[re:Invent 2022][Fin-JAWS #29]現地参加のみなさんがキラキラアップデートに目がくらんでいるスキに渋いアップデートをキャッチアップ!!

Transcript

1. 1 © 2022 Japan Digital Design, Inc. Yuta Kimi 2022.12.1

   [Fin-JAWS #29 LT] 現地参加のみなさんがキラキラアップデートに 目がくらんでいるスキに渋いアップデートを キャッチアップ！！

2. 2 © 2022 Japan Digital Design, Inc. 木美 雄太 Senior

   Solution Architect 役割 Solution Architectとして活動 1 社外 Fin-JAWS運営、書籍執筆 所属 Japan Digital Design 株式会社 A member of MUFG 人権が大切にされている会社です M1 MacBook Pro 32GB RAM, Slack, GitHub, …

3. 3 CONFIDENTIAL © 2022 Japan Digital Design, Inc. 全ては re:Invent

   2019 から 今の自分にとって re:Invent 2019が多くのきっかけ 私とAWS re:Invent AWS関連の仕事に本格的にのめり込んだきっかけ re:Invent 2019でAWSのスケールと熱量に圧倒され、 以降はAWS案件に注力。社内AWS勉強会も推進 1 JAWS-UG に参加しはじめたきっかけ re:Invent 2019で現地開催されたFin-JAWSが初めてのJAWS。 定員オーバーで申し込めなかったが勝手に忍び込む 2 現職「JDD」を知ったきっかけ 現地開催のFin-JAWSで弊社CIO 小野のLTを見たことがきっかけ 3

4. 4 CONFIDENTIAL © 2022 Japan Digital Design, Inc. 現地不参加だからこそ 渋いアップデートを紹介

   現地参加のみなさんが キラキラしたアップデートに 目がくらんでいるスキに 渋いアップデートの情報を キャッチアップ！！ （現地でキラキラしたアップデートを追いかけたい…） （Clean Roomsとかでキャーキャー言いたい…） 本日のお話 OpenSearch Serverless AuroraとRedshiftのzero- ETL統合 RedshiftのApache Spark 統合 Amazon DataZone QuickSight Operational Paginate QuickSight ML-powered Forecasting with Q “Why” questions with Q Container runtime threat detection for GuarDuty Amazon Security Lake EC2 Inf2 インスタンス HPC6id インスタンス AWS SimSpace Weaver Amazon Connect ML driven forecasting, capacity planning, scheduling Amazon Connect Contact Lens with agent performance management Amazon Connect agent workspace with guided step-by-step actions AWS Supply Chain AWS Clean Rooms Amazon Omics Athena for Apache Spark Document DB Elastic Clusters SageMakerのGeospatial ML のサポート Redshift Multi-AZ Trusted Language Extensions for PostgreSQL GuardDuty RDS Protection Glue Data Quality Centralized Access Controls for Redshift Data Sharing SageMake ML Governance Redshift auto-copy from S3 AppFlowに新たな接続コネクタ が22個追加 SageMaker Data Wranglerで 40以上の新しい接続コネクタ が利用可能に Machine Learning University Keynoteで発表されたキラキラしたアップデートたち Nitroの第5世代「Nitro v5」 Nitro v5を用いた C7gnインスタンス Nitro v5とGraviton 3Eを 用いたHPC7gインスタンス io2ボリュームへのSRD適用に よるパフォーマンス向上 ENA Express Trn1nインスタンス Lambda SnapStart CEO Keynote ML Keynote Monday Night Live

5. 5 CONFIDENTIAL © 2022 Japan Digital Design, Inc. 「事前定義されたルールに準拠していないリソースはプロビジョニング前にブロックする」 という仕組みをControl

   Towerで組織内のアカウントに一括展開できるようになりました （金融系のみなさんが好きそうな話かなと） 本日ご紹介する渋いアップデート

6. 6 CONFIDENTIAL © 2022 Japan Digital Design, Inc. ないとき あるとき

   この仕組みが「あるとき」「ないとき」 システムA CDK/CFnでデプロイ 開発者 非暗号化 プロビジョニング前に ブロック システムB 非暗号化 プロビジョニング前に ブロック システムC 非暗号化 プロビジョニング前に ブロック 管理者 Control Tower ブロックする 仕組みを一括展開 [前提] CDKを含むCloudFormation (CFn) 経由でリソースを構築している システムA CDK/CFnでデプロイ 開発者 非暗号化 システムB 非暗号化 システムC 非暗号化 管理者 発見的 ガードレール機能 プロビジョニングされた 非準拠リソースを検出 こらっ！暗号化！ もっと早く言ってよ… アラート疲れ 非準拠リソースが作られる”前”に気づいて修正できる 非準拠リソースが作られた”後”に怒られる。 管理者は追跡が必要な膨大な件数のアラートでアラート疲れに [前提]発見的ガードレール（非準拠リソースを検知）では保護されている 要追跡のアラート ルール：S3バケットは 暗号化しなければならない

