Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Configの自動修復機能使ってみた
Search
そのだ
July 23, 2023
Technology
0
220
AWS Configの自動修復機能使ってみた
https://jaws-ug-kyushu.doorkeeper.jp/events/157035
そのだ
July 23, 2023
Tweet
Share
More Decks by そのだ
See All by そのだ
AIエージェントに脈アリかどうかを分析させてみた
sonoda_mj
2
170
Amazon Bedrock Knowledge Basesのアップデート紹介
sonoda_mj
2
360
Snowflake未経験の人がSnowflakeに挑戦してみた
sonoda_mj
1
52
生成AIアプリのアップデートと配布の課題をCDK Pipelinesで解決してみた
sonoda_mj
0
400
AWSでRAGを作る方法
sonoda_mj
1
430
緑一色アーキテクチャ
sonoda_mj
2
230
RAG構築におけるKendraとPineconeの使い分け
sonoda_mj
2
800
検索拡張生成(RAG)をAWSで作る方法
sonoda_mj
1
580
BedrockのToo Many Request解決してみた
sonoda_mj
2
3.1k
Other Decks in Technology
See All in Technology
TAMとre:Capセキュリティ編 〜拡張脅威検出デモを添えて〜
fujiihda
2
380
php-conference-nagoya-2025
fuwasegu
0
120
人はなぜISUCONに夢中になるのか
kakehashi
PRO
6
1.7k
なぜ私は自分が使わないサービスを作るのか? / Why would I create a service that I would not use?
aiandrox
0
890
運用しているアプリケーションのDBのリプレイスをやってみた
miura55
1
850
次世代KYC活動報告 / 20250219-BizDay17-KYC-nextgen
oidfj
0
430
実は強い 非ViTな画像認識モデル
tattaka
0
360
N=1から解き明かすAWS ソリューションアーキテクトの魅力
kiiwami
0
140
IAMポリシーのAllow/Denyについて、改めて理解する
smt7174
2
170
クラウドサービス事業者におけるOSS
tagomoris
3
960
プロダクトエンジニア 360°フィードバックを実施した話
hacomono
PRO
0
130
エンジニアの育成を支える爆速フィードバック文化
sansantech
PRO
3
1.1k
Featured
See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
9
500
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
12
980
A Philosophy of Restraint
colly
203
16k
Bootstrapping a Software Product
garrettdimon
PRO
306
110k
Making the Leap to Tech Lead
cromwellryan
133
9.1k
Six Lessons from altMBA
skipperchong
27
3.6k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
Being A Developer After 40
akosma
89
590k
YesSQL, Process and Tooling at Scale
rocio
172
14k
How GitHub (no longer) Works
holman
314
140k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3k
Transcript
AWS Configの⾃動修復機能 使ってみた JAWS-UG 福岡 #14 11度⽬はちょっと濃い⽬にAWS re:Inforce 2023を振り返ろう 2023.7.23
苑⽥朝彰 1
⾃⼰紹介 苑⽥ 朝彰 Sonoda Tomotada - ID - Github︓tomomj -
Twitter︓@sonoda_mj - Work at - 株式会社 Fusic (フュージック) 技術開発第⼆部⾨所属 - ソフトウェアエンジニアリング - 新卒3年⽬ - Skill - AWS/React(Native)/Ruby on Rails 2
アジェンダ 3 l 背景 l AWS Config自動修復機能使ってみた l まとめ
01 背景
⾃⼰紹介 苑⽥ 朝彰 Sonoda Tomotada - ID - Github︓tomomj -
Twitter︓@sonoda_mj - Work at - 株式会社 Fusic (フュージック) 技術開発第⼆部⾨所属 - ソフトウェアエンジニアリング - 新卒3年⽬ - Skill - AWS/React(Native)/Ruby on Rails 5 new!!
