ぴろログ

Output Driven

「RAMユーザのパスワード誤入力をSlackに通知させてみた」というLTをしました /AliEeates Okinawa Meetup #1

Alibaba Cloud AliEatersOkinawa RAM 勉強会

4/24(Wed)にAliEeates Okinawa Meetupを開催しまして(祝・沖縄初開催!)、RAMに関するLTをしました。

alieaters-okinawa.connpass.com

以前アカウント作成方法の記事を書きましたが、通常はプライマリアカウントではなくRAMユーザ(AWSでいうIAMユーザ)でAlibaba Cloudを触るのが望ましい運用です。

blog.pirox.dev

という訳で、アカウント作成後すぐに触るであろうRAMをテーマに採用した次第です。

LTスライド

要約

  • RAMユーザに対して「パスワード再入力回数ポリシー」を設定できる
    • 規定回数の失敗でアカウントロック(1時間)
  • パスワード誤入力のログを、Log Serviceを使ってSlackに通知できる
    • WebHookが使える
    • クエリで取得したログ情報を、テンプレート変数として通知内容に埋め込める

補足①:Log ServiceのWebHook

まだ日本サイトでは使えませんが、中国サイト・InternationalサイトではRequest Headerが付与できるみたいです。どんどん使い勝手が良くなりそうですね!

www.alibabacloud.com

Alibaba Cloudの「サイト」とは??

Alibaba Cloudには3種類の「サイト」があり、それぞれの運用事業者が異なります。日本サイトはSBクラウドさんが運営しています。

bigriver.jp

補足②:ハマったリージョン間での仕様相違

Log Serviceについて「東京リージョンと中国のリージョンで挙動が違う???」とか疑いだした。。

これ、あり得るかも、だそうです。というのも、Alibaba Cloudでは以下の順番で実装されていくようで、東京リージョンに適用されるまでには少し時間がかかる模様です。

  • サイトレベルの順番
    • 中国サイト → Internationalサイト → 日本サイト
  • リージョンレベルの順番
    • 中国のリージョン → 東京リージョン

日本でのAlibaba Cloudユーザが増えれば、日本サイトへの投資が増えて開発速度が加速していくはず!!なので、今後もAliEatersを通じて盛り上げていきたいと思います。

ちなみに今年の1月には東京リージョンに第2AZが誕生したので、国内でのマルチAZ構成も可能になりましたよ!

jp.alibabacloud.com

RAMユーザのおまけ情報

時間の都合でスライドから省いたネタのご紹介です。

ユーザ名の変更が可能

AWSのIAMでは、ARNにIAMユーザ名が埋め込まれているので、作成後の名称変更はできません。(arn:aws:iam::<アカウント番号>:user/<IAMユーザ名>)

Alibaba CloudのRAMユーザでは、ユーザ名(UserName)とは別にUserIdという識別子を持っているためか、ユーザ名の変更が可能です。

$ aliyun ram GetUser --UserName user01
{
    "User": {
        "LastLoginDate": "2019-04-21T10:25:45Z",
        "Comments": "testuser",
        "Email": "",
        "UserName": "user01",
        "UpdateDate": "2019-04-27T16:39:15Z",
        "UserId": "******************", #マスキング(数字18桁)
        "MobilePhone": "",
        "DisplayName": "user01",
        "CreateDate": "2019-04-20T08:11:25Z"
    },
    "RequestId": "249EAEDA-5963-46C3-966E-E2AEB955BC98"
}

RAMユーザから見える中国の「信用スコア」制度

RAMユーザの属性として「Email」、「MobilePhone」が用意されています(上記のコマンド実行結果を参照)。これはどう活用するんだろうと疑問に思っていたのですが、中国の「信用スコア」制度が背景にあるとのこと。

中国では個人の「信用度」を可視化する取り組みが浸透していて、Alibabaグループが展開している「芝麻信用」というサービスがメジャーどころのようです。(Alibabaさん半端ないっす。。)ちなみに「芝麻」とは「ゴマ」のことで、「アリババと40人の盗賊」の「開けゴマ」が由来だそうです。(Wikipedia調べ)

メールアドレスや電話番号をキーに、RAMユーザの使用者の信用スコアを取得して付与する権限(RAMのポリシー)を自動変更、といった運用が行われているのかもしれませんね。(次のAliEatersで聞いてみよ。)

innovation.mufg.jp

pecu-nia.com

最後に

AliEaters Okinawa Meetupを定期的に開催予定です。次回は梅雨明けの6月末ぐらいにできればと思っています。

今回のLT登壇者は全員弊社社員だったのですが、参加者の中から登壇者がガンガン誕生すると嬉しいです!

イベント情報へのリンク

LT登壇した清水さんのブログ yudy1152.hatenablog.com

Twittetまとめ

togetter.com

Conpass alieaters-okinawa.connpass.com