re:inventで発表された新サービス「config rules」の可能性

re:Invent で発表された新サービス「 Config Rules 」の可能性

re:Growth 2015 TOKYOAWS re:Invent 復習 SP

classmethod.jp 1

2015 年 10 月 13 日 @SAP ジャパン 森永大志

#cmdevio

自己紹介• 森永 大志（もりなが たいし）• AWS コンサル部所属• AWS では地味なサービスが好きです（ Config,CloudTrail,IAM などなど）• 酒（特に焼酎）、ゲームが好きです• よろしくお願いします

classmethod.jp 2

re:Invent たのしゅうございました

classmethod.jp 3

AWS Config 使ってますか？

classmethod.jp 4

Config ってそもそも何？って方

classmethod.jp 5

• AWS のリソースの設定値を記録• 変更の履歴も記録• タイムラインで設定変更の経緯を見れちゃ

う• 変更時に SNS を使って通知

classmethod.jp 6

Security geeks should LOVE it!AWS の中の人いわく、

なサービス

全部の AWS リソースには対応してません

現在（ 15/10/13 ）対応しているリソースは以下

classmethod.jp 7

ResourceType ResourceAmazon EC2 EC2 インスタンス

EIP （ VPC のみ）EC2 セキュリティグループEC2 Network Interface

Amazon EBS EBS ボリューム

Amazon VPC カスタマーゲートウェイインターネットゲートウェイネットワーク ACLルートテーブルサブネットVPCVPN ゲートウェイVPN 接続

AWS CloudTrail CloudTrail

今後対応するらしいリソース• Identity and Access Management(IAM)• IAM ユーザ

• IAM グループ

• IAM ロール

• IAM ポリシー

• Amazon EC2• EC2 Dedicated Hosts

classmethod.jp 8

New!

New!

今までの AWS Config設定ミスで不具合発生した場合、

設定値を確認！（人力）設定ミスを発見！（人力）設定を修正！（人力）設定が正しいか確認！（人力）

という手順が必要でした。。。

classmethod.jp 9

旧 AWS Config

AWS Config Rules Debut!設定値が「ルール」に則っているかチェックできるようになった！！

classmethod.jp 10

Config Rules 発表時の様子

classmethod.jp 11

これからの AWS Config設定ミスで不具合発生した場合、

設定値を確認！（自動）設定ミスを発見！（自動）設定を修正！（自動 or 手動）設定が正しいか確認！（不要 or 手動）

となります！

classmethod.jp 12

新 AWS Config

ユースケース

AWS Config Rules でやりたいこと

classmethod.jp 13

ケース１：タグ付けの徹底• 請求を別にしたいからシステム名つけて！• 責任者を明確にするために責任者名つけ

て！• バッチの対象インスタンスを見分けるよ！などなど、タグ付けの要望は多いです。

が、インスタンス作成時にタグ付け忘れはあるあるですよね？

classmethod.jp 14

ケース１：タグ付けの徹底それ、 Config Rules で解決できます。

「特定のキーのタグが付いているか」チェックするマネージドルールがあるんです。

classmethod.jp 15

ケース２：セキュリティグループの確認

SG で SSH を設定すると 0.0.0.0/0 になります

皆さんの中にはいないと思いますが、そのままにしている人結構多いらしいです。。。

自分以外の人が設定してたら気づきますか？

classmethod.jp 16

ケース２：セキュリティグループの確認

それ、 Config Rules で解決できます。

「特定のポートが解放されていないか」チェックするマネージドルールがあるんです。

classmethod.jp 17

ケース３： Lambda 使っちゃうConfig Rules だけだと、「これルール違反してまっせ。」までしか分かりません。

が、後ろに Lambda を使えるのです。ということは…

classmethod.jp 18

ケース３： Lambda 使っちゃうConfig Rules 「ルール変更検知しました！」Lambda 「違反はっけーん！」Config Rules 「ルール違反あり！」Lambda 「ルール違反リソース直します！」Config Rules 「ルール違反なし！」

が自動化できるようになるはず！Preview 通ったら試します。

classmethod.jp 19

要するにAWS のガイドラインをドキュメントでなく、コードで定義できちゃう、というなんともクラウドっぽい機能なのです！

使ってみたくなりました？

classmethod.jp 20

最後に

お約束

classmethod.jp 21

来年は一緒に re:Invent 行きましょう！

classmethod.jp 22

classmethod.jp 23

SAP オフィス

サイコーーーー！！

　　　 #cmdevio