Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ここがすごいよ! AWS Systems Manager!
Search
さいちゃん
July 18, 2024
Technology
2.5k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ここがすごいよ! AWS Systems Manager!
さいちゃん
July 18, 2024
More Decks by さいちゃん
See All by さいちゃん
デベロッパーセキュリティ強化! ~シフトレフトで安全な開発を~
saichan11
0
1.3k
PagerDutyで始めるか対応の自動化
saichan11
0
1.6k
Dome9_IAMSaftyで考えるIAMベストプラクティス.pdf
saichan11
0
900
Other Decks in Technology
See All in Technology
GoとSIMDとWasmの今。
askua
3
510
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
soudai
PRO
0
200
TypeScript Compiler APIとPHP-Parserを活用し、TypeScriptとPHPで型を共有する
shuta13
0
370
Unlocking the Apps
pimterry
0
250
Amazon Bedrock AgentCore ワークショップ JAWS UG TOHOKU / amazon-bedrock-agentcore-workshop-jawsug-tohoku-2026
gawa
8
400
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.9k
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
protovalidate-es を導入してみた
bengo4com
0
140
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.8k
Chart.js が簡単に使えるようになっていたので OGP 画像生成に使った話
kamekyame
0
170
実装は速くなった、レビューはどうする? ― 自身のレビューをAIで再現させるサーヴァントエンジニアリングのすゝめ / Implementation got faster. So what about reviews? — An invitation to Servant Engineering: Recreating your own code reviews with AI
nrslib
7
4.1k
Agentic Web
dynamis
1
160
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Into the Great Unknown - MozCon
thekraken
41
2.5k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
310
Balancing Empowerment & Direction
lara
6
1.1k
Leo the Paperboy
mayatellez
7
1.8k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
200
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.7k
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9.1k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
1
530
Transcript
ここがすごいよ! AWS Systems Manager! 2024.7.18 AWS事業本部 コンサルティング部 さいちゃん
⾃⼰紹介 サイード ラティファ栄美里(さいちゃん) • 所属 ◦ AWS事業本部 コンサルティング部 ◦ 普段はAWSの構築支援や運用設計支援等を担当
• 好きなAWSサービス ◦ AWS IAM、AWS Systems Manager • ブログ 2
Xへの投稿の際は、 ハッシュタグ #cm_odyssey でお願いいたします。 3 お願い
本セッションで伝えたいこと • AWS Systems Managerとは? • AWS Systems Manager の使⽤⽅法
• AWS Systems Manager各機能のここがすごい! • 今後の運⽤のヒント 4
AWS Systems Managerとは? 5
AWS Systems Managerとは? 6 ”AWS Systems Manager は、AWS アプリケーションおよびリソースのオペレーションハブであり、 ハイブリッドおよびマルチクラウド環境向けのセキュアなエンドツーエンドの管理ソリューション
です。これにより、安全でセキュアなオペレーションを⼤規模に実現できます。” https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/what-is-systems-manager.html SystemsManagerはシステム運⽤を 楽にする機能がたくさん詰まった、 スーパーヒーローなんです!! 使わないなってもったいなすぎる‧‧
