先日のre:Inventで発表されたEC2 Image Builderを試してみた．EC2 Image Builderで簡単なAMIを作成して，つまづいた箇所があったのでメモとして残しておこうと思う．

EC2 Image Builder

EC2 Image Builderとは，OSイメージのレシピとイメージ作成後のテストをパイプラインでつないでAMIの作成を自動化してくれるサービスである．従来，AMIの作成を自動化するにはAWS Systems Manager（以下，SSM）やHashiCorp製品のPackerなどを組み合わせる利用が目立ったが，EC2 Image BuilderはAMI作成に関する一連の作業を一気に引き受けて自動化してくれる．仕組みとしてはEC2 Image Builderが裏でSSMを動かしてAMI作成作業を抽象化している．現状ではAmazon Linux 2，Windows Server 2012R2, 2016, 2019をOSとしてサポートしており，すべてのリージョンで使用可能である．

今回試してみること

以下のブログを参考にEC2 Image BuilderでAMIを作成する．今回はPHP7.3がインストールされたAMIを作成し，そのAMIが正常にEC2で起動するかテストする．その中でつまづいたポイントを紹介していく．

aws.amazon.com

EC2 Image Builderを使用してAMIを作成

説明に入る前につまづいたポイントを列挙しておく．

1. EC2 Image Builderで使うロールのポリシーにEC2InstanceProfileForImageBuilderとAmazonSSMManagedInstanceCoreが必要
2. AMIをビルドする環境がインターネットに出ることができないとダメ

それではEC2 Image BuilderでAMIを使っていく．まずはEC2 Image Builderのサービスページで「Create image pipeline」を押下する．すると全部で3ステップあるパイプラインの作成画面が出てくる．1ステップ目でレシピを設定し，2ステップ目でパイプラインを設定し，3ステップ目でオプションを設定する．それぞれ設定していく．

1ステップ目では，AMIのOS，AMIに入れるソフトウェア，テスト方法を設定する．
今回使うOSはAmazon Linux 2とし，新規でAMIを作成することとする．ちなみに既存のAMIを指定することも可能である．
次に，componentsを選択する．EC2 Image BuilderではAMIにインストールするパッケージやミドルウェアをcomponentsとして管理しており，componentsを選択することでAMIに必要なソフトウェア群を入れることができる．componentsはカスタムして作成することもできるが，ここではAWS管理のPHP7.3のパッケージを指定する．設定は以下のようになる．

2ステップ目では，EC2 Image Builderを実行するロール，ビルドのスケジュール，ビルドする環境を設定する．
ロールの設定では1つめのつまづきポイントに気をつける必要がある．AWS管理のcomponentsのビルドとテスト実行に必要十分な権限を持つEC2InstanceProfileForImageBuilderポリシーとSSMを動かすためのAmazonSSMManagedInstanceCoreポリシーをロールに付与しなければ，ほとんどの場合EC2 Image Builderが正常に動かない．自分はAmazonSSMManagedInstanceCoreポリシーをつけ忘れたのでエラーが出た．エラーの詳細はSSMの「オートメーション」ページで確認することができる．このポリシーをつけ忘れると下図のようなタイムアウトが起こるので，もしこのエラーが出たらAmazonSSMManagedInstanceCoreポリシーの付与忘れを疑うとよいかもしれない．

ビルドのスケジュールは手動で行うように設定しておき，ビルドする環境の設定に移る．ここでは2つめのつまづきポイントに気をつける．AMIを作成する際多くの場合インターネットを通して通信すると思うので，ビルドする環境はインターネットへ通信可能なところに置いておく必要がある．自分はビルド環境を特に何も指定していなかったので，インターネットに出ることができないデフォルトの環境でビルドしてエラーが出てしまった．このエラー画面はいくつかあるので割愛させていただくが，1つめのつまづきポイントを解消してなお失敗する場合はビルド環境を疑うとよいかもしれない．設定は以下のようになる．

3ステップ目は，ソフトウェアライセンスとAMIの関連付け，AMIの名前・タグ，AMIの配布先指定の設定を行う．
こちらはオプションなので必要であれば設定する．

これでパイプラインの設定は終わりである．あとは作成したパイプラインを実行すれば，EC2上での起動テスト済みかつPHP7.3がインストールされたAMIの出来上がり．

