omuronの備忘録

個人的な備忘録

「JAWS-UG朝会 #47」 #jawsug_asa 受講メモ

AWS 勉強会

JAWS-UG朝会 #47

jawsug-asa.connpass.com

今日は DevelopersIO があるから出社しようかと思ったけど、朝会があったのでテレワークに切り替えて受講しました。

セッション

セッション① GuardDuty RDS Protection について

emiさん

speakerdeck.com

  • GuardDuty とは
    • 異常なアクティビティを検知するサービス
      • つまり「ふるまい検知」
      • 機械学習を使っている
      • 検出のみ
    • ログを GuardDuty 側で自動検知
    • 機械学習以外に「脅威インテリジェンスフィード」も利用
      • 脅威に関する DB
      • 攻撃方法やマルウェア、悪意のある IP アドレスなどが登録されている
  • GuardDuty RDS Protection とは
    • RDS に対するログインアクティビティを監視し不正ログインを検知
    • Aurora のみに対応
    • 有効化で使えて、DB のパフォーマンスには影響なし
    • 最大2週間の学習期間が必要
    • クエリ発行そのもの(不審なクエリ)を検知する機能ではない
    • 検出される場合、そもそもセキュリティ的に脆弱なアーキテクチャになっている

GuardDuty はとりあえずオンにして SNS で通知させるのをまず最初にしますね。
RDS Protection は設定した記憶はあまりないけど、Public 領域に置かない限り、設定しなくてもほとんど大丈夫かな。

セッション② Control Towerでマルチアカウント管理をはじめよう

アイディーエス 小寺加奈子さん

  • AWS の個別アカウントごとにワークロードを整理するのが基本
    • アカウント作成後の制御を自動化
    • ワークロード要件と目的に応じた環境の組織単位(OU)で管理
    • セキュリティポリシーを適用させることができる
      • ルートユーザー権限でも操作できないポリシーを設定できる
  • OU の分け方例
    • Prod OU と SDCL OU
      • 本番と非本番でわける
    • インフラストラクチャ OU
    • セキュリティ OU
  • AWS Control Tower でマルチアカウント管理
    • セットアップ自動化
    • セキュリティ、ログ統制の維持
      • AWS の考えるベストプラクティスの適用
    • 2つのアカウントが自動で作成されるので削除しないこと
  • まとめ
    • アカウント一元管理: Organizations
    • 制御を一括設定: SCP
    • サービスとリソースをいかkつ設定: CloudTrail, Config

既存のアカウントを Control Tower 管理に持っていくのは結構たいへんそうだ...
うーん、やりたいけどプロダクション環境があると怖い
https://dev.classmethod.jp/articles/registering-an-existing-account-in-control-tower/

LT① RDSログをS3に連携するアーキテクチャを比較してみた

日本IBM 澤秀哉さん

  • CloudWatch の取り込みや保存コストは大きい
    • 2G/月 なら $23/年 かかる
    • S3 に日時で移動すると $4/年 になる
  • S3 ログ連携方法
    • CloudWatch --> Kinesis Firehose --> S3
    • アクティビティストリーム
      • Aurora で使える
      • AWS コンソール設定から監査ログを出力
      • Kinesis Data Streams は送受信と起動料金もかかるので注意
    • バッチ処理
      • Lambda や AWS Batch で実装
      • コスト的に有利だけど自力で実装が必要
      • 15分以上の処理が必要なら AWS Batch で

CloudWatch から Kinesis Firehose が楽でいいかなー CloudWatch Alarm も使いたいし

LT② Site to Site VPNに関わる最近のアップデート

NTTデータ 山本 泰士さん

  • Site to Site VPN : AWS とオンプレミスとの接続するサービス
  • アップデート
    • メンテナンス情報が可視化されて制御できるようになった

というかメンテ情報が今まで可視化されてなかったのって、運用がかなり辛かったんでは?

LT③ GPT × Alexa × AWS で英会話学習スキルを作ってみた話

依田涼太さん

  • 英会話が趣味だけど対人だとつらいので ChatGPT と話すようにした
    • Alexa を使えばいいのでは
    • Alexa Skills Kit --> Lambda + DynamoDB --> ChatGPT

Alexa の資格の勉強が役に立ったと。
Alexa の資格はなくなったので、まだ持っている人は13冠になれるのか。

所感

Chime の画面が共有されないトラブルが何度か発生してました。
朝会は時間的に押すこともできないし辛いですね。 自分は登壇時はネイティブアプリの Chime 使ってるけど比較的すぐに共有されてた気がします。