Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ちょいテク100本ノック。できるまで帰しません 。今から使えるちょいテク集

shogomuranushi
February 06, 2020
1
1.9k

ちょいテク100本ノック。できるまで帰しません 。今から使えるちょいテク集

shogomuranushi

February 06, 2020
Tweet

More Decks by shogomuranushi

See All by shogomuranushi
FPが教える iDeCo のすごさ
shogomuranushi
0
64
AWS Control Tower導入してハッピーになりました
shogomuranushi
0
100
EKS を使ってる人から見た App Runner
shogomuranushi
7
2.1k
Suggested Topicの質問に可能な限り答えてみた
shogomuranushi
0
970
顧客のアプリケーションコードが動くマルチテナント環境における課題とEKSにたどり着くまで
shogomuranushi
0
1.3k
after of Infrastructure-as-Code-is-very-tired
shogomuranushi
16
3.2k
what is Cloud Run?
shogomuranushi
2
89
登壇資料_JAWS-UG_初心者支部_20190417.pdf
shogomuranushi
0
520
Infrastructure-as-Code-is-very-tired
shogomuranushi
59
49k

Featured

See All Featured
Code Review Best Practice
trishagee
50
12k
We Have a Design System, Now What?
morganepeng
37
6k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
Facilitating Awesome Meetings
lara
34
4.7k
Thoughts on Productivity
jonyablonski
50
2.8k
Three Pipe Problems
jasonvnalue
89
9k
Documentation Writing (for coders)
carmenintech
51
3k
Unsuck your backbone
ammeep
660
56k
Build your cross-platform service in a week with App Engine
jlugia
221
17k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
38
3.7k
What’s in a name? Adding method to the madness
productmarketing
PRO
13
2k
Principles of Awesome APIs and How to Build Them.
keavy
118
16k

Transcript

  1. ちょいテク100本ノック。
    できるまで帰しません
    明日から、今日から、今から使えるちょいテク集
    JAWS-UG Osaka
    「知ってると役立つ、AWSちょいテク祭り」
    Shogo Muranushi

    View Slide

  2. View Slide

  3. CLI

    View Slide

  4. 個人に発行した
    IAMクレデンシャルの
    ローテーションどうしてます?

    View Slide

  5. ● 3行でAWSのクレデンシャルをローテーションしてくれるやつ
    ● 1日1回自動ローテーションも可能
    ●   は心理的安全性高い
    ● Windows版もあるらしい
    $ brew tap rhyeal/aws-rotate-iam-keys https://github.com/rhyeal/aws-rotate-iam-keys
    $ brew install aws-rotate-iam-keys
    $ brew services start aws-rotate-iam-keys
    $ aws-rotate-iam-keys

    View Slide

  6. 複数のAWSアカウント利用している時
    に −−profile 打つの面倒ですよね

    View Slide

  7. ● インタラクティブに AWS Profile をスイッチでき
    るやつ
    ● MFAは非対応なので今は使ってない。でも
    Profile名覚えなくていいのでかなり便利でした
    ● alias ax="source _awsp"

    View Slide

  8. ● 複数のAWSアカウントを利用している人、
    Switch Role利用ユーザは必須
    ● CLIツールで --profile に対応していないコマン
    ドも assume role (Switch Role)出来る
    $ assume-role stage aws iam get-user
    or
    $ assume-role stage
    MFA code: xxxxxx
    $ aws s3 ls

    View Slide

  9. どのAWSアカウントが設定されている
    かわからん

    View Slide

  10. ● いちいち細かいコマンドまで覚えない
    ● サクッとどのAWSアカウントのクレデンシャルが設定されているか確認し
    たい
    ● s3 と ls くらいは覚えられる
    クレデンシャルが正しく設定されているかの確認方法

    View Slide

  11. ● いちいち細かいコマンドまで覚えない
    ● サクッとどのAWSアカウントのクレデンシャルが設定されているか確認し
    たい
    ● s3 と ls くらいは覚えられる
    $ aws s3 ls
    クレデンシャルが正しく設定されているかの確認方法

    View Slide

  12. Terraformの0.11と0.12って変わりすぎじゃね?
    0.12に上げたら既存のコード動かないんだけど

    View Slide

  13. ● Terraformをバージョンを切り替えられるやつ
    ● 0.11系と0.12系の記述方法が結構違うのでバージョン依存はかなり
    困る
    ● 基本最新版を利用していたが、隣のチームの多数あるTerraformの
    コードを0.12に書き換えるのは不毛だったので切り替えツールを利用
    し始めた
    $ brew install tfenv
    $ tfenv install 0.11.14
    $ tfenv install 0.12.20
    $ tfenv list
    $ tfenv use 0.11.14

    View Slide

  14. コンソール

    View Slide

  15. セキュリティ要件でMFA有効にして
    毎日MFA入れている方に朗報です

    View Slide

  16. U2F セキュリティキーの有効化 + Krypton
    ● U2F いわゆる YubiKey 等で多要素認証するやつ
    ● Krypton と組み合わせれば、MFAコードを毎回入力することなく自動で
    ログインできる
    ● CLIは非対応なので、コンソール用とCLI用のIAMユーザを保有しています

    View Slide

  17. コンソールの複数のAWSアカウントを切り
    替えるスイッチロールの切り替え履歴5
    件って少なくね?

