Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
InspectorをCLIでやってみた
JAWS-UG 京王線支部 #4
Kenkichi Okazaki
自己紹介
• 京王線沿線です!よろしくおねがいします
• 社内情シスでインフラ担当しています(自社クラウド?それをオンプレと言うんじゃ…
昨年まではポータルサイトのAWSへの移行とか
• 好きなAWSのサービス AWS ダイレクトコネクト
• ...
CLIでのInspector実装手順
• IAM Roleの作成,InspectorへのRole付与
• ResourceGroupの作成 (create-resource-group)
• Applicationの作成 (create-app...
IAM Roleの作成,InspectorへのRole付与
• Inspectorとしては強い権限は不要で
ec2:Describe*
があれば良いようです。
• 基本的にEC2インスタンスへ仕込んだエージェント側から
Inspectorのサー...
Resource Groupの作成
• 診断対象とするEC2インスタンスに付与したタグを定義し
ます。
• マネコンではこの項目は見えませんがApplicationを作成
すると内部でこれを作成しているようです。
• 実行例
RESOURCE_...
Applicationの作成
• Resource Groupを用いてApplicationを作成します。
• マネコンではこの項目は見えませんがApplicationを作成
すると内部でこれを作成しているようです。
• 実行例
APPLICA...
Rules Packageの選択
• マネコンだと説明入りで一覧が出ますがCLIでは…
aws inspector list-rules-packages
{ "rulesPackageArnList": [
"arn:aws:inspecto...
Rules Packageの選択
• describe-rules-packageコマンドで1つずつarnを指定して内容を確
認する必要が有ります。
RULES_PACKAGE_ARN=“arn:aws:inspector:us-west-2:...
Assessmentの作成
• 診断を行うルール(Assessment)を作成します。
定期実行する診断間隔を指定します。
DURATION=900
ASSESSMENT_NAME="handson"
ASSESSMENT_ARN=`aws i...
データ収集の開始・Assessmentの実行
• Assessmentのデータ収集を開始させます。
aws inspector start-data-collection --assessment-arn ${ASSESSMENT_ARN}
{...
診断結果一覧
• 結果一覧は list-findings で表示されるのですが…
aws inspector list-findings
{
"findingArnList": [
"arn:aws:inspector:us-west-2:45...
結果の内容確認
• 結果一覧のFinding arnを指定して内容を確認します。
FINDING_ARN="arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/asse...
しんどい
><
まとめ
• CLIするには向いてないサービス?
• 素直にマネジメントコンソール使いましょう
• Resource Groupを削除できない(バグ?
• Qiita書きました。
http://qiita.com/zakky/items/5083...
Prochain SlideShare
Chargement dans…5
×

Inspector CLI (JAWS-UG 京王線支部 #4 LT)

213 vues

Publié le

JAWS-UG 京王線支部 #4 LT
の予定だったけどLT満員だったので没になったスライド

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Inspector CLI (JAWS-UG 京王線支部 #4 LT)