まとめ

• EC2 Image Builderを使って簡単なAMIを作成した
• AMI作成に自動化をサクッと作れるのはいい
• エラー内容から直接的な原因が分かりづらかった
• AWS管理されていないソフトウェアをcomponentsに書いて管理するより，既存で管理しているGitHubやCodeCommitから適用したいができない
• サポートしているOSが増えて欲しいなという気持ち
• まだまだ出たばかりなので今後に期待

世の中の数多くのサービスがAWSやAzure，GCPなどのクラウドにホストされることが普通になり，オンプレの時に比べてサーバや各種リソースのIPアドレスが動的に変わることが増えてきた．そんななか，業務でどうしてもクラウドで動作中のリソースに紐づいているIPアドレスの変更を検知して通知する仕組みが必要だったので，今日はその方法を紹介しようと思う．

前提

今回はAWSのロードバランサの1つであるApplication Load Balancer(以降ALB)を検知対象とする．ALBを立てると多くの場合，1つのDNS名に対して複数のIPアドレスを持つ状態となる，ここでは2つIPアドレスを持つ場合を考える．

やりたいこと

ALBが持つ2つのIPアドレスのうち，片方を事前に記録しておく．ALBのIPアドレスの変更により，その記録したIPアドレスがALBのIPアドレスと異なる状態になったとき通知を行う．

検知と通知方法

スプレッドシートでGoogle Apps Script（以降GAS）を使い，Slackへ通知する方法で実現する． まずはシートに初期値として現状のALBのIPアドレスをメモしておく．また検知した日と新しいIPアドレスを記録するように列を用意しておく．

GASで実装する内容は主に以下の2つ．

1. DNS over HTTPSを使ってクラウド上のALBのIPアドレスを取得
2. もし今記録しているIPアドレスと違ったら変更履歴をシートに記録しSlackへ通知

まずはDNS over HTTPSを使って名前解決する．DNS over HTTPSとは，文字通りHTTPSを用いてDNSの通信を行う技術である．今回はGoogleが提供してくれているGoogle Public DNS over HTTPSという全世界の人が無料で使えるフルリゾルバを使用する．どんなものかというのは，以下のURLを叩くと雰囲気がわかると思う．

https://dns.google.com/resolve?type=A&name=example.com

次に，Slack通知を行う部分を書く．以下のブログが参考になった．

qiita.com

Incoming WebhookをSlackのチャンネルに設定して，hookするURLさえ分かれば通知できる．完成版のGASは以下のようになる．

function resolveName() {
  var ss = SpreadsheetApp.getActiveSheet();
  var apiUrl = 'https://dns.google.com/resolve'; // Google Pubic DNS API URL
  var type = 'A'; // Aレコードを指定
  var name = 'hogehoge.com'; // 検知するドメイン名

  // 名前解決
  var requestUrl = apiUrl + '?name=' + name + '&type=' + type;
  var response = UrlFetchApp.fetch(requestUrl);
  var responseText = response.getContentText();
  
  // レスポンスをパース
  var json = JSON.parse(responseText);
  var newIpList = json.Answer.map(function(ans) {
      return ans.data
    });
  
  // 登録IPアドレス取得
  var oldIp = ss.getRange(2,1).getValue();

  // IPが変更したか確認
  if (newIpList.indexOf(oldIp) !== -1) {
    return;
  }
  
  // 文字列としてパース
  newIpList.sort();
  var ipAddr = newIpList.join('\n');

  // 変更日時とIPアドレスを記録
  var date = new Date();
  Utilities.formatDate( date, 'Asia/Tokyo', 'yyyyMMdd: hhmm');
  var lastRow = ss.getLastRow();
  ss.getRange(lastRow + 1, 3).setValue(date);
  ss.getRange(lastRow + 1, 4).setValue(ipAddr);

  // Slackへ通知
  notifySlack(name,ipAddr);
}

function notifySlack(name,ip_addr) {
  var postUrl = 'https://hooks.slack.com/services/hoge/fuga/moge';
  var username = 'IP報告する男';
  var message = name + 'のIPアドレスが変わりました\n' + ip_addr;

  var jsonData =
  {
     "username" : username,
     "text" : message
  };
  var payload = JSON.stringify(jsonData);

  var options =
  {
    "method" : "post",
    "contentType" : "application/json",
    "payload" : payload
  };

