GitHub Actions × AWS Nukeで 不要リソースの一括削除らくらく定期実行!

568 Views

March 03, 25

#GitHub Actions #AWS Nuke #コスト削減 #インフラ自動化 #DevOps

スライド概要

2025/2/27(木)
株式会社セゾンテクノロジー主催 Color Is LT大会にてお話しさせていただいた内容です

profile-image
スライド一覧

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 1.94MB)

関連スライド

slide-thumbnail

KH Coder 3 チュートリアル
user-img HIGUCHI Koichi 731.8K
slide-thumbnail

エンジニアとQAの壁が崩れていくのを眺めていた #scrumosaka
scrumosaka 2024 scrum agile
user-img asato 252.4K
slide-thumbnail

【初心者向け】UE5 シーケンサーと Movie Render Queue の使い方【Cinematic Dive 2023】
ue5 ue-nongame
user-img エピック ゲームズ ジャパン 220K
slide-thumbnail

【2023年版】ゲーム制作の現場でよく使うツールをまるっと紹介
ゲームメーカーズスクランブル ゲーム制作 ツール紹介
user-img ゲームメーカーズ 178K
slide-thumbnail

シェーダコードも怖くない?UEのCustomノードで学ぶHLSL入門
ゲームメーカーズスクランブル ゲーム制作 ue5 シェーダー
user-img ゲームメーカーズ 175.8K
slide-thumbnail

Power Platform 管理者が考えておきたいこと
m365vm
user-img たな 158.1K
各ページのテキスト
1.

GitHub Actions × AWS Nukeで 不要リソースの一括削除らくらく定期実行! (株)セゾンテクノロジー 青木 菜摘

2.

アジェンダ 1. 自己紹介 2. はじめに 1. AWS Nukeとは 2. GitHub Actionsとは 3. AWS ⇔ GitHub ⇔ Slack の連携、実行 4. メリットと注意点

3.

自己紹介 株式会社セゾンテクノロジー クラウドプラットフォーム部 青木菜摘 普段の業務内容: 主にAWSを用いたクラウドインフラ基盤の提案/構築 趣味: ・ 旅行、お出かけ ・ バンドの音楽鑑賞、ライブ参戦 ・ Youtubeで動画を見ること

4.

はじめに あるAWS環境の管理者として環境に かかるコストを削減中 特定のタグ(Owner)が付いていない リソースを定期的に一括削除したい 削除予定のリソースを一覧にし、Slack に自動で連携、周知したい

5.

AWS Nukeとは AWS環境内のすべてのリソースを一括削除できるオープンソースツール ◼ サービス別にフィルタリングして削除可能 ◼ タグを指定して削除するリソースをフィルタリング可能 ◼ Dry-runで削除予定のリソースを確認可能 Nuke最新バージョンのリポジトリ

6.

GitHub Actionsとは リポジトリに保存したコードの実行フローを自動化できるGitHubの機能 ◼ 好きな処理をワークフローファイルにジョブとして定義可能 ◼ 好きなスケジュールやイベントで処理をトリガーし、自動実行可能 ◼ IAM OIDC ID プロバイダーを用いた一時的な認証情報で IAMロールを引き受け、AWS環境へのセキュアなアクセスを実現可能

7.

GitHub ⇔ AWS環境の接続 IAM OIDC ①認証リクエスト ② ④結果 ③ Nuke実行 参考サイト: https://dev.classmethod.jp/articles/githubactions-aws-nuke/

8.

GitHub ⇔ AWS環境の接続 IAMコンソールで IDプロバイダー選択 「OpenID Connect」を選択してリクエスト用URLを入力し、 対象者にstsを選択

9.

GitHub ⇔ AWS環境の接続 任意のポリシーをアタッチした Nuke実行用IAMロールを 作成 ワークフローファイルからの認証用URL経由の アクセス時にassume roleを許可

10.

GitHub ⇔ AWS環境の接続 GitHubの Organizations名 任意のポリシーをアタッチした Nuke実行用IAMロールを 作成 リポジトリ名 ワークフローファイルからの認証用URL経由の アクセス時にassume roleを許可

11.

GitHub ⇔ AWS環境の接続 GitHub Actionsで、 ◼ Nuke実行用のワークフローファイル ◼ Nuke実行用のnuke-configファイル ◼ Slack連携用のワークフローファイル を作成する 今回のシステムの使用ファイル

12.

GitHub ⇔ AWS環境の接続 ◼ Nuke実行用のワークフローファイル ◼ Slack連携用のワークフローファイル 所属組織で設定されているセルフホステッド ランナーがある場合、そのランナー名を設定する

13.

GitHub ⇔ AWS環境の接続 ◼ Nuke実行用のnuke-configファイル フィルタリングしたいタグのキー、バリューを 設定する

14.

GitHub ⇔ Slackの接続 Slack apiのIncoming Webhooksで通知 ①通知用のSlack Appを作成 ②発行されるWebhook URLをGitHubのSlack連携用ワークフローファイルで使用 参考サイト: https://qiita.com/seratch/items/28d09eacada09134c96c

15.

ワークフローを実行してみる ワークフロー成功時のActions画面 Slackにも同時通知

16.

メリット 事前準備・運用がラクラク! ◼ AWS側の準備はIAMロールとOIDCプロバイダーを作成するだけでOK ◼ GitHubにソースを保存しつつ実行まで自動化 ◼ 定期実行もNuke実行用のワークフローファイルの項目を編集するだけ

17.

注意点 Organizations配下であることでうまく作動しなかったパターン ◼ 所属組織指定のセルフホステッドランナーを指定していない ◼ IAMロールの信頼ポリシーで、repo:の後にユーザ名を設定してしまう (Organizations配下の場合はユーザ名でなくOrganizations名を入力)

18.

注意点 実行後の影響 ◼ NukeがIAMのSAML設定やIAMロールアタッチメントを削除したことで 許可セットの情報が失われ、アカウントにログインできなくなったり、Nukeが 動作できなくなる ◼ あるサービスの削除の際、エラーによりNukeの処理自体が途中で止まって しまうことがある(原因不明…)

19.

コスト削減の成果 2024/7 $10582.23 約93万円削減! 2025/2 $4375.44(予測)

20.

ありがとうございました