8/26(木) JAWS-UG朝会 #24 に参加しましたので、レポートを書いていきます。
目次
イベントページ
セッション概要
EC2 の起動するインスタンスタイプを制限する方法 小倉 大さん
資料
www.slideshare.net
AWS Service Catalogで制御
IAMポリシで制御
- IAMポリシ内に追記する。
- ポリシを適用したIAMユーザが指定外のインスタンスタイプを起動しようとすると、権限不足で作成失敗する。
AWS Config で制御
AWS Configとは?
- AWSリソースの設定を評価、変更管理
パラメータでインスタンスタイプを指定
- 指定インスタンスタイプ以外を起動しようとすると警告が出る。
- Configルールの修復オプションを設定
まとめ
起動するインスタンスタイプを制御することで、意図せず大きなインスタンスタイプを選んで高額請求が来ないようにできる。
利用するリージョンを限定しよう 〜 「おひとりさまOrganizationsのススメ」 波田野 裕一さん
資料
利用するリージョンを限定しよう。
- Organizationsのポリシ(SCP)を利用する。
- 子アカウントならrootさえも制約される。
- 親アカウントの制限はできない。
- 組織ツリーを作り、SCPをアタッチする。
- 利用しているリージョンやサービスをSCPで制限する。
Organizationsの理想的な構造
- SCPが効かないので、親アカウントには支払以外やらせない。
- ベストプラクティスに合致
- 子アカウントには使うリージョンのみ制約する。
まとめ
個人でもSCPで「使っていないリージョン」への攻撃を防ごう!
AppSyncに全集中!subscriptionでハマったところ 三浦 一樹さん
資料
- 番組テロップみたいに、動画の外側も番組内容に合わせて情報を切り替えたい。
- AppSyncとは
- GrpahQLのマネジメントサービス
- Subscriptionを有効にし、WebSocketでデータを受け取るセッション張れるようにしているところ。
- AppSyncのSubscriptionきっかけに前ユーザにQueryをリフェッチするのは、アンチパターン
- 1秒間に1000アカウントまでのため、見てる人から一斉にQueryが来るとマズい。
- 回避策
ユーザ企業所属の初学者による「AWS認定のすゝめ」 小林未来さん
資料
www.slideshare.net
なぜAWS認定を?
- ベストプラクティスを知りたかった。
- 自信を持ってPJ推進したかった。
- SAさんときちんと会話できるようにしたい。
認定取得してどうなった?
- CLF取得後、NACLとSGで何となく制御していたのをSG制御に統一した。
- SAA取得後、Systems Manager とCloudWatch Agentを利用してハイブリット環境を実現した
- SAP取得後で、RTOとRPOをきちんと決めて手順と自動復旧を決定した。
まとめ
感想
小林未來さんの認定取得ペースと業務に還元できている姿は驚異でした。ただただ見習いたい!自分も勉強したことを業務に活かしたいと思いました!!
リージョン制御とEC2インスタンス制御は早めにやった方がいい!と危機感感じました。 どちらかというと、自分のように個人利用している人はやっておいた方が良さそうに思いました。数百万の請求とか来たらまったく笑えないし…
今月は参加できるか怪しかったので登壇での参加申し込みはしませんでしたが、いろんな意味で危機感感じる会だったなと思いました(汗)。 参加出来て本当に良かった!と思うばかりです。
今日の登壇者皆さんのお話を聞いて、参加者に何か感じ取って持って帰ってもらえるような話をできるようになりたいと改めて思いました。 先月まで3か月連続で登壇させていただきましたが、たぶん自分はそんなレベルの話はできていなかったなと、ふと思いました。 登壇のレベルを上げられるよう勉強を続け、また登壇参加したいです!
