Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ガバナンスを支える新サービス / New Services to Support Govern...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Shinya Ejima
December 18, 2024
Technology
3.1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ガバナンスを支える新サービス / New Services to Support Governance
Shinya Ejima
December 18, 2024
Other Decks in Technology
See All in Technology
WebGIS AI Agentの紹介
_shimizu
0
610
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
330
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
240
AWS Blocks を触ってみた/first-tach-aws-blocks
fossamagna
2
110
小さいから、全部わかる。— 常駐AI "xangi" のすすめ
sugupoko
0
220
AIエージェントとPhysical AIが拓く製造業の変革(ハノーバーメッセリキャップ)
iotcomjpadmin
0
200
記録をかんたんに、提案をパーソナルに ── AIであすけんが目指すもの
oprstchn
0
110
AI Agentをシステムに組み込む前にゆるく向き合ってみる
hayama17
0
190
トークン最適化のためのユーザーストーリー分析 / User Story Analysis for Token Optimization
oomatomo
0
160
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
270
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
seafay
PRO
1
550
開発組織のAI活用レベルを可視化する「エンジニア版AI番付」の取り組み
fuzzy31u
0
100
Featured
See All Featured
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
1
360
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
auna
0
180
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.2k
Into the Great Unknown - MozCon
thekraken
41
2.6k
Unsuck your backbone
ammeep
672
58k
Making Projects Easy
brettharned
120
6.7k
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
300
Exploring the relationship between traditional SERPs and Gen AI search
raygrieselhuber
PRO
2
4.1k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
210
The #1 spot is gone: here's how to win anyway
tamaranovitovic
3
1.1k
Mobile First: as difficult as doing things right
swwweet
225
10k
Transcript
ガバナンスを支える新サービス 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 Copyright © ZOZO,
Inc. 1
© ZOZO, Inc. 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 担当業務
・ZOZOTOWNのフロント領域におけるSRE ・全社のAWS管理者(今日はこちらの目線で話します) 好きなAWSサービス ・AWS CloudFormation 2
© ZOZO, Inc. アジェンダ 1. Innovation talk(Security insights and innovation
from AWS) 2. Declarative policies(宣言型ポリシー) 3. AWS re:Invent 2024の感想 3
© ZOZO, Inc. Innovation talk ~ Security insights and innovation
from AWS ~ 4
© ZOZO, Inc. Innovation talkとは? • AWSのシニアリーダーが登壇するトーク型セッション • 各分野の重要課題に関してAWSにおける最新の取り組みを紹介 •
Breakout sessionやWorkshop等よりもやや抽象度が高めな内容である印象 • 今回は「Security, compliance & identity」の分野におけるInnovation talkを聴講 5
© ZOZO, Inc. どのような話があったか? • AWS CISOのChris Betz氏を中心に進行 • 大きく三点のトークテーマに沿った話
◦ セキュリティに関するオーナーシップの重要性 ◦ 最新サービス紹介 ◦ 量子コンピューティングや生成AIなど最新技術に対するセキュリティ • 各トークテーマではパートナーによる事例紹介もあった ◦ 事例紹介 ▪ Rodrigo Castillo氏(CTO, Commonwealth Bank of Australia) ▪ Jason Clinton氏(CISO, Anthropic) ◦ 最新サービス紹介 ▪ Becky Weiss氏(Vice President & Distinguished Engineer, AWS) 6
© ZOZO, Inc. 最新サービス紹介 システム規模がどれほど大きく、関係者がどれほどに多数になっても変わることなく、 アイデンティティ、リソース、ネットワーク等のアクセスを適切に管理し続けなればならない というメッセージ 出典:Security insights and
innovation from AWS (AWS re:Invent 2024) 7
© ZOZO, Inc. 最新サービス紹介 • Resource control policies • Centrally
manage AWS IAM root access • VPC Block Public Access • Declarative Policies ← 特に興味深かったこちらについて詳細を触れていきます • Amazon GuardDuty Extended Threat Detection • AWS Security Incident Response • Amazon OpenSearch Service Zero-ETL integration with Amazon Security Lake 【参考】 “Resource control policies”と”Declarative Policies”については以下のBreakout sessionで詳しいお話がありました →New governance capabilities for multi-account environments 8
© ZOZO, Inc. Declarative policies(宣言型ポリシー) 9
© ZOZO, Inc. AWS Organizations AWS Organizationsはガバナンスを実現するために不可欠なサービス ここに新しいポリシーが追加 出典:New governance
capabilities for multi-account environments (AWS re:Invent 2024) 10
© ZOZO, Inc. Declarative policies(宣言型ポリシー)とは? • AWSサービスの設定状態を定義するポリシー機能 • 宣言されたポリシーに反する設定は拒否される(強制される) •
メンバーアカウントから設定変更を行おうとした場合にはカスタムエラーメッセージを返せる • 現時点ではEC2の一部ユースケースのみが対象(サポート範囲は今後拡大予定) 11
© ZOZO, Inc. Before Policy After 適用イメージ(VPCブロックパブリックアクセスの適用) ingressをblock カスタムエラーメッセージ 12
© ZOZO, Inc. 何が嬉しいのか? 組織内の各リソースが期待した設定となるようにガードレールを作りたい場面を考える • 従来は基本的にSCP(Service Control Policy)で実現する必要があった ◦
禁止したい操作を1つ1つAPI単位で洗い出してSCPでDenyを設定 ◦ これによって意図しない設定とする操作が出来ない状況を作っていた • これって結構きつい ◦ APIは日々増えていくため意図通りになっているか継続的にメンテナンスが必要 ◦ 定義したSCPの意図を明確に表現しづらい ▪ Sidの記述だけで意図を理解するのは難しい ▪ コメントも記載出来ない • メンバーアカウント側でエラーに遭遇した場合におけるデバッグが困難 ◦ エラーメッセージからは意図が汲み取れないため これらの課題をまとめて解決してくれる素敵な機能!! 13
© ZOZO, Inc. いつ使うべきか? • ユースケースが組織の方針に沿っているならば積極的に導入すべき(簡単に設定出来る) • 現在はEC2の一部ユースケースのみが対象となっているが今後のサポート範囲拡大に期待 • 個人的にはAWS
Security Hubのコントロールに対応するポリシーが増えてくればコンプライアン ス遵守を効率よく進められそうな気がしている 14
© ZOZO, Inc. SCP / RCP / Declarative policiesの使い分け Declarative
policies→RCP→SCPの順に検討すれば良さそう Organizations外部からのアクセスを制限した場合はRCP、そうでない場合はSCP 出典:New governance capabilities for multi-account environments (AWS re:Invent 2024) 15
© ZOZO, Inc. おまけ:Innovation talkの最後に告げられた熱いメッセージ 出典:Security insights and innovation from
AWS (AWS re:Invent 2024) 16
© ZOZO, Inc. AWS re:Invent 2024の感想 17
© ZOZO, Inc. AWS re:Invent 2024の感想 • 以下に挙げるような学びや経験を得ることが出来た ◦ 最新技術のキャッチアップ
▪ 特に業務から離れて数日間集中出来ることは貴重だった ▪ 生成AIについてもっと学ぼうと思うきっかけになった ◦ 他参加者からの熱量吸収やネットワーキング ▪ 画面越しに配信動画を見たりするだけでは得られないものが現地にはある ◦ 英語に対する向上心 ▪ 長期間にわたる英語漬けの生活は人生初だったため課題感が明確になった ▪ 英語が使えるようになってより多くのチャンスを掴めるようになりたいと思えた • またチャンスがあればぜひ参加したい+もっと価値ある参加となるように今から準備していく 18
None