AWS個人検証アカウントどう運用してる?ランチ共有会
セッション
LT① 個人検証アカウントでも最低限設定したいプラクティス ~私の環境のご紹介~
木澤 朋隆さん
- AWS Organizations 立ち上げ
- セキュリティ設定
- ClaudTrail で証跡監視
- Config で履歴
- GuardDuty で保護と脅威検知
- Security Hub でアラートの一元的な表示と管理、チェック自動化
- Budgets は有効にしよう
個人でも Organizations 使うのは有用とわかってるけどなかなか大変ですね。
本番環境で Organizations 検証するのが難しいから個人でこそやるべき項目でもある。
LT② そのNAT Gateway要りますか?
大元 隆志さん
- NAT Gateway は月に7,000円ぐらいかかる
- NAT Gateway の代替手段
- Public だけ使う?
- (Netskope社員特権で)ZTNA(ゼロトラスト ネットワーク アクセス)化しよう
- EC2 をパブリックに置いてそちらを経由してPrivateにアクセスすることで ZTNA を実現
NAT インスタンス立てる方法ですね。
NATG は気軽に起動停止をEventBridgeでできないのがつらいところ。
LT③ どんな感じでアカウント運用をやってるかを軽く共有
藤原 涼馬さん
- マルチアカウントでしか検証できないもの
- アカウント単位でしか設定できない S3 のパブリックアクセス設定
- クロスアカウント設定
- Organizations で管理する
- 用途に合わせて作って終わったら捨てる
- IAM Identity Center で一括ユーザー管理
- よく使うものは IaC でテンプレ化して使い回す
やっぱり Organizations でアカウント作って不要になったら捨てるのが楽でいいですね。
LT④ 全削除ツールaws-nukeをカスタマイズしてみた
石塚 詩織さん
- aws-nuke
- 一括削除できるツール
- 削除対象のカスタマイズが柔軟にできる
- nuke-config.yaml
- 必須設定
- 対象リージョン
- 絶対消したくないアカウント
- 無いときは dummy を入れる必要あり
- 削除対象アカウント
- オプション
- リソース名、タグ指定、削除対象、削除保護の無効化
- 必須設定
デフォルトの動作が dry run なのがいい。