PowerPoint プレゼンテーション

(1)

S U M M I T

AWS の利用時に

おさえておきたいのこと

高山博史

Well-Architected Specialist SA

Amazon Web Services Japan

株式会社

C 1 - 0 1 , A 1 - 0 7

10

Framework

の活用

(2)

本セッションの目的

これからAWSを使う方、最近AWSを使い始めた方が…

AWS利用時に

最低限おさえておきたい設定などを理解する

(3)

S U M M I T

本セッションの目的

これからAWSを使う方、最近AWSを使い始めた方が…

AWS利用時に

最低限おさえておきたい設定などを理解する

AWS活用のベストプラクティス集を活用する

その際に…

(4)

本セッションの流れ

AWS Well-Architected Framework(W-A) の…

• 全体像(概要)を理解する

AWS 利用時におさえておきたい10のこと

• セキュリティ(5項目)

• 信頼性 (2項目)

• コスト最適化 (3項目)

まとめ

(5)

S U M M I T

自己紹介

[所属/名前]

・髙山博史(たかやまひろし)

・アマゾンウェブサービスジャパン株式会社

(2011/09〜)

[役割]

→お客様への技術支援、コスト最適化支援

( AWS Well-Architected Framework

活用による、ビジネス成功のお手伝い)

Specialist SA

(6)

資料は追って公開しますので、

詳細は資料でご確認ください

(7)

S U M M I T

AWS Well-Architected Framework(W-A)とは ?

・AWSのソリューションアーキテクト(SA)とお客様が長年にわたり数多くの経験から作り上げたもの

システム設計・運用の”大局的な”考え方とベストプラクティス集

Your team

TECHNICAL &

BUSINESS LEADS

Solutions

Architect

(8)

AWS Well-Architected Framework(W-A)とは ?

・AWSのソリューションアーキテクト(SA)とお客様が長年にわたり数多くの経験から作り上げたもの

・AWSとお客様と共に、

W-Aも常に進化し続ける

システム設計・運用の”大局的な”考え方とベストプラクティス集

Your team

TECHNICAL &

BUSINESS LEADS

Solutions

Architect

(9)

S U M M I T

設計原則と(質問と回答形式)のベストプラクティス集

あくまでも設計”原則“なので、実装の詳細やアーキテクチャパターンは扱っていない

コストの

セキュリティ信頼性 ^{パフォーマンス} 最適化効率

運用の優秀性

AWS Well-Architected Framework ホワイトペーパー

(10)

AWS Well-Architected Framework ホワイトペーパー

設計原則と(質問と回答形式)のベストプラクティス集

実際の開発者だけでなく、プロダクトマネージャーやユーザ企業もおさえておきたい内容

コストの

セキュリティ信頼性 ^{パフォーマンス} 最適化効率

運用の優秀性

(11)

S U M M I T

設計原則 (Design Principles)

クラウドでの一般設計原則

必要なキャパシティを勘に頼らない 本番規模でのシステムテストを行う

アーキテクチャ試行の回数を増やすために自動化を取り入れる 発展的なアーキテクチャを受け入れる

データ計測に基づいてアーキテクチャを決定する

本番で想定されるトラブルをあらかじめテストし、対策する

(12)

質問と回答形式でのベストプラクティス

「ベストプラクティスの質問」を活用→”W-Aレビュー”

[OPS4]

デプロイのリスクをどのように軽減していますか？

[SEC3] AWSサービスへのプログラムによるアクセスをどのように制御していますか？

[REL7]

システムがコンポーネントのエラーに耐えるようにどのように設計していますか？

[PER2]

コンピューティングソリューションをどのように選択していますか？

[COST6] AWS使用量とコストをどのようにモニタリングしていますか？

合計46個のベストプラクティスの質問に答えて、

設計中/運用中システムとの差分(改善点・リスク)を把握する

…

(13)

S U M M I T

質問と回答形式でのベストプラクティス

「ベストプラクティスの質問」を活用

[OPS4]

[SEC3] AWSサービスへのプログラムによるアクセスをどのように制御していますか？

[REL7]

[PER2]

