る場合は、複数のコマンドを順番に実⾏したいな。 例えばOSユーザーを作製してから、ミドルウェアの インストールを⾏い、作製したユーザーに実⾏権限 を付与するみたいな‧‧
【番外編】Automation 29 Automationとの連携で複数のフローを制御 • ⾃分たちの運⽤にあった複数の処理を カスタムしてドキュメントを作成可能 • フロー内に認証ステップを設ける事が 可能 •
重要な処理の前にIAMユーザーや ロールに承認を求める
Patch Manager 30
パッチ管理の課題 31 インスタンスの量が増えれ ば増えるほど管理が複雑化 してしまい⼤変‧‧‧ • 考慮事項が多い ◦ OS、バージョン ◦
セキュリティ要件 ◦ 適⽤のタイミング • 管理の複雑化 ◦ 適⽤状況の管理 ◦ どのインスタンスにパッチ適⽤が必要 なのかの洗い出し ◦ 定期的なパッチ適⽤ ◦ 緊急パッチへの対応
Patch Manager 32 OSやアプリケーションのセキュリティパッチやその他の 種類の更新プログラムの適⽤プロセスを⾃動化する機能。 AWS Systems Manager Patch Manager
Patch Managerの ここがすごい! 33
Patch Manager 34
Patch Managerのここがすごい! 35 ◦ Patch ManagerからSecurity Hubへパッチ関連の⾮標準ノードの検出結果を 送信できる ◦ セキュリティ分析にパッチ関連の検出結果を含めることが出来る
◦ Patch ManagerとSecurity Hubの両⽅が有効化されている場合、統合は⾃動 的に有効化されている SecurityHubとの連携でよりセキュリティ強化
Parameter Store 36
Parameter Store 37 設定データやシークレット情報を安全に保存、管理、取得する ための機能。アプリケーションの設定、APIキー、パスワード などを暗号化して保存可能。 AWS Systems Manager Parameter
Store
Parameter Storeの ここがすごい! 38
Parameter Store ◦ セキュリティ的メリット ◦ 暗号化可能(SecureString) ◦ 運⽤ & 開発
の負荷を下げる ◦ パラメータ値の変更をパラメータストアから⾏うこと が可能 39 パラメータをコードに記載しなくてよい
Parameter StoreとSecrets Manager 40 Secrets Manager Parameter Store 利用料金 有料
シークレットあたり 0.40USD/月 無料(Standard) アドバンスパラメータあたり 0.05USD/月 (Advanced) 暗号化 可能(KMS) 可能(KMS) 自動ローテーション 可能 不可 連携可能なサービス RDS for MySQL、PostgreSQL、Auroraの認証情 報保存を標準サポート。 AWS CLIやSDKを通じてEC2やECS、Labmda等 と連携可能。 多数(参照) アクセス制御 IAM IAM
Parameter Store ◦ Run Commandとの連携 ◦ ⽂字列パラメータの実⾏ (例)CloudWatch設定ファイル ⼀括で複数インスタンスに設定を反 映させる
41 様々な機能との連携
まとめ 42
まとめ • 運⽤、⾃動化、⼀括管理、このフレーズが出てきたら Systems Managerの導⼊を検討してみよう • ハイブリット、マルチクラウドの場合でも、Systems Managerを使えば運⽤が楽に管理できる • クイックセットアップ機能等も多く⽤意されているので
まずは気軽に使ってみよう 43
None