AWS Well-Architected フレームワーク 7 Well-Architected Frameworkとは、 AWSが行ってきたサポートで 得られた知見を集約・整理した ベストプラクティス集のようなもの 【AWSドキュメント】AWS
Well-Architected Framework https://docs.aws.amazon.com/ja_jp/wellarchitected/20 22-03-31/framework/welcome.html
使⽤⽅法は? 8
1.SSM Agentの導⼊ • SSM Agentが対象インスタンスにインストールされている 必要がある • SSM Agent を使⽤すると、Systems
Manager でこれらの リソースを更新、管理、設定できるようになる • AmazonLinuxやWindows、Ubuntu ServeにはSSM Agent はプリインストール済み ◦ その他SSM Agent がプリインストールされている AMIはこちら ◦ https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ami-preinstalled-agent.html 9
2.SSM APIへの経路確保 • SSM Agentからのアウトバウンド経路確保 10 インターネット経由 VPCエンドポイント経由
3.IAMロールの付与 • EC2にアタッチするIAMロールを作製 ◦ 「AmazonSSMManagedInstanceCore」 ポリシーをアタッチ(必須) ◦ 必要に応じてS3などの ポリシーをアタッチ 11
AWS Systems Managerの ここがすごい! 12
クラウドだけじゃない Systems Manager がサポートしているマシンタイプ • EC2インスタンス • ⾃社構築サーバー(オンプレミスサーバー) • 他のクラウド環境内の
VM を含む仮想マシン (VM) • AWS IoT Greengrass コアデバイス • AWS IoT および⾮ AWS エッジデバイス 13
ハイブリッドクラウドや マルチクラウド運⽤をしている場合でも、 ⼀括で運⽤に必要な作業の実施が可能。 14
具体的に何ができるの? 15
機能⼀覧 • アプリケーション管理 ◦ Application Manager ◦ AppConfig ◦ Parameter
Store • 変更管理 ◦ Change Manager ◦ Automation ◦ Change Calendar ◦ Maintenance Windows 16 • ノード管理 ◦ Compliance ◦ Fleet Manager ◦ Inventory ◦ Session Manager ◦ Run Command ◦ State Manager ◦ Patch Manager ◦ Distributor ◦ Hybrid Activations • オペレーション管理 ◦ Incident Manager ◦ Explorer ◦ OpsCenter ◦ CloudWatch Dashboards • 共有リソース ◦ Documents
機能⼀覧 • アプリケーション管理 ◦ Application Manager ◦ AppConfig ◦ Parameter
Store • 変更管理 ◦ Change Manager ◦ Automation ◦ Change Calendar ◦ Maintenance Windows 17 • ノード管理 ◦ Compliance ◦ Fleet Manager ◦ Inventory ◦ Session Manager ◦ Run Command ◦ State Manager ◦ Patch Manager ◦ Distributor ◦ Hybrid Activations • オペレーション管理 ◦ Incident Manager ◦ Explorer ◦ OpsCenter ◦ CloudWatch Dashboards • 共有リソース ◦ Documents
Session Manager 18
Session Manager AWS Systems Manager Session Manager 19 ブラウザベースのシェルを通じてインスタンスの管理が可能。 EC2インスタンスやオンプレミスサーバーへのセキュアな
リモートアクセスを提供。
Session Managerの ここがすごい! 20
Session Manager IAMポリシーを使ったインスタンスのアクセス制御 21 • インスタンスへのアクセス 許可や拒否をIAMポリシー のみを利⽤して管理可能 • IAMユーザーやグループごと
にアクセス出来るインスタ ンスを制御 https://docs.aws.amazon.com/ja_jp/systems-manager/lates t/userguide/getting-started-restrict-access-quickstart.html
Session Manager SSHキーや踏み台ホストの管理、インバウンド ポート設定の必要がない 22 • インバウンドSSHポートやリモートPowerShellポートを開いたま まにしておくと悪意のあるコマンドや、許可していないコマンド がインスタンス上で⾏われるリスクも •
ポートを開く必要がない為よりセキュアにEC2へ接続可能 • SSHキーや踏み台ホストの管理も必要ないため、管理不⾜が引き ⾦となるセキュリティリスクの可能性も軽減
