Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ガバナンスを支える新サービス / New Services to Support Govern...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Shinya Ejima
December 18, 2024
Technology
3k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ガバナンスを支える新サービス / New Services to Support Governance
Shinya Ejima
December 18, 2024
Other Decks in Technology
See All in Technology
Microsoft Build Keynoteふりかえり
tomokusaba
0
120
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
recruitengineers
PRO
1
120
JSAI2026 オーガナイズドセッションOS-27「不動産とAI」趣旨説明 / JSAI2026 Organized Session OS-27 “Real Estate and AI”: Statement of Purpose
ykiyota
0
110
やさしいA2A入門
minorun365
PRO
10
1.5k
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.9k
AmazonRoute 53ではじめてのドメイン取得!HTTPS化までの道のりを整理してみた
usanchuu
3
120
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
1.9k
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
edeandrea
PRO
1
130
新規事業を牽引する技術選定 〜フルスタックTypeScript開発の実践事例〜
nullnull
3
380
2026.06.13_AI時代に事業会社が「SIer出身エンジニア」を求める理由 / Why Businesses Seek Engineers with a System Integrator Background in the AI Era
jumtech
0
1k
「気づいたら仕事が終わっている」バクラクAIエージェント本番運用の裏側 / layerx-bakuraku-aie2026
yuya4
19
11k
DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜
nyankotaro
1
360
Featured
See All Featured
Designing for humans not robots
tammielis
254
26k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.3k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
250
How STYLIGHT went responsive
nonsquared
100
6.2k
For a Future-Friendly Web
brad_frost
183
10k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
470
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
200
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
[RailsConf 2023] Rails as a piece of cake
palkan
59
6.7k
Testing 201, or: Great Expectations
jmmastey
46
8.2k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
240
We Are The Robots
honzajavorek
0
240
Transcript
ガバナンスを支える新サービス 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 Copyright © ZOZO,
Inc. 1
© ZOZO, Inc. 株式会社ZOZO EC基盤開発本部 SRE部 フロントSREブロック 江島 慎弥 担当業務
・ZOZOTOWNのフロント領域におけるSRE ・全社のAWS管理者(今日はこちらの目線で話します) 好きなAWSサービス ・AWS CloudFormation 2
© ZOZO, Inc. アジェンダ 1. Innovation talk(Security insights and innovation
from AWS) 2. Declarative policies(宣言型ポリシー) 3. AWS re:Invent 2024の感想 3
© ZOZO, Inc. Innovation talk ~ Security insights and innovation
from AWS ~ 4
© ZOZO, Inc. Innovation talkとは? • AWSのシニアリーダーが登壇するトーク型セッション • 各分野の重要課題に関してAWSにおける最新の取り組みを紹介 •
Breakout sessionやWorkshop等よりもやや抽象度が高めな内容である印象 • 今回は「Security, compliance & identity」の分野におけるInnovation talkを聴講 5
© ZOZO, Inc. どのような話があったか? • AWS CISOのChris Betz氏を中心に進行 • 大きく三点のトークテーマに沿った話
◦ セキュリティに関するオーナーシップの重要性 ◦ 最新サービス紹介 ◦ 量子コンピューティングや生成AIなど最新技術に対するセキュリティ • 各トークテーマではパートナーによる事例紹介もあった ◦ 事例紹介 ▪ Rodrigo Castillo氏(CTO, Commonwealth Bank of Australia) ▪ Jason Clinton氏(CISO, Anthropic) ◦ 最新サービス紹介 ▪ Becky Weiss氏(Vice President & Distinguished Engineer, AWS) 6