[COST6] AWS使用量とコストをどのようにモニタリングしていますか？

合計46個のベストプラクティスの質問に答えて、

設計中/運用中システムとの差分(改善点・リスク)を把握する

…

全項目ベストプラクティスに

則っていないとダメなのか？

(14)

質問と回答形式でのベストプラクティス

「ベストプラクティスの質問」を活用

[OPS4]

[SEC3] AWSサービスへのプログラムによるアクセスをどのように制御していますか？

[REL7]

[PER2]

[COST6] AWS使用量とコストをどのようにモニタリングしていますか？

合計46個のベストプラクティスの質問に答えて、

設計中/運用中システムとの差分(改善点・リスク)を把握する

…

全項目ベストプラクティスに則っていないとダメなのか？

ベストプラクティスを知った上で、

皆様が「(ビジネス的な)判断をする」ための手法

→リスクや改善点の”顕在化”

(15)

S U M M I T

AWS Well-Architected Framework の構成要素 ( 〜 2018 年)

①

ベストプラクティスが記載された

Well-Architectedホワイトペーパー

②

レビューをお手伝いして、設計・構築・運用を支援する

AWSのSA

②AWSのSA

コストの セキュリティ 信頼性 ^{パフォーマンス} 最適化

効率 運用の

優秀性

①AWS Well-Architected

Frameworkホワイトペーパー

(16)

Well-Architected パートナープログラム発表(re:Invent2018)

AWS re:Invent 2018 - Keynote with Werner Vogels AWS re:Invent 2018 - Global Partner Keynote

AWS Well-Architected Framework の構成要素 (2019 年〜)

(17)

S U M M I T

①

ベストプラクティスが記載された

Well-Architectedホワイトペーパー

②

レビューをお手伝いして、設計・構築・運用を支援する

SA

^もしくは

W-A パートナー

③

「ベストプラクティスとのギャップ」をセルフチェック出来る

AWS Well-Architected Tool

②AWSのSA^もしくは

W-Aパートナー

③

W-A Tool

コストの セキュリティ 信頼性 ^{パフォーマンス} 最適化

効率 運用の

優秀性

①AWS Well-Architected

Frameworkホワイトペーパー

AWS Well-Architected Framework の構成要素 (2019 年〜)

(18)

日本のWell-Architectedパートナー

(2019 年 6 月 12 日現在 )

(19)

S U M M I T

(20)

AWS利用開始時に最低限おさえておきたいこと

セキュリティ

(5項目)

コスト最適化 (3項目)

信頼性 (2項目)

今回はW-Aから「特に優先度の高いのにもかか

わらず、わりと見落とされがち」な10項目を抜

粋してエッセンスをご紹介

(21)

S U M M I T

AWS利用開始時に最低限おさえておきたいこと

(5項目)

コスト最適化 (3項目)

信頼性 (2項目)

今回はW-Aから「特に優先度の高いのにもかかわらず、わりと見落とされがち」な10項目を抜粋してエッセンスをご紹介

扱っているのは「最低限知っておいていただきたいこと」なので…

ぜひW-Aホワイトペーパーもご覧ください

(22)

AWS利用開始時に最低限おさえておきたいこと

(5項目)

コスト最適化 (3項目)

信頼性 (2項目)

今回はW-Aから「特に優先度の高いのにもかかわらず、わりと見落とされがち」な10項目を抜粋してエッセンスをご紹介

扱っているのは「最低限知っておいていただきたいこと」なので…

ぜひW-Aホワイトペーパーもご覧ください

[REL6]

バックアップを取得し、定期的なリカバリテストで

RTO・RPOを満たすことを確認している

[REL7]

マルチAZでシステムが実行されている 疎結合なアーキテクチャを採用している

障害を監視し自動的に回復する仕組みがある

[COST2]

請求ダッシュボードやAWS Cost Explorerで積極的に使用料金を把握し、分析している

[COST5]

メトリクスに基づき、サイジングを実施している

で[検索]

AWS 活用資料

(23)

S U M M I T

特にセキュリティは、全11項に目を通していただきたいのですが、

“特に漏れがち”な5項目を抜粋で…

(24)

AWS Well-Architected Framework

ホワイトペーパーより…

セキュリティの質問(抜粋)