  UrlFetchApp.fetch(postUrl, options);
}

テストとしてGAS上のタブから「実行」を選んでresolveName関数を実行する．IPアドレスが変わっていればスプレッドシートに検知した日と新しいIPアドレスが記録され，Slackへ通知が届く．

あとは，GAS上のタブから「編集」->「現在のプロジェクトのトリガー」をクリックし，このスクリプトを時間ベースで定期実行するようにしておけば，IPアドレスが変わったタイミングでSlackに通知が届く．Slackに気づいたら，シートの初期値として設定したIPアドレスを通知された新しいIPアドレスに手動で書き換える運用をしている．もちろんGASで自動的に書き換えてもらってもよい．

まとめ

• GASを使ってALBのIPアドレス変更を検知してSlackへ通知した
• GASからSlack通知も便利だが，Google Public DNS over HTTPSも便利だった
• 今回の対象はALBだったが，他の対象にも使えそうな手段だと思う

業務でHashiCorpのVaultを使うかもしれないのでハンズオンをやってみた．GitHubに日本語のハンズオン資料が公開されているのでそれをもとに進めた．

github.com

ハンズオンアジェンダ

GitHubで公開されている日本語のハンズオンアジェンダを以下に示す．この中にはハンズオンとしての内容がまだ公開されていないものも含まれている．

• 初めてのVault
• Secret Engine 1: Key Value
• Secret Engine 2: Databases
• 認証とポリシー
• Auth Method 1: LDAP
• Auth Method 2: AppRole
• Auth Method 3: OIDC
• Auth Method 4: GitHub
• Response Rapping
• Secret Engine 3: Public Cloud (AWS, Azure, GCP)
• Secret Engine 4: PKI Engine
• Secret Engine 5: Transit (Encryption as a Service)
• Secret Engine 6: SSH
• 運用系機能色々
• CIツール連携(Concourse, Jenkins)
• Kubernetes連携
• Cloud Foundry連携
• Enterprise機能の紹介

今回は初めてVaultに触るので初めてのVault，Secret Engine 1: Key Value，Secret Engine 2: Databases，認証とポリシーの4つをやってみる．具体的な手順はハンズオンに任せるとして，この記事ではそれぞれのハンズオンで学んだことと，自分が思う重要な概念や押さえるべきポイントについてまとめてみようと思う．

1. 初めてのVault

ここではVaultをインストールしてVaultを立ち上げ，あとのハンズオンの準備をしていく．

このハンズオンで学んだこと

• Vaultのインストール
• Vaultサーバの立ち上げ(開発モード)
• シークレットエンジン
  • シークレットの保存・取得
• Vaultサーバの立ち上げ(本番モード)
  • Vaultの初期化処理

シークレットエンジン

シークレットエンジンとはkey=valueでデータを格納・生成・暗号化するVaultのコンポーネントである． AWSのIAMのキーやDatabaseへアクセスするシークレットなどさまざまな用途で使えるように，Vaultで専用のコンポーネントが用意されている．例えばkvシークレットエンジンを新規で使う時はvault secrets enable -path=kv kvのようにシークレットエンジンを有効にする．さらに，パスを指定してエンドポイントにみたてて，以後そのエンドポイントに操作を実行するのが特徴である．用途にあったシークレットエンジンを使うことでシークレットを適切に扱うことが可能となる．

Vaultの初期化処理

本番モードのVaultではセキュアな設計がされているので，起動直後はsealedという状態になっておりVaultへログインできない．ログインするにはinitとunsealという初期化処理が必要になる．まずinit処理をする．

$ vault operator init
Unseal Key 1: JLYUBHrdwWu2dxwjCazqsCQ4OJPJtiMFsIZeO1osyJ1t
Unseal Key 2: nEjGt+rYSOomqmyTsuF7PnKPS+NE3yPEfuo6WDXm/QDR
Unseal Key 3: d5nTCzEGKIBPFGCC3ANzKf8gGgwoV8APr6V9KdDcNjOW
Unseal Key 4: sd7vzV1FQk/96xQmIuKRKhydy9tGEmORbFyozAKxFc4n
Unseal Key 5: JqLGxcvA3gLrwQHIliWvl1ytkMbuDGu/6p2KzGpvnCa9

