「JAWS-UG朝会 #36」 #jawsug_asa 受講メモ

JAWS-UG朝会 #36

jawsug-asa.connpass.com

いつも起きてる時間ですが二度寝してて目覚ましに起こされました。
ちゃんと目覚まししててよかった。

セッション

セッション① AWSのコンテナイメージスキャン手法をまとめてみた

クラスメソッド株式会社 たかくにさん

speakerdeck.com

• シフトレフトとは？
  • 前倒しで工程を実施すること、「運用でカバー」を減らす動き
  • 脆弱性スキャンなども
• ECR イメージスキャン
  • ベーシックスキャン
    • Clair DB利用、1日1回無料、自動/手動スキャン可能
  • 拡張スキャン
    • 複数(Snyk, GitHub Advisory DBなど)データベース利用、有料、自動スキャンのみ
    • OS だけではなくプログラミング言語パッケージもスキャン可能
  • docker scan コマンド
    • Snyk DB利用
  • Docker Hub
• Snyk とは
  • 開発者が利用するために作られたセキュリティプラットフォーム
  • snyk container コマンドで実行

セッション② インフラのテストにVPC Reachability Analyzer は外せないという話

株式会社ヌーラボ 中野雅之さん

speakerdeck.com

• インフラのテスト
  • Serverspec : ssh ログイン前提でネットワーク疎通テスト
  • awspec : AWS リソースの設定テスト
  • VPC Reachability Analyzer : VPC 内の接続テスト
    • EC2 だけではなく Fargate も確認可能
      • Fargate はデプロイごとに ENI が変わる
      • ENI を指定してテストするが編集はできない
      • ENI はタグ名が表示されないからどのリソースの ENI か判断が難しい
        • CLI がおすすめ

① シェルスクリプトでAWSをいい感じに使いたい

shimoさん

docs.google.com

• シェルスクリプトだと自動化できて嬉しい
  • 魔改造気をつける

LT② サーバレス開発が地味にキツイ、特にDynamoDB

NTT東日本　長久保聡さん

• 仕様追加で DynamoDB で PK で引けない状況になると辛い
  • GSI を安易に付与するとテーブル設計が崩壊する
    • 引き継ぎ辛くなる
  • RDB っぽい構造になっていく
• マイクロサービスがうまく構築できてないのが原因

LT③ 年700万円損するサーバレスの認可システムをご紹介します！！

生活協同組合コープさっぽろ 樋口修也さん

speakerdeck.com

• 認証認可をざっくり
  • 認証 : トークン発行
  • 認可 : トークン検証
• Auth0 利用
  • Auth0 の ID とレガシーなシステムの ID が違うケース
    • 認可のたびにレガシーな ID も検証して返すようにした場合...年700万かかりそう
    • Auth0 の metadata にレガシーな ID も持たせて解決

所感

今日はどれも興味のある内容でした。

ECR のイメージスキャンは無料でできるのがいいですよね。 言語パッケージが利用できないからそこは考える必要あるけど。

VPC Reachability Analyzer は知ってるだけで使ったことはありません。 ENI に対して実行できるので、Fargate でも利用できるのか。

シェルを使わないと再現性が無いからよく使うけど、複雑になりがちですよね。 再利用するために README などに説明とともに保存するようにしてます。

DynamoDB は、外部サービス連携したり要望が出たりして PK 増やす必要がでたときに悩んでしまう。

認可は呼び出し回数が多いので最適化しましょう。