AIで加速するAWS運用効率化〜IAM Identity Center IssueOpsとセキュリティ基準自動作成〜

574 Views

June 20, 25

#github copilot #devin #aws

スライド概要

2025/06/20 Engineering Productivity Meetup #4 in 東京にて発表したLT資料

Takayuki Ishikawa

@14kw

スライド一覧

Blog: https://14code.com GitHub: https://github.com/14kw SlideShare: https://www.slideshare.net/TakayukiIshikawa

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

Notion全社導入に伴う移行とデータ整理のノウハウ

notion

Takayuki Ishikawa 24.4K

Notionへのデータ移行体験談とTIPS

notion

Takayuki Ishikawa 10.2K

Cloudflare Streamを使った簡単動画配信

cloudflare

Takayuki Ishikawa 1.9K

AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと

aws

Takayuki Ishikawa 357

AWS CURのデータを安く楽に可視化して共有したい

aws

Takayuki Ishikawa 293

ニフティにおけるAtlassian製品のユーザー管理手法

atlassian

Takayuki Ishikawa >100

各ページのテキスト

自己紹介ニフティ株式会社サービスシステムグループテックリード / Cloud Architect 石川貴之 (Ishikawa Takayuki) 担当業務 ● CCoE的活動（AWS/GCP組織管理） ● 技術寄りSaaS管理（Notion, GitHub, AIサービスなど） ● 自社WEBサービスの設計、バックエンド Copyright © NIFTY Corporation All Rights Reserved.

GitHub CopilotとDevinを活用して運用効率化しました AWS IAM Identity Center(IIC) IssueOps ● ● GitHub ActionsのワークフローをAIと共に作成 GitOps構成は前からあったが IssueOps を追加 AWSセキュリティチェックリスト＆熟成度モデル ● ● 一般情報から作ることに意味があるため社内情報は入れずに、 AWS公式ドキュメントと BlackBelt、導入事例など Devin に与えて作成チェックリストに対して社内文書とリンクさせて対応率を測る Copyright © NIFTY Corporation All Rights Reserved.

現状と課題現状 ● OneLoginで複数AWSアカウント＆ロールへの認可を行っている課題 ● ❗最小権限の原則が形骸化 ○ ● カスタムロールの作成手順が分かりにくいため、過剰な権限を持つ Administratorロールが多用されている 🤖自動化の限界 ○ OneLoginの仕様によりプロビジョニング周りの完全な運用自動化が困難 Copyright © NIFTY Corporation All Rights Reserved.

解決策： AWS IAM Identity Centerに移行しよう ✓ 認可をAWS IICに移行する ○ ✓ IaCはTerraformで管理 ○ ✓ 認証は IDaaS である OneLogin のまま当時 CDK は AWS SSO に対応してなかったデプロイはGitOpsで運用 ○ 誰でも権限セットや割り当てに対してPR を出せる状態で運用する ○ tfactionを使って CI/CDフローを省力化 Copyright © NIFTY Corporation All Rights Reserved.

Before After 認可管理 OneLogin AWS IIC Idp 各アカウントの Idp 管理アカウントの Idp ログインロール管理各アカウントのロール ※CFn StackSetsで作成 AWS IICの権限セット ※Terraformによる一元管理ログインロール追加・削除管理者が依頼を受けデプロイ GItHubリポジトリへの PR ユーザー権限管理 OneLogin AppのRule Mapping AWS IICユーザーへのアカウント＆Roleの割り当てユーザー権限追加・削除 OneLogin Roleへの追加・削除 GitHubリポジトリへの PR Copyright © NIFTY Corporation All Rights Reserved.

権限セットと割り当て管理の GitOps 一般アカウント/ ├── aws_accounts.json # 管理対象のAWSアカウント一覧 ├── permission_set/ │ └── *.tf # 権限セットごとのロール定義 └── assignments/ └── *.json # 各AWSアカウントごとの割り当てJSON 重要アカウント/ ├── aws_accounts.json ├── permission_set/ │ └── *.tf └── assignments/ └── *.json Copyright © NIFTY Corporation All Rights Reserved.

10.

11.

12.

難しいわけではないがめんどくさい部分を AIにまかせる以下のものは9割以上Copilot Agentに書いてもらっています GitHub Actionsの作成 ● IssueのValidation、AWSアカウントやユーザーの存在確認スクリプト ○ Actionsは運用テストしにくいのでテストも書いてもらいましょう利用者向けマニュアル ● CONTRIBUTING.md の作成、mermaidによるフロー図式化 ○ 人間が書くより説明が丁寧だし難しい記法も AIなら苦にしない Copyright © NIFTY Corporation All Rights Reserved.

13.

14.

15.

16.

解決策：一般情報から AWSセキュリティ基準を作ろう ✓ 一般的なガバナンス・セキュリティ関係の対応基準を公開情報から作る ○ ✓ めんどくさいので Devin に作ってもらう現状の対応率を可視化する ○ 対応できているかと古びていないかをチェック ○ グラフで対応率が出るので詳しくなくても理解しやすい Copyright © NIFTY Corporation All Rights Reserved.

17.

18.

19.

20.

Devinに作ってもらった成果物の精度とコスパ精度 ● 思った以上に納得感のあるものができた、ほぼ手直しせずに利用できている ● AWS用と Google Cloud用どちらも作成できたコスパ ● AWSは $35 相当かかったが作業量を考えるとかなり安い ● Google Cloudは半分以下でできたので与える情報とプロンプトでだいぶ変わる課題 ● チェックリストを最新化したいときにどうするか Copyright © NIFTY Corporation All Rights Reserved.

21.

22.

23.

24.

25.

26.

AIで加速するAWS運用効率化 〜IAM Identity Center IssueOpsとセキュリティ基準自動作成〜