Initial Root Token: s.Wi5WjPfPHqbFAcXjwsDCHQLd
~~~

initの処理をすると，VaultをunsealするためのUnseal KeyとInitial Root Tokenが生成される．試しにこの状態でRoot Tokenを使ってログインしてみる．

$ vault login
Token (will be hidden):
Error authenticating: error looking up token: Error making API request.

URL: GET http://127.0.0.1:8200/v1/auth/token/lookup-self
Code: 503. Errors:

* error performing token check: Vault is sealed

エラーになる．Vaultではsealed状態になっているといかに強力な権限のあるトークンを使ったとしても操作は受け付けない．unsealの処理はUnseal Keyを使う．デフォルトだと5つのキーが生成され，そのうち3つのキーが集まるとunsealされる．このアルゴリズムはシャミアの秘密鍵分散法と呼ばれる．3つのUnseal Keyを入れてみる．

$ vault operator unseal
Unseal Key (will be hidden):
Key                Value
---                -----
Seal Type          shamir
Initialized        true
Sealed             true
Total Shares       5
Threshold          3
Unseal Progress    1/3
Unseal Nonce       32d20912-88dd-16e2-28d3-87344abec5fc
Version            1.2.3
HA Enabled         false
$ vault operator unseal
Unseal Key (will be hidden):
Key                Value
---                -----
Seal Type          shamir
Initialized        true
Sealed             true
Total Shares       5
Threshold          3
Unseal Progress    2/3
Unseal Nonce       32d20912-88dd-16e2-28d3-87344abec5fc
Version            1.2.3
HA Enabled         false
$ vault operator unseal
Unseal Key (will be hidden):
Key             Value
---             -----
Seal Type       shamir
Initialized     true
Sealed          false
Total Shares    5
Threshold       3
Version         1.2.3
Cluster Name    vault-cluster-7815e4aa
Cluster ID      12747d60-78d3-8fad-6082-102052ac8c74
HA Enabled      false

これでログインができる．

$ vault login
s.Wi5WjPfPHqbFAcXjwsDCHQLdToken (will be hidden):
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.

Key                  Value
---                  -----
token                s.Wi5WjPfPHqbFAcXjwsDCHQLd
token_accessor       NX8h0laChNLO5oObu2nDtovT
token_duration       ∞
token_renewable      false
token_policies       ["root"]
identity_policies    []
policies             ["root"]

やや面倒なこの仕組みの何が嬉しいのかということについては以下のブログが参考になった．

christina04.hatenablog.com

2. Secret Engine 1: Key Value

ここではシンプルなKeyValueStore型のシークレットエンジンを使ってデータのCRUDをするハンズオンを行う．

このハンズオンで学んだこと

• Key Value Store型のシークレットエンジン
  • データのCRUD
  • データのバージョニング管理
  • 2つのデータ更新パターン

3. Secret Engine2: Databases

ここではMySQLとVaultを使い，Vaultで発行したシークレットを用いてMySQLにアクセスするハンズオンを行う．

このハンズオンで学んだこと

• Databaseのシークレットエンジン
• Vaultが対応しているDatabaseシークレットエンジン一覧
  • Cassandra
  • Influxdb
  • HanaDB
  • MongoDB
  • MSSQL
  • MySQL/MariaDB
  • PostgreSQL
  • Oracle
• VaultがMySQLの操作を制限するようなロールを作成し，そのロールの内容に基づいてVaultがアプリケーションへシークレットを生成する流れ
• 動的シークレットの破棄
• Rootユーザのパスワードローテーション

MySQLへのアクセスの流れ

以下の図のような流れでアプリケーションはMySQLへのアクセスを実現する．

それぞれのステップをみていく．

① Vaultに特権ユーザのクレデンシャルとデータベースの接続先を登録する．MySQLのrootユーザ(特権ユーザ)を指定してコネクションの設定をする．②で作成するロールもここで指定しておく必要がある．また，ロールは複数指定できる．

$ vault write database/config/mysql-handson-db \
