AWS S3 をマルチアカウントで使う時の注意

AWS S3 をマルチアカウントで使う時、結構厳しめな感じなので注意しましょう。

S3 Bucket multi-account-testを アカウント A で作成します。

bucket policy に

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::<AccountB>:root",
                    "arn:aws:iam::<AccountC>:root"
                ]
            },
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::multi-account-test/sample/*",
                "arn:aws:s3:::multi-account-test/sample"
            ]
        }
    ]
}

こんな感じで、アカウント B C にアクセス権を付与します。

この状態で

AWS_PROFILE=B  aws s3 cp sample.txt  s3://multi-account-test/sample/sample.txt --acl bucket-owner-full-control

とやってアカウントBからファイルをアップロードすると、 アカウントA,Bからは読めますが、Cからは読めません。

AWS_PROFILE=C  aws s3 cp s3://multi-account-test/sample/sample.txt sample.txt 
fatal error: An error occurred (403) when calling the HeadObject operation: Forbidden

オブジェクトに対するアクセス権は、Bucket の持ち主であるAアカウントであれば、bucket policy に従うのですが、アクセス権を得ている他のアカウントがアップロードしたオブジェクトに関しては、bucket policy が適用されません。

アップロードアカウント ACL A B C
A none o o o
B none x o x
B bucket-owner-full-control o o x
C none x x o
C bucket-owner-full-control o x o

Ansible Night 2019/04 に行ってきた

内容とか雰囲気はtogetter

AnsibleサポートマネージャーMichelle Perz (@pinkfiregoddess) | Twitterさんが初来日ということでとても盛り上がっていました。

かくいう私は https;//ansiblejp.slack.comのほうで運営に興味がある人を募集していたので、手をあげて受付とかを手伝っていました。

ミシェルさんによる機能追加の話他。

AnsibleTower3.5で

  • prometheusでメトリクス取れます!

AWXにあったっけ?とおもったらtag4.0現在では存在せず、develブランチにしか存在していません。

  • 外部クレデンシャルサービスと連携してクレデンシャルが持ってこれます!

AWXにあったっけ?とおもったらtag4.0現在では存在せず、develブランチにしか存在していません。

ということで、まだ触ったことない機能が急ピッチで追加されている現状がうかがえます。

すごい!

Ansible2.8で

WinRMのオーバーヘッドがなくなるので高速かつ、大きなタスクも実行できるようになります。

  • 色々まとめたCollectionという単位で管理することが可能に!

これはStackStormにあるPackみたいな概念なのかな?

質問とか

AWXとTowerの違い、やっぱり大きなのは優秀なRedHatサポートが受けられるところだと思います。

他のセッション

他の話はつまみ食い的に聞いていたので、間違ったこと書いてもアレなのでtogetter見てください。

自動化というか、プラットフォームづくりとしてAnsibleTower(AWX)が利用されているのは、一から作るよりやっぱり安全だし早いもんなぁと、以前AWXを単なるAPIゲートウェイちっくに使う暴挙に出た経験を踏まえて思うのでした。

LTも5本枠が埋まって、みんな熱意あるなって思いました。

LTネタから

  • taskにちゃんとnameをつけましょうについてはansible-lint使うと容赦なく指摘された気がします、と。
  • jinja2は高機能だけど、やりすぎると難読化するので気を付けましょう。とくにyaml埋め込みで高度なことやるとホントやばいです。

やっぱりAnsible、開発盛んですし、ユーザがどんどん増えてるのを感じます。勢いって重要ですよね。

今後、コミュニティとして、受け身ではなく、もっとディスカッションの場も増やしていきたいと運営のとこまらむかな (@fideleruuth) | Twitterさんもおっしゃっていたので、いろんな形のAnsibleユーザ会が開催されていくと思いますので、盛り上げていきましょう!

