JAWS-UG初心者支部【第2回】懇親会でLTしてきました!! #jawsug_bgnr

Jul 25, 2015   #jawsug  #aws 

はじめに

みなさんこんにちは、インフラエンジニア見習いのえのかわです。
先週の金曜日に行われたJAWS-UG初心者支部の懇親会でLTをしてきたのでそのレポートを書きます!

イベントページはこちら https://jawsug-beginner.doorkeeper.jp/events/26430
togetterはこちら http://togetter.com/li/848886

運営の加我さん参加者のレポートです。加我さんからは写真をお借りしてます!ありがとうございます!
第2回JAWS-UG 初心者支部(717) - #ダメなら餃子 http://damenaragyouza.hatenablog.jp/entry/2015/07/21/143643

経緯

cloudpackエバンジェリストの@yoshidashingoさんに「LTしておいでや」と 言われたので久々に勉強会に参加させていただきました。正直、時間的にLTできないと思っていたので、ラッキーでした。
LTさせてくれた山崎さん、青木さん、運営のみなさん、ありがとうございました!!

勉強会

正直、勉強会自体は資料作りに夢中であまり話を聞けていたなかったので加我さんのブログを見ると雰囲気けっこう掴めると思います。次からは事前に準備して臨みたいと思います!

Piculet

今回のLTのテーマは「AWS初心者がCodenize.toolsでInfrastructure as Codeした話」です。 Codenize.toolsとはAWSのサービスをマイグレーション(移行)するツール群です。クックパッドの@sgwr_dtsさんが作成しています。 今回は、その中でもAWSのSecurity GroupsをマイグレーションするツールであるPiculetについて紹介しました!

Piculetの良さは--dry-runオプションが使える点です。applyする前に--dry-runで流して、他の人にレビューしてもらった後に applyする流れがいいと思います。Github(プライベートリポジトリなど)でレビューをしてもらうのもアリだと思います。

$ piculet -a -p prod -r ap-northeast-1 --dry-run

IAMユーザーの権限

Piculetを使用するIAMユーザーのポリシーは以下のような感じです。SGだけを操作できる最低限の権限だけを渡しておきます。 IP制限をかけておくとよりセキュアに運用できると思います。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt0000000000001",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeTags",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup"
            ],
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "XX.XX.XX.XX"
                }
            },
            "Resource": [
                "*"
            ]
        }
    ]
}

おわりに

今回はPiculetを紹介しましたが、Codenize.toolsでは、他にもRoute53のレコードをマイグレーションするRoadworkerやELBをマイグレーションするKelbimなど多くのツールがありますので今後も活用したいと思います。こんなAWS初心者な僕でもInfrastructure as Codeが簡単に実現できて便利だなぁと思う反面、どのような仕組みで動いているのかを理解していかなければならないという危機感も覚えました。