2019/11/11

1. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Management & Governance on AWS
こんなこともできます
Amazon Web Services Japan
ソリューションアーキテクト
⼤村幸敬
2019/11/11

2. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
⼤村 幸敬 (おおむら ゆきたか)
ソリューションアーキテクト
• これからクラウドを使いはじめる
エンタープライズ企業をサポート
• Management & Governance サービス
DevOps 系サービスを担当
好きなAWSのサービス︓
AWS CLI, AWS CDK

3. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジェンダ
1. AWS の Management & Governance サービス
2. こんなこともできます
1. 必須ソフトウェア未導⼊の検知
2. AWS環境のコンプライアンスチェック
3. リモートアクセスの事前許可と事後確認
4. ログ/メトリクスの詳細な調査

4. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

5. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
IT Management と IT Governance

6. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ビジネスアジリティと ガバナンスコントロール
ガバナンス
—
アジリティ
—

7. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ビジネスアジリティと ガバナンスコントロール
ꟷ
ガバナンス
—
アジリティ
—
実験
⾼い⽣産性
変化への迅速な追従

8. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Why AWS Management&Governance Services?
スケール 経験 シンプル
カバレッジ 3rdパーティ
ツール
コスト削減

9. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
̶
プロビジョニング
̶
オペレーション
AWS の マネジメントとガバナンスサービス
̶
有効化
ビジネスアジリティ + ガバナンスコントロール

10. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS の マネジメントとガバナンスサービス
ビジネスアジリティ + ガバナンスコントロール
̶
有効化
AWS
Control Tower
AWS
Organizations
AWS
Budgets
AWS
License Manager

11. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジリティとガバナンスを 有効化 有効化
継続的に増加するAWSリソースをどのように管理するか︖

12. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジリティとガバナンスを 有効化 有効化
環境のセットアップ コントロールの有効化
コストコントロールの確⽴アカウントとポリシーの管理
継続的な改善

13. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジリティとガバナンスを 有効化 有効化
AWS Control Tower
AWS Well-Architected Tool
AWS Organizations
AWS Budgets
AWS License Manager
AWS Marketplace (Private Marketplace)

14. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
̶
プロビジョニング
̶
オペレーション
AWS の マネジメントとガバナンスサービス
̶
有効化
ビジネスアジリティ + ガバナンスコントロール

15. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
̶
プロビジョニング
AWS の マネジメントとガバナンスサービス
ビジネスアジリティ + ガバナンスコントロール
AWS
OpsWorks
AWS
Marketplace
AWS
CloudFormation
AWS
Service Catalog

16. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ビジネスユーザ
DevOps
管理者
⾃動化されたプロビジョニング プロビジョニング

17. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
⾃動化されたプロビジョニング
AWS CloudFormation
AWS OpsWorks
AWS Marketplace
AWS Service Catalog
AWS Service Catalog
AWS Marketplace
プロビジョニング

18. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
̶
プロビジョニング
̶
オペレーション
AWS の マネジメントとガバナンスサービス
̶
有効化
ビジネスアジリティ + ガバナンスコントロール

19. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
̶
オペレーション
AWS の マネジメントとガバナンスサービス
ビジネスアジリティ + ガバナンスコントロール
Amazon
CloudWatch
AWS
CloudTrail
AWS Systems
Manager
AWS
Config
AWS Trusted
Advisor
AWS Cost and
Usage Report
AWS
Cost Explorer

20. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジリティとコントロールを伴うオペレーション オペレーション
最適化
分析、コスト削減、
効率性とセキュリティの改善
対応
リソースに対する対処の実施
監査
リソースの設定、ユーザアクセス、
ポリシーの強制
監視
リソースとアプリケーションの
監視

21. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジリティとコントロールを伴うオペレーション オペレーション
コスト削減の最適化とセキュリティの確保
Amazon CloudWatch
AWS Trusted Advisor
AWS Cost and Usage Report
AWS Cost Explorer
AWS Systems Manager
AWS CloudTrail
AWS Config

22. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
プロビショニング |
オペレーション |
AWS の マネジメントとガバナンスサービス
有効化 |
BUSINESS AGILITY + GOVERNANCE CONTROL
AWS
OpsWorks
AWS
Marketplace
AWS
CloudFormation
AWS
Service Catalog
拡張とインテグレーション
AWS
CloudTrail
AWS Systems
Manager
AWS
Config
AWS
Cost Explorer
AWS Trusted
Advisor
Amazon
CloudWatch
AWS Cost and
Usage Report
AWS
Control Tower
AWS
Organizations
AWS
Budgets
AWS
License Manager

23. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
3rdパーティとオープンソースソリューション
+ THOUSANDS MORE ON THE AWS MARKETPLACE

24. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

25. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
ユースケース
運⽤の可視化と
トラブルシューティング
コスト管理 監査可能性 エンドツーエンドの
ITライフサイクル管理
セキュリティ管理を
スケーラブルに
インベントリと
資産管理
運⽤上のインサイト
とレポート
3rdパーティツールによる
拡張と統合
コンプライアンス監視と
修復アクション

26. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
必須ソフトウェア未導⼊の検知

27. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

28. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
オンプレミスデータセンター
アカウントB
アカウントA
ソフトウェア構成情報の収集と可視化

29. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
必須ソフトウェア未導⼊の検知と修復処理の実⾏
• SSM Inventory でソフトウェア情報を収集
• AWS Config Rules でソフトウェアの導⼊状況を監視
• 違反を検知したら、通知、サーバ停⽌、インストールなどの対処を実施

30. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

31. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
• AWSリソースのレポジトリ情報から、
リソースの変更履歴、構成変更を管理
• 構成情報は定期的にスナップショットとして
S3に保存
• 必要に応じSNSを使った通知も可能
• 構成情報を元に、現在のシステムがある
べき状態になっているかを評価
• 評価基準にはAWSが適⽤するルール、もし
くは独⾃のルールを適⽤
• 2019年8⽉より 評価回数に基づく料⾦とな
り実質⼤幅な値引き
AWS Config / Config Rules
AWS Config
AWS Config Rules

32. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config マネージドルールによるチェック
• 108 のマネージドルールが利⽤可能（2019/11/11現在）

33. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS ControlTower のアカウントガードレール
「検出」の実装は AWS Config Rules のマネージドルールを使⽤

34. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config Custom Rules
https://github.com/awslabs/aws-config-rules/blob/master/RULES.md
• ルールをカスタマイズし、環境にあったベースラインを作成
• AWS Lambda ベース
• AWS Config Rules Repository
• GitHub(awslabs/aws-config-rules)
• IAMポリシー関連
• IAM鍵のローテーション
• MFAの有効化
• ルートアカウントの無効化
• VPC Flow Logの有効化
• タグフォーマットの制御

35. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

36. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
サーバへのリモートアクセス（踏み台ホスト）
37

37. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
SessionManagerによる踏み台ホストの除去
38

38. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
リモートアクセスの事前許可と事後確認
• サーバへのアクセスポート（SSH/RDP等）オープン不要
• OSのログインID/パスワード不使⽤
• オンプレミスサーバへのアクセスは追加料⾦が必要
• アドバンスドインスタンスとして 0.00695USD/時間
オンプレミスデータセンター
リソースグループA
リソースグループB

39. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
参考︓SessionManagerトンネリングによる接続
40
SSL

40. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
参考︓EC2 Instance Connectによる⼀時認証
41

41. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
参考︓サーバへのリモートアクセス⽅式⼀覧
クライ
アント
ポート
公開
認証⽅式 OS サーバに導⼊す
るもの
その他
1. 従来型 SSH/RDP 必要 OSユーザの認証
(PW, KeyPair等)
Windows/
Linux
オンプレサーバへ
の接続も可能
2. トンネリング SSH/RDP
SCP
など
不要 OSユーザの認証
(PW, KeyPair等)
Windows/
Linux
SSM Agent オンプレサーバへ
の接続も可能
ポートフォワー
ディングが可能
3. ⼀時認証 SSH
(+AWS CLI)
必要 ⼀時的に使⽤する
KeyPair (設定のため
にIAM認証認可必要)
Linux EC2 instance
connect +
sshd設定
EC2のみ
4.
SessionManager
AWS CLI
+session
manager plugin
or
マネコン
不要 IAMユーザ認証
(指定サーバへの接続
認可が必要)
Windows/
Linux
SSM Agent オンプレサーバへ
の接続も可能
操作ログ記録可能
42

42. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

43. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Config - ⾼度なクエリ
AWS Config の情報を SQLでクエリできる

44. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CloudWatch Logs Insights
CloudWatch Logsのログをインタラクティブに検索して分析できる

45. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
CloudWatch Cross-Account/Region Dashbaord
異なるアカウントやリージョンのメトリクスを1つのグラフに集約して表⽰可能
New
!
2019/11/09

46. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
アジェンダ
1. AWS の Management & Governance サービス
2. こんなこともできます
1. 必須ソフトウェア未導⼊の検知
2. AWS環境のコンプライアンスチェック
3. リモートアクセスの事前許可と事後確認
4. ログ/メトリクスの詳細な調査

47. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

48. Thank you!
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.