InspectorをCLIでやってみた

JAWS-UG 京王線支部 #4Kenkichi Okazaki

自己紹介

• 京王線沿線です！よろしくおねがいします

• 社内情シスでインフラ担当しています（自社クラウド？それをオンプレと言うんじゃ…

昨年まではポータルサイトのAWSへの移行とか

• 好きなAWSのサービス AWS ダイレクトコネクト

• JAWSの活動 CLI専門支部懇親会係・情シス支部運営

• ランチ専門のJAWS-UG 六本木一丁目支部始めました週５ランチハンズオン（予定）

• 趣味 地方の勉強会巡業（懇親会荒らし）

• いつかは旅人

CLIでのInspector実装手順

• IAM Roleの作成,InspectorへのRole付与

• ResourceGroupの作成 (create-resource-group)

• Applicationの作成 (create-application)

• Rules Packageの選択(list-rules-packages, describe-rules-package)

• Assessmentの作成(create-assessment,attach-assessment-and-rules-package)

• データ収集の開始 (start-data-collection)

• Assessmentの実行 (run-assessment)

• 診断結果一覧 (list-findings)

• 結果の内容確認(describe-finding)

IAM Roleの作成,InspectorへのRole付与

• Inspectorとしては強い権限は不要でec2:Describe*

があれば良いようです。

• 基本的にEC2インスタンスへ仕込んだエージェント側からInspectorのサーバへデータが送られてくるからでしょう。

Resource Groupの作成

• 診断対象とするEC2インスタンスに付与したタグを定義します。

• マネコンではこの項目は見えませんがApplicationを作成すると内部でこれを作成しているようです。

• 実行例

RESOURCE_GROUP_ARN=`aws inspector create-resource-group --resource-group-tags "[{¥"key¥":¥"${TAG_KEY}¥",¥"values¥":[¥"${TAG_VALUE}¥"]}]" --output text` &&${RESOURCE_GROUP_ARN}

arn:aws:inspector:us-west-2:454200CLI555:resourcegroup/0-zje554OG

Applicationの作成

• Resource Groupを用いてApplicationを作成します。

• マネコンではこの項目は見えませんがApplicationを作成すると内部でこれを作成しているようです。

• 実行例

APPLICATION_NAME="handson" APPLICATION_ARN=`aws inspector create-application --application-name "${APPLICATION_NAME}" --resource-group-arn ${RESOURCE_GROUP_ARN} --output text` && ${APPLICATION_ARN}

arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn

Rules Packageの選択

• マネコンだと説明入りで一覧が出ますがCLIでは…aws inspector list-rules-packages

{ "rulesPackageArnList": ["arn:aws:inspector:us-west-2:758058086616:rulespackage/0-11B9DBXp","arn:aws:inspector:us-west-2:758058086616:rulespackage/0-LfLjwILF","arn:aws:inspector:us-west-2:758058086616:rulespackage/0-LzUxcT5A","arn:aws:inspector:us-west-2:758058086616:rulespackage/0-Pv9mELS9","arn:aws:inspector:us-west-2:758058086616:rulespackage/0-X1KXtawP","arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r“]

}

• なんとarn一覧が出力されるのみ。内容一覧は出ないのです。

Rules Packageの選択

• describe-rules-packageコマンドで１つずつarnを指定して内容を確認する必要が有ります。RULES_PACKAGE_ARN=“arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r”aws inspector describe-rules-package --rules-package-arn ${RULES_PACKAGE_ARN}

{"rulesPackage": {

"description": {"parameters": [],"key": {"id": "rule package description id","facility": "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r“}

},"rulesPackageName": "PCI DSS 3.0 Readiness","rulesPackageArn": "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r","version": "1.0","provider": "Amazon Web Services, Inc.“

}}

• とりあえずこれに。

Assessmentの作成• 診断を行うルール(Assessment)を作成します。

定期実行する診断間隔を指定します。

DURATION=900 ASSESSMENT_NAME="handson" ASSESSMENT_ARN=`aws inspector create-assessment --application-arn ${APPLICATION_ARN} --assessment-name ${ASSESSMENT_NAME} --duration-in-seconds ${DURATION} --output text` &&${ASSESSMENT_ARN}

arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-ScIKJCEp

• Assessmentに先ほど選んだRules Packageを追加します。

aws inspector attach-assessment-and-rules-package --assessment-arn ${ASSESSMENT_ARN} --rules-package-arn ${RULES_PACKAGE_ARN}

{"message": "Successfully attached arn:aws:inspector:us-west-2:454200CLI555:application/0-

q3ClefUn/assessment/0-ScIKJCEp to arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r“

}

データ収集の開始・Assessmentの実行

• Assessmentのデータ収集を開始させます。

aws inspector start-data-collection --assessment-arn ${ASSESSMENT_ARN}

{"message": "Successfully started data collection for assessment with ID: arn:aws:inspector:us-

west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv“}

Assessmentを実行します(run)aws inspector run-assessment --assessment-arn ${ASSESSMENT_ARN} --run-name ${RUN_NAME}

{"runArn": "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-

ScIKJCEp/run/0-WKlfMrre“}

• １５分ぐらい待ちます

診断結果一覧

• 結果一覧は list-findings で表示されるのですが…aws inspector list-findings

{"findingArnList": [

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-0bmtREUN",

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-AoYzKyUy",

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-EJnIeL9F",

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-HnUxQBpi",

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-NbTqUn34",

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-UfR5otmV",

"arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-X3Ff03Ny“

]}

• CLIですからわかりやすく表示されるわけがありません。

結果の内容確認• 結果一覧のFinding arnを指定して内容を確認します。

FINDING_ARN="arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null-0bmtREUN“aws inspector describe-finding --finding-arn ${FINDING_ARN}

• 出ることは出るんですが・・・

しんどい＞＜

まとめ

• CLIするには向いてないサービス？

• 素直にマネジメントコンソール使いましょう

• Resource Groupを削除できない（バグ？

• Qiita書きました。http://qiita.com/zakky/items/5083b343e0e1c303d75a

• Inspector CLI でggると何故か１番上に。日本未実装だから人気ないのかも