© ZOZO, Inc. 最新サービス紹介 システム規模がどれほど大きく、関係者がどれほどに多数になっても変わることなく、 アイデンティティ、リソース、ネットワーク等のアクセスを適切に管理し続けなればならない というメッセージ 出典:Security insights and
innovation from AWS (AWS re:Invent 2024) 7
© ZOZO, Inc. 最新サービス紹介 • Resource control policies • Centrally
manage AWS IAM root access • VPC Block Public Access • Declarative Policies ← 特に興味深かったこちらについて詳細を触れていきます • Amazon GuardDuty Extended Threat Detection • AWS Security Incident Response • Amazon OpenSearch Service Zero-ETL integration with Amazon Security Lake 【参考】 “Resource control policies”と”Declarative Policies”については以下のBreakout sessionで詳しいお話がありました →New governance capabilities for multi-account environments 8
© ZOZO, Inc. Declarative policies(宣言型ポリシー) 9
© ZOZO, Inc. AWS Organizations AWS Organizationsはガバナンスを実現するために不可欠なサービス ここに新しいポリシーが追加 出典:New governance
capabilities for multi-account environments (AWS re:Invent 2024) 10
© ZOZO, Inc. Declarative policies(宣言型ポリシー)とは? • AWSサービスの設定状態を定義するポリシー機能 • 宣言されたポリシーに反する設定は拒否される(強制される) •
メンバーアカウントから設定変更を行おうとした場合にはカスタムエラーメッセージを返せる • 現時点ではEC2の一部ユースケースのみが対象(サポート範囲は今後拡大予定) 11
© ZOZO, Inc. Before Policy After 適用イメージ(VPCブロックパブリックアクセスの適用) ingressをblock カスタムエラーメッセージ 12
© ZOZO, Inc. 何が嬉しいのか? 組織内の各リソースが期待した設定となるようにガードレールを作りたい場面を考える • 従来は基本的にSCP(Service Control Policy)で実現する必要があった ◦
禁止したい操作を1つ1つAPI単位で洗い出してSCPでDenyを設定 ◦ これによって意図しない設定とする操作が出来ない状況を作っていた • これって結構きつい ◦ APIは日々増えていくため意図通りになっているか継続的にメンテナンスが必要 ◦ 定義したSCPの意図を明確に表現しづらい ▪ Sidの記述だけで意図を理解するのは難しい ▪ コメントも記載出来ない • メンバーアカウント側でエラーに遭遇した場合におけるデバッグが困難 ◦ エラーメッセージからは意図が汲み取れないため これらの課題をまとめて解決してくれる素敵な機能!! 13
© ZOZO, Inc. いつ使うべきか? • ユースケースが組織の方針に沿っているならば積極的に導入すべき(簡単に設定出来る) • 現在はEC2の一部ユースケースのみが対象となっているが今後のサポート範囲拡大に期待 • 個人的にはAWS
Security Hubのコントロールに対応するポリシーが増えてくればコンプライアン ス遵守を効率よく進められそうな気がしている 14
© ZOZO, Inc. SCP / RCP / Declarative policiesの使い分け Declarative
policies→RCP→SCPの順に検討すれば良さそう Organizations外部からのアクセスを制限した場合はRCP、そうでない場合はSCP 出典:New governance capabilities for multi-account environments (AWS re:Invent 2024) 15
© ZOZO, Inc. おまけ:Innovation talkの最後に告げられた熱いメッセージ 出典:Security insights and innovation from
AWS (AWS re:Invent 2024) 16
© ZOZO, Inc. AWS re:Invent 2024の感想 17
© ZOZO, Inc. AWS re:Invent 2024の感想 • 以下に挙げるような学びや経験を得ることが出来た ◦ 最新技術のキャッチアップ
▪ 特に業務から離れて数日間集中出来ることは貴重だった ▪ 生成AIについてもっと学ぼうと思うきっかけになった ◦ 他参加者からの熱量吸収やネットワーキング ▪ 画面越しに配信動画を見たりするだけでは得られないものが現地にはある ◦ 英語に対する向上心 ▪ 長期間にわたる英語漬けの生活は人生初だったため課題感が明確になった ▪ 英語が使えるようになってより多くのチャンスを掴めるようになりたいと思えた • またチャンスがあればぜひ参加したい+もっと価値ある参加となるように今から準備していく 18
None
tomokusaba
recruitengineers
ykiyota
minorun365
oracle4engineer
usanchuu
hanon52_
edeandrea
nullnull
jumtech
yuya4
nyankotaro
tammielis
mraible
baasie
nonsquared
brad_frost
reverentgeek
ryanjones
maggiecrowley
palkan
jmmastey
nikkihalliwell
honzajavorek