    View Slide

  18. ● AWSコンソールのSwitch Roleは最大5個ま
    でしか記憶しないので沢山拡張してくれるやつ
    ● Chrome / Firefox の拡張機能
    ● アカウントに色を付けられるので、dev, stage,
    prodで色分けして使ってます
    [profile test]
    role_arn = arn:aws:iam::123456789012:role/test
    color = ffaaee

    View Slide

  19. セキュリティ

    View Slide

  20. 入社するたびに「IAMユーザください」と言われる。
    使わなくなっても言ってこないよね・・?
    クレデンシャルとか放置プレイで意識せぬままに漏洩とか、
    いろいろ怖い

    View Slide

  21. 100日以上使用していないIAMユーザは問答無用で消す
    ● 100日以上AWSのアクティビティが無い=要らないと判断し強い気持ちで削除
    ● メリット
    ○ 個人のIAMユーザのクレデンシャルをシステムに組み込まない
    ■ 退職時の個人アカウントリスクも防げる
    ○ 不要なアカウントの漏洩リスクが排除できる
    ■ 使わない人に限ってパスワードが脆弱だったり
    ○ は心理的安全性高い

    View Slide

  22. ビリング

    View Slide

  23. 請求情報だけじゃ1つのAWSアカウント内で、
    どの機能・プロジェクトでコストがかかってるか
    わからんぜよ

    View Slide

  24. コスト配分タグを活用
    ● 解説
    ○ 一言でいうと、任意に付与した
    AWSリソースのタグでコストの集計
    が可能
    ● ABEJAでは
    Key: Project, Value: を付与
    している
    ● リソースにタグ付け出来ないものもある
    ○ CW LogsやEKSなど
    ○ コストエクスプローラーで
    `No Tagkey: Project` で絞り込み
    可能
    ● タグエディターで一括付与もできる

    View Slide

  25. あなたが転職してAWS周りを
    見ることになったら初めに何や
    るかシリーズ

    View Slide

  26. 一番目はBillingを見る
    ● 無駄なリソースが無いか確認
    ○ プロビジョンドIOPSは高い
    ○ 関連付けられていないEIP
    ○ in-use状態じゃないEBS
    ○ インスタンスがぶら下がっていないELB、など
    ● 基本的にヒアリングしないと分からないけど、まずは金額が一番大きい
    ところから手をつける

    View Slide

  27. 二番目はSecurity Groupを見る
    ● みんなやっちゃう 0.0.0.0/0
    ● 理由を必ず確認して閉じるアーキテクチャに変更しよう

    View Slide

  28. 三番目はIAMを見る
    ● IAMユーザは全AWS環境で1人1つ。複数持たない
    ● AWS内部のシステムはIAMロールに
    ● AWS外部のシステムはやむを得ずIAMユーザで

    View Slide

  29. デモをしてるとこの辺で20分位なはず
    ● 残り
    ○ Kubernetes系のちょいテク
    ○ Terraform系のちょいテク

    View Slide

  30. kubectl系で使用しているalias
    # Kubernetes
    source alias k='kubectl'
    alias kx='kubectx'
    alias knx='kubens'
    alias kp='kubectl get pod'
    alias kpd='kubectl describe pod'
    alias kl='kubectl logs'
    alias kn='kubectl get node'
    alias kh='kubectl get hpa'
    function ke () { kubectl exec -it ${1} bash }

    View Slide

  31. ● Kubernetes の Terminal UI ツール
    ● いちいちコマンド打たなくてもインタラクティブに管理できる

    View Slide

  32. ● Nodeの中身を俯瞰して可視化する
    ツール
    ● NodeにどのようなPodが配置されて
    いるか
    ● Nodeのリソース状況はどうか
    ● コンテナの状態
    ● コンテナの使用率など

    View Slide

  33. Terraformのちょいテク

    View Slide

  34. Terraformのちょいテク
    全部をTerraformで構築しようとするな
    数時間かける位やったら手作業でもええやん

    View Slide

  35. 以上、ご清聴ありがとうございました

    View Slide