AWS Config Custom Rule、ノーコードでできるかな？

JAWS-UG 朝会 #35 AWS Config Custom Rule、ノーコードで書けるかな？ 2022/07/06 NTTテクノクロス株式会社　渡邉洋平 1

自己紹介渡邉洋平(Twitter：@_watany) 所属：NTT テクノクロスデジタルツイン事業部 APN アドバンスドコンサルティングパートナー 2022 APN
ALL AWS Certifications Engineers ＋ SAP on AWS - Specialty (New!) 今年から登壇始めました朝なので明るいスライドで 2

今回話すこと「ノーコードで書けるカスタムルールがあるらしい」注：ノーコード＝ DSL を含む前提ほんまや！（右図）神アプデじゃん！マジかよ！！！！ ...盛り上がってるの私だけじゃない！？という訳で魅力を伝えに来ました。 3

おさらい AWS Config Custom Rules AWS Config AWS リソースの構成変更をロギングするサービス AWS
CLI のコマンド aws configure とは無関係主要な機能 Config Recorder リソース設定の変更履歴を構成管理 Config Rule Recorder の内容がルールを守れているか評価 a. Managed Rules AWS 用意済のルールセット b. Custom Rules 利用者が定義するルールセット今までの Lambda 以外に、Guard DSL で定義できる ←New！ 4

つまり、こういうのが Python で 400Line 弱 Boilerplate が多すぎる 5

Guard DSL だと、こうちなみに Guard DSL は AWS CloudFormation Guard
2.0 の記法つい先日 Guard 2.1 へ AWS CloudFormation Guard 2.1 の一般提供が開始 https://aws.amazon.com/jp/abou t-aws/whats-new/2022/06/aws- cloudformation-guard-2-1- available/ 6

Custom Rules のつらかったところ従来の Custom Rules は実際のリソースは Lambda で実装
プログラミング言語でだいたい表現できる。付与した IAM Role が付与でき、足りない情報は補完が可能。自由度が高い反面、以下の課題が Lambda 特有のチューニング（e.g. timeout, Running Cost...) ソースや実行環境のメンテ(e.g. Runtime 追従, ライブラリ...) ちょっとパラメータの T/F 確認したいだけ。には重過ぎる。 Guard DSL で作成すれば(CustomPolicy)、コード含むリソース管理を深く考えずに、軽量な判定をスッと書けそう。 7

ということでノーコードで CustomRule が簡単に作れ…… 8

ませんでした！全然簡単ではない 9

課題ドキュメントの少なさサンプルの少なさ事例の少なさ 10

つまり……？ドキュメントとサンプル、なければ作ればいい AWS Config Custom Policy Rules、完全に理解した https://zenn.dev/watany/articles/ 472889670b8f82 せっかくなので(？)
Zenn.dev デビューしました。 11

ブログの tl;dr Guard を使えば、無理なく十数行で Custom Rules を表現できそう Config Recorder スキーマの理解は必要。
実は awslabs にある。(図) CDK(Cfn)対応していないのが地味にネック 12

本当に言いたいこと軌道に乗ったらハッピー。立ち上げるまでは若干キツイ。安易に作業見積もりを薄くすると割とつらい CFn 対応、サンプルの充実に期待！ 13

Appendix 前述のブログを書き上げた 2 日後、AWS Blog が公開されました！ Announcing AWS Config Custom
Rules using Guard Custom policy https://aws.amazon.com/jp/blogs/mt/announcing-aws-config-custom-rules-using-guard- custom-policy/ CustomPolicy のノウハウ、公式でも出てないぜ！って言おうと思ったのに。 14

AWS Config Custom Rule、ノーコードでできるかな？

AWS Config Custom Rule、ノーコードでできるかな？

watany

More Decks by watany

Other Decks in Programming

Featured

Transcript

JAWS-UG 朝会 #35 AWS Config Custom Rule、ノーコードで書けるかな？ 2022/07/06 NTTテクノクロス株式会社　渡邉洋平 1

自己紹介渡邉洋平(Twitter：@_watany) 所属：NTT テクノクロスデジタルツイン事業部 APN アドバンスドコンサルティングパートナー 2022 APN

おさらい AWS Config Custom Rules AWS Config AWS リソースの構成変更をロギングするサービス AWS

つまり、こういうのが Python で 400Line 弱 Boilerplate が多すぎる 5

Guard DSL だと、こうちなみに Guard DSL は AWS CloudFormation Guard

Custom Rules のつらかったところ従来の Custom Rules は実際のリソースは Lambda で実装

ということでノーコードで CustomRule が簡単に作れ…… 8

ませんでした！全然簡単ではない 9

課題ドキュメントの少なさサンプルの少なさ事例の少なさ 10

つまり……？ドキュメントとサンプル、なければ作ればいい AWS Config Custom Policy Rules、完全に理解した https://zenn.dev/watany/articles/ 472889670b8f82 せっかくなので(？)

ブログの tl;dr Guard を使えば、無理なく十数行で Custom Rules を表現できそう Config Recorder スキーマの理解は必要。

本当に言いたいこと軌道に乗ったらハッピー。立ち上げるまでは若干キツイ。安易に作業見積もりを薄くすると割とつらい CFn 対応、サンプルの充実に期待！ 13

Appendix 前述のブログを書き上げた 2 日後、AWS Blog が公開されました！ Announcing AWS Config Custom