Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
EC2が起動しない!?~意外なアレが原因でした~
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
zukutakuzu
December 14, 2023
170
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
EC2が起動しない!?~意外なアレが原因でした~
EC2が起動しない!?~意外なアレが原因でした~
zukutakuzu
December 14, 2023
More Decks by zukutakuzu
See All by zukutakuzu
フリーが乗り越えてきたFinOpsの壁〜でもまだ一合目〜
zukutakuzu
1
78
Amazon Q DeveloperでTerraformコード化が劇的に楽になった話
zukutakuzu
2
150
1時間は短すぎる?許可セットのセッション時間で開発チームと見つけた着地点
zukutakuzu
1
380
Featured
See All Featured
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
150
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1.1k
Documentation Writing (for coders)
carmenintech
77
5.4k
The Curse of the Amulet
leimatthew05
2
13k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
170
Writing Fast Ruby
sferik
630
63k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
260
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
ラッコキーワード サービス紹介資料
rakko
1
3.7M
Rails Girls Zürich Keynote
gr2m
96
14k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Transcript
EC2が起動しない!? ~意外なアレが原因でした~ 北川 卓図 (X:@zukutakuzu)
自己紹介 【経歴】 SIer2社経験 AWS,Azure問わず 提案、要件定義、設計構築、移行案件に従事 terraform CI/CD やっていきたい 【好きなAWSサービス】
はじめに 今回のLTの内容は個人的に検証し判明した事象となります。 特定の環境での挙動を指すわけではありませんのでご了承ください。
事の発端 実行中にならん
考えられる原因 # 考えられる原因 詳細 今回のケースだと 1. ディスク使用率が 100% • ログ出力などをEC2内部に
行っている • ログローテートや定期的な削 除を行っていない • 作りたてのEC2 • 特にミドルウェアも入れていない のでログが増える要素がない 2. IAMユーザーに EC2を起動する権 限が付与されてい ない • IAMユーザーの権限はIAM ポリシー/IAMロールで制御 • IAMポリシーにEC2を起動す る権限が記載されておらず、 EC2が起動できない • IAMユーザーに ec2:StartInstancesはアタッチさ れていた • 同じ権限を付与している別のユー ザーが数日前に再起動できたと 言っていた 以下のような原因が考えられますが、今回のケースには合致しませんでした。
早速ですが原因 暗号化 { "Version": "2012-10-17", "Id": "key-default-1", "Statement": [ {
"Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": { "AWS": "xxxx" }, "Action": "kms:ListKeys", "Resource": "*" } ] } IAMロール KMSキーポリシーでkms:Decryptが許可されていなかった
再起動と停止→起動の違い # 起動方法 ホストコンピューター インスタンスストアボリューム 1. 再起動 インスタンスは、同じホストコン ピュータで保持される データは保持される
2. 停止→起動 インスタンスは新しいホストコン ピュータに移動されます (ただし、場 合によっては、インスタンスが現在 のホストに残ることもあります) 。 データは保持されない インスタンスのライフサイクル - Amazon Elastic Compute Cloud
まとめ • 多種多様なxxxポリシーがある。 ◦ IAMポリシーは問題なくてもxxxポリシーは問題ないかなど考える癖をつける。 • 切り分け調査を積極的にやる。 ◦ xxxさんが再起動だと起動したと言っていた。 ◦
terraformで同じコードでもう一つEC2作ってみたらどうなるか。 ▪ EC2が作成後すぐ停止状態になった。 ▪ terraformコードに書かれている内容に問題がある。 ▪ KMSキーポリシーの記述発見。 • IaCは正義 ◦ コード化していたことで、すぐに切り分け調査が行え、原因究明までの時間が短縮できた。 ◦ マネージドコンソールから一つ一つ確認していくしかなかったとしたら、、、原因に辿りつかな かったかも。