O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

AWS Resource Access Manager 触ってみた

240 visualizações

Publicada em

AWS Resource Access Manager 触ってみた

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

AWS Resource Access Manager 触ってみた

  1. 1. AWS Resource Access Manager 触ってみた 1
  2. 2. 柴⽥ 崇夫 所属︓電通国際情報サービス 本籍地︓横浜 好きなサービス︓Lambda, CloudFormation, Organization(最近) re:Invent、LT初参加 ⾃⼰紹介 2
  3. 3. 今⽇話すこと AWS Resource Access Manager について調べた&触ったことの報告 皆さんのRecapの助けになれば幸いです 3
  4. 4. AWS Resource Access Manager 4
  5. 5. 環境管理 (NEW) AWS Control Tower (NEW) AWS Security Hub (Update) AWS Systems Manager Inventory Automation リソース共有 (NEW) AWS Resource Access Manager (Update) Amazon VPC Shared VPC (Update) Amazon EFS 発表されたマルチアカウント環境向けサービス 5
  6. 6. AWS Resource Access Manager とは AWSアカウント間でのリソース共有を⾏うサービス。 6
  7. 7. リソースの共有先 Organization Organizational Unit (OU) AWSアカウント 7
  8. 8. 共有できるリソース Subnets Transit Gateway Resolver Rules License Configuration 8
  9. 9. 共有できるリソース Route 53 Resolver ルールのサポートを開始 (昨⽇、Shaunの素晴らしい記事で発表) し、 近いうちにさらに多くの種類のリソースを追加します。 [新しい AWS Resource Access Manager – クロスアカウントでのリソース共有 | Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/new-aws- resource-access-manager-cross-account-resource-sharing/)より 9
  10. 10. Subnets VPC SubnetをAWSアカウント間で共有する 同⼀組織内のみ共有可 Shared Subnet上で以下のサービスを起動できる EC2 RDS Redshift Lambda SecurityGroupは共有されないため各AWSアカウント毎に作成する必要がある 10
  11. 11. Subnets 請求は分割される アプリケーションリソース所有者 アプリケーションリソース(EC2, RDS, Redshift, Lambda) データ転送(AZ間、VPCピアリング、DirectConnect) VPCリソース所有者 NAT Gateway、Virtual Private Gateway、Transit Gateway、Private Link、VPCエンド ポイント 11
  12. 12. 複数のVPCや拠点間の相互接続を可能にす るマネージドサービス マルチアカウントのVPCを接続する場合は Resource Access ManagerでTransit Gatewayを共有する Transit Gatewayの詳細は @mominosin さ んのLTにて Transit Gateway 図は[新機能 – トランジットゲートウェイでネットワークアーキテクチャをシンプルに | Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/new- aws-transit-gateway/)より引⽤ 12
  13. 13. VPN/DirectConnectで接続したオンプレミ ス・VPCの相互名前解決が簡単に実現でき る オンプレミス環境からVPCの AmazonProvicedDNSへリクエストが 可能 VPCからオンプレミス環境のDNSへリ クエストが可能 Resolver Rules 図は[New – ハイブリッドクラウド⽤ Amazon Route 53 Resolver | Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/new-amazon-route-53- resolver-for-hybrid-clouds/)より引⽤ 13
  14. 14. License Configuration 商⽤ソフトウェアのライセンス管理を⾏うサービス Resource Access Managerと併⽤することで、複数アカウントのライセンス⼀括管理が可 能︖ 14
  15. 15. 共有リソースに対する権限 リソース所有者 リソース被共有者 リソース利⽤ O O リソース編集 O X リソース削除 O X リソース再共有 O X リソース共有解除 O △(後述) リソース所有者にはリソース被共有者が作成したリソース(例えばSharedVPC上のEC2イ ンスタンスなど)は⾒えない 15
  16. 16. 共有リソースに対する権限 タグは共有されない 細かい挙動はサービスに依る(編集・閲覧できなかったり、AWSアカウント毎に設 定できたり) リソース共有に対するIAM Policyのようなアクセス制御はない 16
  17. 17. AZ ID To ensure that resources are distributed across the Availability Zones for a Region, we independently map Availability Zones to names for each account. For example, the Availability Zone us-east-1a for your AWS account might not have the same location as us-east-1a for another AWS account. For more information, see Regions and Availability Zones in the Amazon EC2 User Guide. To coordinate Availability Zones across accounts, you must use the AZ ID, which is a unique and consistent identifier for an Availability Zone. For example, use1-az1 is an AZ ID for the us-east-1 Region and it is the same location in every AWS account. AZが同じでもアカウントAとアカウントBでロケーションが異なる可能性がある ロケーションを揃えるにはAZ IDを使⽤する 17
  18. 18. ハマったところ License Configuration 被共有者アカウントからLicense configurationの更新ができなかった。 Organizationの権限設定ミスが原因︖調査中。 18
  19. 19. ハマったところ 共有リソースに対する権限 リソース被共有者から共有リソースの共有解除ができなかった。原因調査中。 Organizationの権限設定ミスが原因︖調査中。 19
  20. 20. 理解できていないところ AZ ID AZが同じでもアカウントAとアカウントBでロケーションが異なる可能性がある。 ロケーションを揃えるにはAZ IDを使⽤する。 どうやってアカウント間でAZ IDを揃えるのか︖ 20
  21. 21. 所感 AWS Organization(re:Invent2016発表)を始め、マルチアカウント環境向けのサービス が登場している 組織でAWSを利⽤する場合、ほぼマルチアカウント運⽤になる プロジェクト毎、環境毎(開発/本番アカウント) ⼀括請求、SCP 今後、よりアカウント間でリソースが密接に共有された形でのマルチアカウント運⽤が 実現する︖ アカウント間がスパゲッティにならないよう注意する必要あり︖ 21
  22. 22. まとめ AWS Resource Access Managerについて調べたこと&触ったことを発表した AWSアカウト間でのリソース共有を⾏うサービス 共有できるリソース Subnets, Transit Gateway, Resolver Rules, License Configuration 更に増える予定 22

×