Más contenido relacionado
La actualidad más candente (20)
Similar a Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」 (20)
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
- 7. – Joshua Du Lac
Senior Security Consultant , Amazon Web Services
Security geeks should LOVE it!
- 8. Ⓒ Classmethod, Inc.
現在対応しているAWSリソース
2016/2/20現在対応リソース
8
Resource Type Resource
Amazon EC2
EC2 インスタンス
EC2 Network Interface
EC2 セキュリティグループ
EC2 Elastic IP (VPC のみ)
EC2 Dedicated Hosts
Amazon VPC
カスタマーゲートウェイ
インターネットゲートウェイ
ネットワーク ACL
ルートテーブル
サブネット
VPC
VPN ゲートウェイ
VPN 接続
Resource Type Resource
Amazon EBS
汎用 (SSD) ボリューム
プロビジョンド IOPS (SSD) ボリューム
マグネティックボリューム
AWS CloudTrail Trail
AWS IAM
IAM ユーザー
IAM グループ
IAM ロール
IAM 管理ポリシー (カスタマー管理型のみ)
New!
- 25. Ⓒ Classmethod, Inc.
用語説明
•Configuration Item
•個々のAWSリソースに対する一回の設定変更の内容
•Configuration Recorder
•構成情報を記録するための主体。DescribeやListなどのAPIを呼んで構成情
報を確認する。
•Configuration History
•各リソース毎、6時間おきにS3に配置されるConfiguration Itemをまとめ
たファイル
•Delivery Channel
•S3やSNSなどのログ保管や通知先
•Relationships
•AWSリソース間の関連性(EC2インスタンスはVPCやサブネット等と関連
している)
25
- 26. Ⓒ Classmethod, Inc.
AWS ConfigをONにする
• ログ保管先のS3と通知するためのSNSを設定
• Delivery Channelの作成
• Read系の権限とS3、SNSアクセス出来るIAM作成
• Configuration Recorderの設定
26
Delivery Channel
Configuration Recorder
- 28. Ⓒ Classmethod, Inc.
設定変更時
• 設定変更をトリガに変更されたAWSリソースの構成
情報を収集する
• 新たなConfiguration Item収集
• Configuration Itemには関連するAWSリソースも
記載されているので、そちらの構成情報も取得する
28
Security Group
変更!
VPC
NetworkInterface
EC2 Instance
Configuration Item
収集
- 29. Ⓒ Classmethod, Inc.
(TIPS)差分を見るAPIは?
• Configuration Itemの差分をAWS Configが取っ
ているだけで、APIは存在していない。
29
Configuration Item
Config 1
AAAAA
Config 2
BBBBB
Configuration Item
Config 1
AAAAA
Config 2
CCCCC
- 30. Ⓒ Classmethod, Inc.
(TIPS)差分を見るAPIは?
• Configuration Itemの差分をAWS Configが取っ
ているだけで、APIは存在していない。
30
Configuration Item
Config 1
AAAAA
Config 2
BBBBB
Configuration Item
Config 1
AAAAA
Config 2
CCCCC
変更点!
- 36. Ⓒ Classmethod, Inc.
AWS Config Rulesで出来ること
• AWS Configで記録した設定が正しいかを判定する
ルールを設定できる
• 例えば、
• セキュリティグループがフルオープン!(あるある)
• タグの付け忘れ!(Billingで集計できない。。。)
• 正しくないものは正しくないと自動で判定
36
- 37. Ⓒ Classmethod, Inc.
ルールの種類
• マネージドルール
• AWSが提供しているルール
• あるあるなものを用意してくれています
• カスタムルール
• 自分で自由に作れるルール
• 判定する機構はLambdaで作成
• Lambdaなので作りこめば相当いろいろ出来る
37
- 45. Ⓒ Classmethod, Inc.
公式に連携しているアプリケーション
• 2nd Watch
• AlertLogic
• CloudCheckr
• CloudHealth
• Cloudnexa
• Evident.io
• Loggly
• Logstorage
• Red Hat
• RedSeal
• Service Now
• Splunk
• Trend Micro
45