終わりに

なんだかんだでAnsible便利ですし、気軽に使っていきましょう!勉強会とかでいろんな人のいろんな話を聞くととてもためになるのでいいですよ!

ssmjp 2019/03 ヤマサキ春のサメ祭り へ行ってきました

アウトプットしないのは知的な便秘!ということで、アウトプット枠にて とても久しぶりにssmjpに行きましたが、ssmjpらしい回でした。

サメ祭りということで

  • サメの話
  • サメじゃないサメの話
  • 運用自動化の話
  • JAWSDAYSの話

という内容でしたl

内容とか雰囲気はtogetterにまとまっているのでいいとして、さくっと感想とかを。

サメの話

古今東西サメ映画の話。

初代ジョーズくらいは見たことありましたが、ホラー映画が苦手なのもあって全然サメ映画見てなかったのですが、

ネタ枠などとても幅広い映画が存在することを知った日になりました。

また、サメ映画に対する愛がとても感じられる発表でした。

シャークネード海底47mが初心者にお勧めらしいのでサメ映画に入門したい方はぜひ!

サメじゃないサメの話

今回の発表のために、愛知県豊根村までチョウザメ養殖場見学とチョウザメを食してきたという発表。

地元の近くやな?いけるかな?と思ったけれど、チョウザメ料理は団体予約が必要らしい。

村の人口が1100人くらいなのに、10人でそれより多くのチョウザメを育ててるの、凄いですね。

味はタイと河豚のあいのこみたいだけれど小骨が多いのが玉に瑕という、いつになったら役に立たつのかわからないとてもいい話を聞けました。

蓬莱泉の空が紹介されていましたが、こちら、特約店的なところにしかおりてこない、年1回か2回の販売しかされない。という微妙に手に入りにくい酒なのですがとてもおいしいです。東三河の地酒置いてるところで飲めることがあるので見つけたら飲んでみることをお勧めします。

蓬莱泉といえば、設楽と豊田のほうで、(日本酒量り売り もしているので、近くに行く機会があればそちらも是非。季節によって違うお酒を量り売りしてます。

運用自動化の話

うなずく人と、そうでない人で二極化してた話。

波多野さんは、運用自動化に割と積極的な人という印象がありますが運用自動化に反対してると思っている方もいるくらい、 ダメな運用自動化を批判してる方でもあります。

そんな波多野さんが良い運用自動化について引き続き話をしていました。

運用自動化の効果をきちんと定量的に測定しているケースが少ないという話が胸に刺さったり、しつつ、なるほどなぁと話を聞きました。

個人的な経験でも指標を持って効果の測定をするという経験が確かにほとんどなく、確かに楽になったねとか、 いつも2,3日かかっていたものが1日でユーザに完了連絡できるようになったね、みたいな肌感だけで進んでいて、ちゃんと測定はしてなかったなぁと反省しました。

そういう、効果を測定することで、評価してもらいやすくもなりそうなので、これからはきちんと、測定も行っていきたいと思いました。

JAWSDAYSの運用の話

JAWSDAYSがどう開催されたのか、その裏側についての話。

物理的な配置から予算やスケジュールの話など、盛りだくさんな話でした。

タスクやスケジュール管理については、チームにあったものを選ぶべきだという話があったり、

会場の無線回線の安定稼働はやっぱり難しいという話があったり、

スポンサー来てくださいって全体アナウンスするだけだとやっぱり大変なので、個別に声をかけたという話があったり、

イベントを開催するのはやっぱり大変ですよねって。

それはそれとして、JAWS-UGでもコアな運営メンバはやはり比較的少数で掛け持ちしてるんだなぁというどこの界隈でもいっしょやな、スタッフ集め苦労してるなという感想を持ちました。

この辺は手伝うくらいならいくらでも手伝いたいなという思いはあるものの、コミュニケーション能力だとかが無なので、コアスタッフとして活動するのは無理だなぁという自分の自分に対する評価があるので、できる人でがんばってくださいという気持ちです。

おわりに

次回はDNS回らしいので、DNSの勉強をしたい方は是非、次回のssmjpをお楽しみに。