[SEC 1]

ワークロードの認証情報と認証をどのように管理していますか？

[SEC 2] AWSサービスへの人為的なアクセスを

どのように制御していますか？

[SEC 3] AWSサービスへのプログラムによるアクセスを

(25)

S U M M I T

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 4]

ワークロードのセキュリティイベントをどのように検知し調査していますか？

[SEC 6]

ネットワークをどのように保護していますか？

(26)

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 1]

[SEC 2] AWSサービスへの人為的なアクセスを

[SEC 3] AWSサービスへのプログラムによるアクセスを

(27)

S U M M I T

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 1] AWSルートアカウントには必ずMFA(他要素認証)を設定し、

最小限の利用に留める(極力使用しない)

[SEC 2] AWSサービスへの人為的なアクセスを

[SEC 3] AWSサービスへのプログラムによるアクセスを

(28)

1.AWSルートアカウントは最小限の利用に留める

AWSルートアカウントとは？

•

アカウント作成時のメールアドレスと設定したパスワードでのサインイン

•

アカウントの全ての

AWS サービスとリソースへの完全なアクセス権限を持つ

AWSルートアカウントはMFAを設定し、”極力”利用しない

•

十分に強度の強いパスワードを設定したの上、

多要素認証(MFA)で保護し、通常は極力利用しないような運用を推奨

• Security CredentialのページからAccess Keyを削除する

(ただしAccess Keyを使用していないか確認が必要)

一部、ルートアカウントが必要となる操作もある

(https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws_tasks-that-require-root.html)

(29)

S U M M I T

1.AWSルートアカウントは最小限の利用に留める

ルートアカウントではなくIAMを利用する

AWS Identity and Access Management (IAM)とは？

• AWSリソースへのアクセスを安全に制御するためのサービス

以下の機能を提供

ユーザ/認証情報管理

• IAMユーザ / パスワード

• MFA (多要素認証)

•

認証情報のローテーション

AWS リソースへの安全なアクセス

• IAMロール

アクセス権限管理

• IAMグループ

• IAMポリシー

(30)

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 1]

[SEC 2] AWSサービスへの人為的なアクセスを

[SEC 3] AWSサービスへのプログラムによるアクセスを

(31)

S U M M I T

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 1]

[SEC 2]

ユーザに各個人に固有の認証情報(IAMユーザ)を払い出し、

必要に応じた最小限の権限を付与する

[SEC 3] AWSサービスへのプログラムによるアクセスを

(32)

2. ユーザには最小限の権限を付与する

IAMユーザとIAMグループとは？

IAMユーザ

• AWS操作用のユーザ。マネジメントコンソールへのサインインや、API ま

たは

CLIの使用時に利用する

•

名前、マネジメントコンソールにサインインするためのパスワード、API

または

CLI で使用できるアクセスキーで構成されている

IAMグループ

• IAMユーザをまとめるグループ

• AWSサービスへのアクセス権限をJSON形式でポリシーを記述

(33)

S U M M I T

2. ユーザには最小限の権限を付与する

“ユーザごと”に最小限の権限を付与したIAMユーザを払い出す

•

最小限のアクセス権限から開始し、必要に応じて追加のアクセス権限を付与する

• IAMユーザとIAMグループを利用する

•

特権のある

IAM ユーザに対してはMFAを有効化する

(34)

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 1]

[SEC 2] AWSサービスへの人為的なアクセスを

[SEC 3] AWSサービスへのプログラムによるアクセスを

(35)

S U M M I T

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 1]

[SEC 2] AWSサービスへの人為的なアクセスを

[SEC 3]

認証情報(シークレットキー/アクセスキー)を

ハードコーディングせず、IAMロールを活用する

(36)

3. 認証情報をコードに埋め込まない

IAMロールとは？

• Amazon EC2のようなAWSサービスに対して、

AWS操作権限を付与するための仕組み

•

認証情報はSTS(Security Token Service)で生成し、

自動的に認証情報のローテーションが行われる

EC2やAWS LambdaにはIAMロール利用

•

認証情報をOSやアプリケーション側に持たせる必要がなく、

認証情報の漏えいリスクを低減可能

(37)