ʢΠϝʔδʣ ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ߹ɺࣗಈͰແޮʹ͠ Ϣʔβʔʹ௨͍ͨ͠Ͱ͢ɻͲ͏͢Ε͍͍Ͱ͔͢ʁ "84$POGJHͰϧʔϧΛ࡞͠ɺͦͷҧ͕ݕग़͞Εͨͱ͖ʹࣗಈͰम෮͢ΔΞΫγ ϣϯΛઃఆ͢Δɻͦͯ͠ɺͦͷ݁ՌΛ"NB[PO4/4"84$IBUCPUΛͬͯϢʔβ ʔʹ௨͢Δɻ
ʢΠϝʔδʣ ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ߹ɺࣗಈͰແޮʹ͠ Ϣʔβʔʹ௨͍ͨ͠Ͱ͢ɻͲ͏͢Ε͍͍Ͱ͔͢ʁ "84$POGJHͰϧʔϧΛ࡞͠ɺͦͷҧ͕ݕग़͞Εͨͱ͖ʹࣗಈͰम෮͢ΔΞΫγ ϣϯΛઃఆ͢Δɻͦͯ͠ɺͦͷ݁ՌΛ"NB[PO4/4"84$IBUCPUΛͬͯϢʔβ ʔʹ௨͢Δɻ
02 AWS Configの⾃動修復 機能使ってみた
AWS Configとは 9 AWS Config ɺAWSɺΦϯϓϨϛεɺͦͷଞͷΫϥυ্ͷϦιʔεͷઃఆͱؔ ΛܧଓతʹධՁɺࠪ͢Δɻ 参考:https://aws.amazon.com/jp/config/ EC2(V1) EC2(V2)
AWS Config 構成変更 記録 変更・更新
AWS Config マネージドルールとは ఆٛࡁΈͷΧελϚΠζՄೳͳϧʔϧͰ͋Γɺ"84Ϧιʔε͕ҰൠతͳϕετϓϥΫ ςΟεʹ४ڌ͍ͯ͠Δ͔Ͳ͏͔ΛධՁ͢ΔͨΊʹ"84$POGJHͰ༻͢Δϧʔϧ 10 参考:https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/evaluate-config_use-managed-rules.html ྫʣ • 44)͕શ։์͞Ε͍ͯͳ͍͔ʢSFTUSJDUFETTIʣ
• Ϣʔβʔͷଟཁૉೝূ .'" ͕༗ޮʹͳ͍ͬͯΔ͔Ͳ͏͔ʢJBNVTFSNGBFOBCMFEʣ • ҉߸Խ͕σϑΥϧτͰ༗ޮʹͳ͍ͬͯΔ͔Ͳ͏͔ʢFDFCTFODSZQUJPOCZEFGBVMUʣ
⾃動修復機能とは 11 "84$POGJH3VMFTͰධՁ͞Ε͍ͯΔඇ४ڌͷϦιʔεΛम෮Ͱ͖Δɻ ࣗಈͱखಈ͕͋Δɻ 参考:https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/remediation.html ルール設定 System manager Automation 修復
非準拠のEC2 AWS Config
構成図 12 ηΩϡϦςΟʔάϧʔϓͰ44)Λશղ์ʢʣ͍ͯ͠Δ߹ɺແޮʹͯ͠Ϣʔ βʔʹ௨͢Δ
構成図 13 SSHを全開放する
構成図 14 restricted-ssh(マネージドルール) SSHが全開放されているか確認する
構成図 15 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれている デフォルトの SSH ポートと RDP
ポートを 無効にする。
構成図 16 SSHを無効にする
構成図 17 通知を送る
03 実際にやってみた
セキュリティグループのSSH全開放 19
AWS Configマネージドルールの設定 20
AWS Configマネージドルールの設定 21 AWS-DisablePublicAccessForSecurityGroup すべての IP アドレスに対して開かれている デフォルトの SSH ポートと
RDP ポートを 無効にする。
動作確認 22
⾮準拠の確認 23
⾮準拠の確認 24 体感数分くらいで反映される
Eメールが⾶んでくる 25
04 まとめ
まとめ AWS Configの⾃動修復機能は実際に存在した Point 2 ⾃動で修復してくれるので、かなり便利で安全 27 Point 1
ご清聴いただきありがとうございました Thank You We are Hiring ! https://recruit.fusic.co.jp/