新年あけましておめでとうございます。今回はre:Invent2024で公開されたWorkshop「Approaches to layered security on Amazon VPC」が自宅からもできるということで、せっかくなので試してみました。
初めての方用に説明しておくと、AWSのWorkshopは資料に沿って手を動かしてAWSサービス利用法の理解を深める内容となっています。Workshopはざっくりと決められた時間内でしか体験できないもの、いつでも体験できるものの2つに分かれます。今回は後者ですが、突然公開が終了してしまうケースがあるので注意が必要です。というわけで、Workshopは気になるものは見つけた瞬間にやりましょう!
Workshopの内容
コンテンツ紹介ページには以下のように記載があります。
このワークショップは所要時間約 2 時間で、Amazon VPC のセキュリティ保護に関する実践的なガイダンスを取り上げます。AWS でサービスの設計、開発、実行を担当するクラウド アーキテクト、システム管理者、ネットワーク管理者、セキュリティ管理者を対象としています。
これは 300 レベルのワークショップなので、サブネット、セキュリティグループ、VPC フローログなどの基本事項に精通していることを前提としています。(自動翻訳)
本Workshopの進め方は2パターンあります。
【パターン1】実装したい機能の記載があり、それを自力で実装
【パターン2】詳しい手順付きでウォークスルー形式の実装
前者は腕試ししたい方向け(GameDayライク)、後者は慣れていない方向けです。自分は触り慣れたサービスが多いので、前者でやってみました。Workshopの環境はこのページでCloudFormationテンプレートが配布されていたので、これを自分のAWS環境に流しましょう。公式曰く利用料は1時間当たり2ドルほどかかるとのことです。終わったら忘れずリソースは削除しましょう。自分は今回バージニア北部(us-east-1)でスタックを作成しました。以下、自力で全てやりたい方はネタバレ注意です。
スタック作成が完了したらCloudWatchに下のようなダッシュボードが作成されていましたが、内容はハンズオンのページの内容そのままです。
左のメニュー毎のお題が全部完了したら、右上のカスタムウィジェットを有効化してみましょう。した画面のように全てクリアできていれば、お題は完了です。画面は自動翻訳を適用しています。
また、ワークショップの構成は導入タスクとA~Eまで5つのトラックがありますが、お互いのトラックは独立した内容なので、気になったものだけ手を付けることが可能です。
【導入タスク】Managing VPC access controls at scale
【トラックA】DNS Security
【トラックB】Network Analysis
【トラックC】AWS Network Firewall(IPv6)
【トラックD】3rd-party firewall using Gateway Load Balancer(GWLB)
【トラックE】Web Application Firewall
(ネタバレ注意)【導入タスク】Managing VPC access controls at scaleの様子
せっかくなので、一番最初のタスクだけ実施している様子をお見せします。
自身の環境からWeb用ALB経由でWebサーバにアクセスできれば完了です。
最初ALBのDNS名を入力すると下のように何も表示されません。
ALBについているセキュリティグループを見てみるとIPv4用のプレフィックスリストがあります。中身を見てみましょう。
プレフィックスリストのエントリに何も表示されていないので、自分が利用しているパブリックIPを追記します。
再度ALBのDNS名を入力したら、無事接続されました。
このWorkshopの内容が気になった方へ
このように手を動かしてやるWorkshopに価値を感じた方は2023年のre:Inventで公開された「AWS Support - Troubleshooting in the cloud with generative AI」のWorkshopもお勧めです。会社ブログの方でこちらのWorkshopを実施している様子もあるので、よろしければ併せてご覧ください。
短いですが本記事は以上です。ここまでお読みいただきありがとうございます。