Session Manager ログの記録 23 • AWS Systems Manager による AWS
CloudTrail API コールのログ記録 • S3もしくはCloudWatch Logsへのセッションデータログを記録 • Amazon EventBridgeとの連携
Run Command 24
Run Command 25 EC2インスタンスやオンプレミスサーバーに対して、リモート で管理タスクを実⾏するためのツール。コマンドを記載するこ とで、複数のインスタンスで⼀括でコマンド実⾏が可能。 AWS Systems Manager Run
Command
Run Commandの ここがすごい! 26
Run Command コマンドドキュメントが⽤意されている 27 • 実⾏時にパラメータを指定して使⽤できる事前設定済みのドキュメント が⽤意されている • よく使われるコマンドについては、⼀から毎回コマンドを⽤意する必要 がないので運⽤の効率化を計ることが出来る
(例)AWS-ConfigureAWSPackage、AWS-ConfigureCloudWatch AWSFleetManager-CreateGroup、AWSFIS-Run-CPU-Stress など
Run Command 28 コマンドの⾃動実⾏はうれしいけど、実際に使⽤す る場合は、複数のコマンドを順番に実⾏したいな。 例えばOSユーザーを作製してから、ミドルウェアの インストールを⾏い、作製したユーザーに実⾏権限 を付与するみたいな‧‧
【番外編】Automation 29 Automationとの連携で複数のフローを制御 • ⾃分たちの運⽤にあった複数の処理を カスタムしてドキュメントを作成可能 • フロー内に認証ステップを設ける事が 可能 •
重要な処理の前にIAMユーザーや ロールに承認を求める
Patch Manager 30
パッチ管理の課題 31 インスタンスの量が増えれ ば増えるほど管理が複雑化 してしまい⼤変‧‧‧ • 考慮事項が多い ◦ OS、バージョン ◦
セキュリティ要件 ◦ 適⽤のタイミング • 管理の複雑化 ◦ 適⽤状況の管理 ◦ どのインスタンスにパッチ適⽤が必要 なのかの洗い出し ◦ 定期的なパッチ適⽤ ◦ 緊急パッチへの対応
Patch Manager 32 OSやアプリケーションのセキュリティパッチやその他の 種類の更新プログラムの適⽤プロセスを⾃動化する機能。 AWS Systems Manager Patch Manager
Patch Managerの ここがすごい! 33
Patch Manager 34
Patch Managerのここがすごい! 35 ◦ Patch ManagerからSecurity Hubへパッチ関連の⾮標準ノードの検出結果を 送信できる ◦ セキュリティ分析にパッチ関連の検出結果を含めることが出来る
◦ Patch ManagerとSecurity Hubの両⽅が有効化されている場合、統合は⾃動 的に有効化されている SecurityHubとの連携でよりセキュリティ強化
Parameter Store 36
Parameter Store 37 設定データやシークレット情報を安全に保存、管理、取得する ための機能。アプリケーションの設定、APIキー、パスワード などを暗号化して保存可能。 AWS Systems Manager Parameter
Store
Parameter Storeの ここがすごい! 38
Parameter Store ◦ セキュリティ的メリット ◦ 暗号化可能(SecureString) ◦ 運⽤ & 開発
の負荷を下げる ◦ パラメータ値の変更をパラメータストアから⾏うこと が可能 39 パラメータをコードに記載しなくてよい
Parameter StoreとSecrets Manager 40 Secrets Manager Parameter Store 利用料金 有料
シークレットあたり 0.40USD/月 無料(Standard) アドバンスパラメータあたり 0.05USD/月 (Advanced) 暗号化 可能(KMS) 可能(KMS) 自動ローテーション 可能 不可 連携可能なサービス RDS for MySQL、PostgreSQL、Auroraの認証情 報保存を標準サポート。 AWS CLIやSDKを通じてEC2やECS、Labmda等 と連携可能。 多数(参照) アクセス制御 IAM IAM
Parameter Store ◦ Run Commandとの連携 ◦ ⽂字列パラメータの実⾏ (例)CloudWatch設定ファイル ⼀括で複数インスタンスに設定を反 映させる
41 様々な機能との連携
まとめ 42
まとめ • 運⽤、⾃動化、⼀括管理、このフレーズが出てきたら Systems Managerの導⼊を検討してみよう • ハイブリット、マルチクラウドの場合でも、Systems Managerを使えば運⽤が楽に管理できる • クイックセットアップ機能等も多く⽤意されているので
まずは気軽に使ってみよう 43
None
saichan11
askua
soudai
shuta13
pimterry
gawa
oracle4engineer
bengo4com
kamekyame
nrslib
dynamis
marcelosomers
thekraken
uxyall
lara
mayatellez
sarafernandez
tammyeverts
khoart
danielanewman
aleyda
eileencodes
honzajavorek