7. 7 CONFIDENTIAL © 2022 Japan Digital Design, Inc. ないとき あるとき

   この仕組みが「あるとき」「ないとき」 システムA CDK/CFnでデプロイ 開発者 非暗号化 プロビジョニング前に ブロック システムB 非暗号化 プロビジョニング前に ブロック システムC 非暗号化 プロビジョニング前に ブロック 管理者 Control Tower ブロックする 仕組みを一括展開 システムA 開発者 非暗号化 管理者 パイプライン経由だろうが手動デプロイだろうが関係なく Control Towerを使って一括でこの仕組みを適用できる 組織内の多数の部門が利用する大量のアカウントに どうやってこのような仕組みをすべなく展開するか？ プロビジョニング前に ブロック パイプライン内で チェック システムB 非暗号化 プロビジョニング前に ブロック パイプライン内で チェック システムB 非暗号化 プロビジョニング前に ブロック パイプライン内で チェック どうやって すべなく展開するか？

8. 8 CONFIDENTIAL © 2022 Japan Digital Design, Inc. マルチアカウント管理の スタートラインをぐぐっと

   前に持っていってくれる サービス 組織内に存在する多数の AWSアカウントを効率的に 管理できる （効率的＝アカウント数に比例して 管理負荷が急増しにくい） AWS Control Tower とは？ https://speakerdeck.com/ykimi/jaws-pankration-will-aws-control-tower- take-away-my-jobs-as-multi-account-administrator-control- towerhamarutiakauntoguan-li-zhe-falseshi-shi-woduo-tutekurerufalseka 2021年にJAWS PANKRATIONで 登壇した資料がありますので、 ぜひご確認ください！

9. 9 CONFIDENTIAL © 2022 Japan Digital Design, Inc. 3種類の「コントロール」 組織内のアカウントを統制する

   「コントロール」には3種類の 動作がある。 今回、利用するコントロールは 「プロアクティブ」 Control Tower の「コントロール」 今回、使うコントロール プロアクティブ ルールに沿わない「設定」を持つリソースをプロビジョニング前にブロック 例）Amazon S3バケットにサーバー側の暗号化の設定を必須にする 1 予防 ルールに沿わない「操作」をブロック 例）Amazon S3バケットの暗号化設定の変更を許可しない 2 検出 ルールに沿わない「設定」を持つリソースを検出 例）S3バケットではサーバー側の暗号化を有効にする必要があります 3

10. 10 CONFIDENTIAL © 2022 Japan Digital Design, Inc. OU(*1)に「プロアクティブな コントロール」を適用

    OUにS3の暗号化設定を必須にす るプロアクティブなコントロー ルを適用。数クリックで完了 これで、配下の全アカウントに この制限が適用される。 (*1) OU：Organizational Unit。AWS Organizations において、AWSアカウントをグルーピング・階層化 する論理リソース やってみた システムA システムB OU システムC ・・・ Control Tower プロアクティブなコントロールを適用 OU配下のアカウントで「有効なコントロール」を確認

11. 11 CONFIDENTIAL © 2022 Japan Digital Design, Inc. CDKで”非”準拠リソースを デプロイ

    対象のOU配下のアカウントで 非準拠リソースをデプロイする とスタック作成が失敗 やってみた const bucket = new s3.Bucket(this, 'NonCompliantBucket', { encryption: s3.BucketEncryption.UNENCRYPTED }); deploy サーバーサイド暗号化を「無効化」したS3バケット “The following hook(s) faild: [Control Tower::Guard::Hook]”で失敗

12. 12 CONFIDENTIAL © 2022 Japan Digital Design, Inc. CDKで準拠リソースを デプロイ

    対象のOU配下のアカウントで 準拠リソースをデプロイすると 正常にスタック作成が完了 やってみた const bucket = new s3.Bucket(this, 'CompliantBucket', { encryption: s3.BucketEncryption.S3_MANAGED }); deploy サーバーサイド暗号化を「有効化」したS3バケット スタック作成が完了 先ほど止まっていた Hookとやらも通過

13. 13 CONFIDENTIAL © 2022 Japan Digital Design, Inc. Control Towerは

    CFn HooksによるCFn Guard を使ったチェックを 組織内に配っている そのため、CFnを経由する リソース作成しかチェック対象 にならない。 CDKはCFnを経由するのでOK。 勘の良い方はお気づきかと思います システムA OU Control Tower CFn Hooks CFn Guard ルール CloudFormation システムB CFn Hooks CFn Guard ルール CloudFormation システムC CFn Hooks CFn Guard ルール CloudFormation CloudFormation Hooks CloudFormationによるリソース作成・更新・ 削除の前にカスタムロジックを呼び出したり、 リソース設定を検査したりできる機能 CloudFormation Guard 事前定義されたルールにリソース設定が 準拠しているかCloudFormationテンプレート をチェックしてくれるツール

14. 14 CONFIDENTIAL © 2022 Japan Digital Design, Inc. アカウントが大量にあっても簡単に導入できる点がポイント。 キラキラしたアップデートはありつつ、最大限、クラウドを活用するために

    「大量のアカウントをどう楽に管理するか？」という話も大事だと思うので、 この手のアップデートもキャッチアップしていきます！ まとめ

15. Thank you. 15 CONFIDENTIAL © 2022 Japan Digital Design, Inc.