  1. 1. InspectorをCLIでやってみた JAWS-UG 京王線支部 #4 Kenkichi Okazaki
  2. 2. 自己紹介 • 京王線沿線です!よろしくおねがいします • 社内情シスでインフラ担当しています(自社クラウド?それをオンプレと言うんじゃ… 昨年まではポータルサイトのAWSへの移行とか • 好きなAWSのサービス AWS ダイレクトコネクト • JAWSの活動 CLI専門支部懇親会係・情シス支部運営 • ランチ専門のJAWS-UG 六本木一丁目支部始めました 週5ランチハンズオン(予定) • 趣味 地方の勉強会巡業(懇親会荒らし) • いつかは旅人
  3. 3. CLIでのInspector実装手順 • IAM Roleの作成,InspectorへのRole付与 • ResourceGroupの作成 (create-resource-group) • Applicationの作成 (create-application) • Rules Packageの選択 (list-rules-packages, describe-rules-package) • Assessmentの作成 (create-assessment,attach-assessment-and-rules-package) • データ収集の開始 (start-data-collection) • Assessmentの実行 (run-assessment) • 診断結果一覧 (list-findings) • 結果の内容確認(describe-finding)
  4. 4. IAM Roleの作成,InspectorへのRole付与 • Inspectorとしては強い権限は不要で ec2:Describe* があれば良いようです。 • 基本的にEC2インスタンスへ仕込んだエージェント側から Inspectorのサーバへデータが送られてくるからでしょう。
  5. 5. Resource Groupの作成 • 診断対象とするEC2インスタンスに付与したタグを定義し ます。 • マネコンではこの項目は見えませんがApplicationを作成 すると内部でこれを作成しているようです。 • 実行例 RESOURCE_GROUP_ARN=`aws inspector create-resource-group --resource-group-tags "[{¥"key¥":¥"${TAG_KEY}¥",¥"values¥":[¥"${TAG_VALUE}¥"]}]" --output text` && ${RESOURCE_GROUP_ARN} arn:aws:inspector:us-west-2:454200CLI555:resourcegroup/0-zje554OG
  6. 6. Applicationの作成 • Resource Groupを用いてApplicationを作成します。 • マネコンではこの項目は見えませんがApplicationを作成 すると内部でこれを作成しているようです。 • 実行例 APPLICATION_NAME="handson" APPLICATION_ARN=`aws inspector create-application --application-name "${APPLICATION_NAME}" -- resource-group-arn ${RESOURCE_GROUP_ARN} --output text` && ${APPLICATION_ARN} arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn
  7. 7. Rules Packageの選択 • マネコンだと説明入りで一覧が出ますがCLIでは… aws inspector list-rules-packages { "rulesPackageArnList": [ "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-11B9DBXp", "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-LfLjwILF", "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-LzUxcT5A", "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-Pv9mELS9", "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-X1KXtawP", "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r“ ] } • なんとarn一覧が出力されるのみ。 内容一覧は出ないのです。
  8. 8. Rules Packageの選択 • describe-rules-packageコマンドで1つずつarnを指定して内容を確 認する必要が有ります。 RULES_PACKAGE_ARN=“arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r” aws inspector describe-rules-package --rules-package-arn ${RULES_PACKAGE_ARN} { "rulesPackage": { "description": { "parameters": [], "key": { "id": "rule package description id", "facility": "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r“ } }, "rulesPackageName": "PCI DSS 3.0 Readiness", "rulesPackageArn": "arn:aws:inspector:us-west-2:758058086616:rulespackage/0-ldNfZf6r", "version": "1.0", "provider": "Amazon Web Services, Inc.“ } } • とりあえずこれに。
  9. 9. Assessmentの作成 • 診断を行うルール(Assessment)を作成します。 定期実行する診断間隔を指定します。 DURATION=900 ASSESSMENT_NAME="handson" ASSESSMENT_ARN=`aws inspector create-assessment --application-arn ${APPLICATION_ARN} -- assessment-name ${ASSESSMENT_NAME} --duration-in-seconds ${DURATION} --output text` && ${ASSESSMENT_ARN} arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-ScIKJCEp • Assessmentに先ほど選んだRules Packageを追加します。 aws inspector attach-assessment-and-rules-package --assessment-arn ${ASSESSMENT_ARN} --rules- package-arn ${RULES_PACKAGE_ARN} { "message": "Successfully attached arn:aws:inspector:us-west-2:454200CLI555:application/0- q3ClefUn/assessment/0-ScIKJCEp to arn:aws:inspector:us-west-2:758058086616:rulespackage/0- ldNfZf6r“ }
  10. 10. データ収集の開始・Assessmentの実行 • Assessmentのデータ収集を開始させます。 aws inspector start-data-collection --assessment-arn ${ASSESSMENT_ARN} { "message": "Successfully started data collection for assessment with ID: arn:aws:inspector:us- west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv“ } Assessmentを実行します(run) aws inspector run-assessment --assessment-arn ${ASSESSMENT_ARN} --run-name ${RUN_NAME} { "runArn": "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0- ScIKJCEp/run/0-WKlfMrre“ } • 15分ぐらい待ちます
  11. 11. 診断結果一覧 • 結果一覧は list-findings で表示されるのですが… aws inspector list-findings { "findingArnList": [ "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- 0bmtREUN", "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- AoYzKyUy", "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- EJnIeL9F", "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- HnUxQBpi", "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- NbTqUn34", "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- UfR5otmV", "arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0-iyUhAnQZ/finding/null- X3Ff03Ny“ ] } • CLIですからわかりやすく表示されるわけがありません。
  12. 12. 結果の内容確認 • 結果一覧のFinding arnを指定して内容を確認します。 FINDING_ARN="arn:aws:inspector:us-west-2:454200CLI555:application/0-q3ClefUn/assessment/0-6mIhKNCv/run/0- iyUhAnQZ/finding/null-0bmtREUN“ aws inspector describe-finding --finding-arn ${FINDING_ARN} • 出ることは出るんですが・・・
  13. 13. しんどい ><
  14. 14. まとめ • CLIするには向いてないサービス? • 素直にマネジメントコンソール使いましょう • Resource Groupを削除できない(バグ? • Qiita書きました。 http://qiita.com/zakky/items/5083b343e0e1c303d75a • Inspector CLI でggると何故か1番上に。 日本未実装だから人気ないのかも

×