S U M M I T

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 4]

[SEC 6]

(38)

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 4]

セキュリティ関連のログ取得し、

一元的に監視と分析をする

[SEC 6]

(39)

S U M M I T

4. セキュリティ関連ログの取得と監視

AWS CloudTrailによる操作ログの取得を設定する

• AWSユーザのAPI操作などのアクションをログ取得保存するサービス

•

セキュリティインシデント発生時の分析に活用

AWS Configを有効化する

• AWSリソース(EC2やVPCなど)ごとの構成変更履歴を記録することが出来る

その他ログも有効化する(手動での有効化が必要)

• Amazon API Gateway

• VPC Flow Logs

• ELB

• Amazon CloudFront

• Amazon S3バケット

(40)

4. セキュリティ関連ログの取得と監視

監視だけ通知の自動化も重要…

Amazon GuardDutyの活用

• CloudTrailやVPC Flow Logs等のデータから

疑わしいアクティビティを検知するサービス

• GuardDutyはAWSが管理する基盤で動作し、

エージェント等の導入は不要で性能影響もなし

(41)

S U M M I T

4. セキュリティ関連ログの取得と監視

セキュリティとコンプライアンスを一元的に管理可能したい…

AWS Security Hubの活用

•

脅威検出結果、脆弱性スキャン結果、機密データ識別結果など、お客様の環境で発見されたセキュリティサービスから結果を集約

(42)

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 4]

[SEC 6]

(43)

S U M M I T

AWS Well-Architected Framework

セキュリティの質問(抜粋)

[SEC 4]

[SEC 6]

各レイヤでのセキュリティ対策を実施する アクセス設定は必要最低限に設定する

(44)

5. 各レイヤでのセキュリティ対策

ネットワークのアクセス設定を必要最低限に設定

•

インターネット等の外部からのアクセスを必要最小限に限定していなかったり、

不必要なポートが開いていたりサービスが稼働していると外部からの攻撃を受けるリスクとなる

ネットワークレイヤ –ネットワークACL-

• VPCのサブネット単位で設定するスレートレスな

ファイアーウォール

各リソース

(EC2, Amazon RDSなど) –セキュリティグループ-

•

インスタンス(グループ)単位に設定するステートフルなファイアーウォール

(45)

S U M M I T

5. 各レイヤでのセキュリティ対策

EC2へのアクセスをセキュアに

AWS Systems Managerのセッションマネージャー

•

インバウンドポートを開いたり、踏み台ホストを維持したり、SSH キーを管理したりすることなく、安全で監査可能なインスタンスの管理を提供

(46)

5. 各レイヤでのセキュリティ対策

ネットワーク境界での防御オプションを活用

AWS WAF

•

ウェブアプリケーションを対象とした悪意のあるウェブリクエストを検出し、

ブロックすることを助ける

Web アプリケーションファイアウォール

AWS Shield

•

分散サービス妨害

(DDoS) に対する保護サービス

•

全てのユーザはデフォルトで自動的に“Standard”プランの保護適用が設定済。

さらに高度なレベルの保護が必要な場合は、“Advanced”プランも選択可能

(47)

S U M M I T

(48)

AWS Well-Architected Framework

信頼性の質問(抜粋)

[REL6]

どのようにデータのバックアップをしていますか？

[REL7]

(49)

S U M M I T

AWS Well-Architected Framework

信頼性の質問(抜粋)

[REL6]

[REL7]

(50)

AWS Well-Architected Framework

信頼性の質問(抜粋)

[REL6]

RTO・RPOを満たすことを確認している

[REL7]

(51)

S U M M I T

Instance

6. データのバックアップ

AWS各サービスのバックアップ機能を活用する① Amazon EC2のAMI

•

必要に応じて、EC2の

Amazonマシンイメージ (AMI)を作成 Amazon EBSのスナップショット

•

必要に応じて、EBSのスナップショットを取得

AMI作成 AMIから

EC2起動

スナップショット

作成

スナップショットから

EBS作成

トラブル発生時を想定した、復旧テストで手順を確認し、

RTO/RPOを確認しておくことを推奨

EC2 AMI

Snapshot Volume

Instance

Volume

(52)