  plugin_name=mysql-legacy-database-plugin \
  connection_url="{{username}}:{{password}}@tcp(127.0.0.1:3306)/" \
  allowed_roles="role-handson" \
  username="root" \
  password="rooooot"

② MySQLへの権限やシークレットのTTLを記述したロールを定義する

$ vault write database/roles/role-handson \
  db_name=mysql-handson-db \
  creation_statements="CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}';GRANT SELECT ON *.* TO '{{name}}'@'%';" \
  default_ttl="1h" \
  max_ttl="24h"

③ クライアントからVaultに対してシークレットの発行を依頼する

$ vault read database/creds/role-handson
Key                Value
---                -----
lease_id           database/creds/role-handson/G3tJu3gN8nGoL8Z8MlVkvD2g
lease_duration     1h
lease_renewable    true
password           A1a-qIpUomJUoXOiHlQh
username           v-role-PaKXo1BO1

④ 取得したシークレットでMySQLにアクセス

$ mysql -u v-role-PaKXo1BO1 -p -h 127.0.0.1
Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 9
Server version: 5.7.22 MySQL Community Server (GPL)

Copyright (c) 2000, 2018, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

$ mysql>

⑤ ロールによりSelectはできるがInsertはできないことを確認する．

$ mysql> select * from products;
+------+-------------+-------+
| id   | name        | price |
+------+-------------+-------+
|    1 | Nice hoodie | 1580  |
+------+-------------+-------+
1 row in set (0.00 sec)

$ mysql> insert into products (id, name, price) values (2, "hoge", 1600);
ERROR 1142 (42000): INSERT command denied to user 'v-role-PaKXo1BO1'@'127.0.0.1' for table 'products'

動的シークレットの破棄

ロールにシークレットのTTLを設定できる．TTLを過ぎれば当該シークレットではMySQLにログインできなくなる．またrevoke処理で発行したシークレットを明示的に無効にできる．再びMySQLにログインしたい場合は，再度シークレットを発行するか，シークレットのTTLが切れる前にrenew処理と呼ばれるTTLを延長する処理のどちらかを実行すればよい．

Rootユーザのパスワードローテーション

VaultにMySQLの特権を持たせているためそのパスワードの扱いが非常にセンシティブである．Vaultにはコンフィグレーションとして登録したデータベースのパスワードをローテーションさせるAPIがある．これを使ってこまめにRootのパスワードをリフレッシュできる．ただし，MySQLのRootユーザがVaultに登録してあるもの1つだけだと，Rootユーザのパスワードのローテーションを行った後はRootのパスワードはVaultしか扱うことができない．そのため通常別の特権ユーザをMySQLに準備してから行う．

4. 認証とポリシー

ここではエンドポイントごとにポリシーを設定してトークンを発行し，アクセスコントロールを試してみるハンズオンを行う．

このハンズオンで学んだこと．

• ポリシーの利用方法

ロールとポリシーの違い

ポリシーの作成方法や使い方はハンズオンで十分学ぶことができる．個人的に思うここでの重要なポイントは1つ前のSecret Engine2: Databasesで学んだロールと今回のポリシーの違いだと思う．利用するアプリケーションのアクセスをコントロールをしているという点においては同じだが，ロールとポリシーではコントロールする対象領域が異なる．1つ前のハンズオンを例にとると，ロールの場合コントロールする対象領域はMySQLだった．つまり，MySQLへアクセスするシークレットが発行された上で，そのシークレットでMySQLにログインするアプリケーションにどんな制限を持たせるかというのを定義するのがロールである．一方，ポリシーはVaultのエンドポイントを対象領域としている．例えば，「kvタイプのとあるエンドポイントにはread,writeを持たせるけど，databaseタイプのエンドポイントにはアクセスさせない」というようなポリシーを定義をする．もしこの例が適用されたトークンが発行されると，たとえロールの設定にすべてのテーブルへのアクセス許可を書いていたとしても，そもそもdatabaseタイプのエンドポイントにアクセスができないのでシークレットが発行されず，MySQLにログインすることすらできない．まとめると，ポリシーはエンドポイント単位でのアクセスコントロールを制御し，ロールはエンドポイントに対応しているSecret Engineの中でもっと細かいアクセスコントロールを制御するものだと思う．

まとめ

• HashiCorpのVaultハンズオンを一部試してみた
• Vaultの日本語ハンズオンはとても分かりやすかった．Vaultが何か分からない方におすすめ！
• 認証を絡めたハンズオンもいくつかあるのでやっていこうと思う．また，この記事を書いている間にもハンズオンが変更されたり増えていたりしたのでまた試してみようと思う．