Skip to content

S3ベースのセキュリティポリシー一括管理: 複数EC2への再デプロイ不要な設定配信 #3

Description

@kosaku-sim

背景

NemoClaw + LiteLLM 統合 (#1) により、個人ごとにEC2を立てるアーキテクチャが確立した。5人規模で運用する際、セキュリティ設定を統一管理し、再デプロイなしで全環境に反映する仕組みが必要。

アーキテクチャ

管理者 → S3 bucket (policy, SOUL.md, LiteLLM config)
           ↓ 定期pull or SSM一括配信
  EC2-A (user-a) → NemoClaw sandbox → LiteLLM → Bedrock
  EC2-B (user-b) → NemoClaw sandbox → LiteLLM → Bedrock
  EC2-C (user-c) → NemoClaw sandbox → LiteLLM → Bedrock

再デプロイ不要で更新可能にする項目

変更内容 配信方法 反映方法
許可モデルの追加/削除 S3 → LiteLLM config systemctl restart litellm
sandbox network policy S3 → policy.yaml openshell policy set (hot reload)
SOUL.md(行動規範) S3 → sandbox内 SSH配信
LiteLLMの認証設定 S3 → /etc/litellm/ systemctl restart litellm

実装タスク

  • S3バケット作成(CloudFormationに追加)
  • 各EC2が起動時にS3からポリシーを取得する仕組み
  • 定期的なS3ポーリング(cron or systemd timer)で変更を自動反映
  • SSM RunCommand による一括即時適用スクリプト
  • コスト管理: LiteLLMのユーザー別APIキー or AWS Cost Allocation Tags
  • CloudWatch Logs連携(LiteLLMログの一元監視)

設計方針

  • CloudFormationテンプレート = セキュリティのベースライン(IAM, VPC, SG)
  • S3 = 動的に変わるポリシー配信元
  • SSM = 緊急時の一括操作手段
  • upstreamのAdmin Console/AgentCoreは使わない(個人EC2 × NemoClaw sandboxの方向)

関連

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions