第1回 雲勉LT【オンライン：中級者向け】リソース作ったら作成者名とか自動でタグ付けされてたらいいな

Transcript

1. 第1回 雲勉LT【オンライン︓中級者向け】 リソース作ったら作成者名とか⾃動でタグ付けされてたらいいな

2. ⾃⼰紹介 2 • 野崎 ⾼弘（のざき たかひろ） • クラウドインテグレーション事業部 プロジェクト企画推進セクション インフラ技術

   • インフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 • 趣味︓資格取得、⽝の散歩、ドラクエ、巨⼈ファン、ドラマ • 好きな⾷べ物︓カレー、ハンバーグ、チーズ、パクチー、⽣クリーム系スイーツ • AWSは現在7冠中 3

3. タグ付けされてないと⾊々と困る 3 よくあるAWS検証環境で、AWSリソース作成時にタグを付与し忘れ、結果、作成者不明の無名リ ソースの残骸になっているところが多い いつ、誰が作ったのか謎の正体不明の幽霊インスタンス 消していいのかもわからない・・ Windowsのプロパティには こんなに情報が付いてるのに

4. そこで 4 リソース作成者が意識して⾃分の名前などを付けてタグ付けを気をつけてくれていることも多い が、そういった⼈為的なことに依存するのではなく、作成者の意図や⼿間なく透過的にタグが⾃ 動付与されると便利 そこで︕⾃分の名前と作成⽇を⾃動付与することで、無駄なリソースの主を検出し、なくすこと で、コスト削減につながる⽅法を考えてみました

5. 条件 5 • タグ付けを強制するものではないこと（変なタグを付けられてしまう） • タグ付けをしないとリソース作成が失敗するものではないこと（権限がないエラーなのかと 勘違いしてしまうため） • タグなしリソース検索して通知するものではないこと（将来に向けて考える） •

   過去のタグなしリソースを追う⽅法は別途考える（監査で必要）

6. 注意事項 6 • 作成者が意図的に⾃分の名前を付けても、重複タグの検知はしていないため、関係なく⾃ 動的にタグが付与されます。その結果、名前タグが重複したりする可能性あり • 1つのAWSリソースにつき、1つのLambdaファンクションと1つのEventBridgeが必要に なるため、リソースの数だけこれらの作成が必要に • CloudTrailの

   Createresourcename イベントをトリガーしているため、CloudFormation などで⾃動作成されるリソースには⾮対応

7. 事前準備 7 タグ付けしたい名前や⽇付など情報の位置を、CloudTrailログから取ってくること そのため、あらかじめ⼀旦AWSリソースを作成してみます。例えば、EC2インスタンスを実際に 作成し、CloudTrailログから イベント名＝RunInstances でその作成時のログを検索します。 ここで欲しいのは、userIdentity と responseElements

   の中⾝です。 userIdentity からは、username と creationDate が取れます。 responseElements からは、instanceId が取れます。

8. 事前準備 8 userIdentity • userName • creationDate responseElements • instanceId

9. 作業の流れ 9 １.Lambda関数を作成

10. 作業の流れ 10 ２.ソースコードを作成 boto（ぼと）3（ AWS SDK for Python）パッケージのEC2クラスのclient のcreate_tagsメソッドで実際にタグ付けを ⾏います。ここで上記で取ってきた

    userNameやcreationDateを指定していま す。 （参考） https://boto3.amazonaws.com/v1/documentation/api/lat est/reference/services/ec2.html?highlight=nat%20gatew ay#client

11. 作業の流れ 11 ３. EventBridgeルールを作成 イベントパターン︓ { "source": ["aws.ec2"], "detail-type": ["AWS

    API Call via CloudTrail"], "detail": { "eventSource": ["ec2.amazonaws.com"], "eventName": ["RunInstances"] } } ターゲット︓ 先ほど作成したLambda関数を指定します。

12. 作業の流れ 12

13. None