$30 off During Our Annual Pro Sale. View Details »

AWS Config Custom Rule、ノーコードでできるかな?

watany
July 06, 2022

AWS Config Custom Rule、ノーコードでできるかな?

JAWS-UG 朝会 #35で登壇した内容です。

watany

July 06, 2022
Tweet

More Decks by watany

Other Decks in Programming

Transcript

  1. JAWS-UG 朝会 #35
    AWS Config Custom Rule、ノーコードで書けるかな?






    2022/07/06
    NTTテクノクロス株式会社 渡邉洋平
    1

    View Slide

  2. 自己紹介
    渡邉 洋平(Twitter:@_watany)
    所属:NTT テクノクロス デジタルツイン事業部
    APN アドバンスドコンサルティングパートナー
    2022 APN ALL AWS Certifications Engineers
    + SAP on AWS - Specialty (New!)
    今年から登壇始めました
    朝なので明るいスライドで
    2

    View Slide

  3. 今回話すこと
    「ノーコードで書けるカスタムルールがあるらしい」
    注:ノーコード= DSL を含む前提
    ほんまや!(右図)神アプデじゃん!マジかよ!!!!
    ...盛り上がってるの私だけじゃない!?
    という訳で魅力を伝えに来ました。
    3

    View Slide

  4. おさらい AWS Config Custom Rules
    AWS Config
    AWS リソースの構成変更をロギングするサービス
    AWS CLI のコマンド aws configure とは無関係
    主要な機能
    Config Recorder
    リソース設定の変更履歴を構成管理
    Config Rule
    Recorder の内容がルールを守れているか評価
    a. Managed Rules
    AWS 用意済のルールセット
    b. Custom Rules
    利用者が定義するルールセット
    今までの Lambda 以外に、Guard DSL で定義できる ←New! 4

    View Slide

  5. つまり、こういうのが
    Python で 400Line 弱
    Boilerplate が多すぎる
    5

    View Slide

  6. Guard DSL だと、こう
    ちなみに Guard DSL は AWS
    CloudFormation Guard 2.0 の記法
    つい先日 Guard 2.1 へ
    AWS CloudFormation Guard 2.1
    の一般提供が開始

    https://aws.amazon.com/jp/abou
    t-aws/whats-new/2022/06/aws-
    cloudformation-guard-2-1-
    available/
    6

    View Slide

  7. Custom Rules のつらかったところ
    従来の Custom Rules は
    実際のリソースは Lambda で実装
    プログラミング言語でだいたい表現できる。
    付与した IAM Role が付与でき、足りない情報は補完が可能。
    自由度が高い反面、以下の課題が
    Lambda 特有のチューニング(e.g. timeout, Running Cost...)
    ソースや実行環境のメンテ(e.g. Runtime 追従, ライブラリ...)
    ちょっとパラメータの T/F 確認したいだけ。には重過ぎる。
    Guard DSL で作成すれば(CustomPolicy)、コード含むリソース管理を深く考えずに、軽量な判定をスッと書
    けそう。
    7

    View Slide

  8. ということでノーコードで CustomRule が簡単に作れ……
    8

    View Slide

  9. ませんでした!
    全然簡単ではない
    9

    View Slide

  10. 課題
    ドキュメントの少なさ
    サンプルの少なさ
    事例の少なさ
    10

    View Slide

  11. つまり……?
    ドキュメントとサンプル、なければ作ればいい
    AWS Config Custom Policy
    Rules、完全に理解した

    https://zenn.dev/watany/articles/
    472889670b8f82
    せっかくなので(?) Zenn.dev デビュー
    しました。
    11

    View Slide

  12. ブログの tl;dr
    Guard を使えば、無理なく十数行で
    Custom Rules を表現できそう
    Config Recorder スキーマの理解は必要。
    実は awslabs にある。(図)
    CDK(Cfn)対応していないのが地味にネック
    12

    View Slide

  13. 本当に言いたいこと
    軌道に乗ったらハッピー。立ち上げるまでは若干キツイ。
    安易に作業見積もりを薄くすると割とつらい
    CFn 対応、サンプルの充実に期待!
    13

    View Slide

  14. Appendix
    前述のブログを書き上げた 2 日後、AWS Blog が公開されました!
    Announcing AWS Config Custom Rules using Guard Custom policy

    https://aws.amazon.com/jp/blogs/mt/announcing-aws-config-custom-rules-using-guard-
    custom-policy/
    CustomPolicy のノウハウ、公式でも出てないぜ!って言おうと思ったのに。
    14

    View Slide