6. データのバックアップ

AWS各サービスのバックアップ機能を活用する②

RDSの自動バックアップ機能

• 1日1回のスナップショット取得と、スナップショット取得から5分前

までのトランザクションログ取得し、Point-in-Timeリカバリ(DBインスタンス作成)を実現

トラブル発生時を想定した、復旧テストで手順を確認し、

RTO/RPOを確認しておくことを推奨

(53)

S U M M I T

AWS Well-Architected Framework

信頼性の質問(抜粋)

[REL6]

[REL7]

(54)

AWS Well-Architected Framework

信頼性の質問(抜粋)

[REL6]

[REL7]

(55)

S U M M I T

7. 障害や不具合への対策

単一障害点の排除

•

冗長化しておくなどの準備が重要(…ですが本セッションでは詳細は扱いません)

この1台が停止しても、

システムの停止にはつながらない

Availability Zone Availability Zone

(56)

7. 障害や不具合への対策

例として…すぐに出来る対策

RDSのMultiAZデプロイメント(オプション)

•

同期レプリケーション(冗長化)と自動フェイルオーバーを実現

•

データ冗長化と、可用性向上を実現できる

•

非常に有効なので本番環境では、

必ず設定すべきオプション

Availability zone Availability zone

DB Instance DB instance

(RDSだけではなく…)

各種マネージドサービスの活用が 信頼性向上に効果的

(57)

S U M M I T

(58)

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2] AWS使用量とコストを

どのようにモニタリングしていますか？

[COST5]

コスト目標を達成するためにインスタンスタイプとサイズをどのように選択していますか？

[COST6]

コスト削減のために料金モデルをどのように選択していますか？

(59)

S U M M I T

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2] AWS使用量とコストを

[COST5]

[COST6]

(60)

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2]請求ダッシュボードやAWS Cost Explorerで

積極的に使用料金を把握し、分析している

[COST5]

[COST6]

(61)

S U M M I T

8. 使用料金の把握[ 準備 ]

IAMユーザの請求情報へアクセス有効化

• IAMユーザが請求情報にアクセス出来るようにするための設定。IAMポリ

シーとは別に設定が必要

(https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/grantaccess.html)

コストエクスプローラーの有効化

•

料金情報可視化ツールのコストエクスプローラーも有効化することを推奨

(https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/cost-explorer-access.html)

ルートアカウントでの操作が必要

(62)

8. 使用料金の把握①

請求情報とコスト管理ダッシュボード、請求書

•

利用状況サマリとサービスごとのご利用状況が確認可能

•

日頃から確認することを推奨

(63)

S U M M I T

8. 使用料金の把握②

コストエクスプローラー

•

サービスごとや、アカウントなど様々なビューで、

使用量と使用料金が確認可能

•

コストエクスプローラー有効化後のデータが閲覧対象になる

(64)

8. 使用料金の把握③

AWS Budgetsの活用

•

利用状況を監視し、事前に設定した閾値を越えたら通知することが可能

•

設定した閾値を越えた場合、Simple Notification Service(SNS)にて通知

SNSの機能により、EメールやHTTP/HTTPS等で通知出来る

(65)

S U M M I T

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2] AWS使用量とコストを

[COST5]

[COST6]

(66)

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2] AWS使用量とコストを

[COST5]メトリクスに基づき、サイジングを実施している

[COST6]

(67)

S U M M I T

9. メトリクスに基づいたサイジング

AWS CloudWatchでリソース利用状況を把握する

• AWS上で稼働するシステム監視サービス

•

システム全体のリソース使用率、アプリケーションパフォーマンスを把握

• (CloudWatch LogsでOS上やアプリケーションのログも取得可能)

AutoScaling EC2 Action [Custom Metric]

Memory Free / Filesystem Free Notification

CPUUtilization

DiskReadBytes / DiskWriteBytes / NetworkIn / NetworkOut

Alarm

(68)

9. メトリクスに基づいたサイジング

利用状況に応じた適切なインスタンスタイプなどを選択

→使用率が安定している場合

•

→使用率が低い/高い場合は、インスタンスファミリーやタイプの見直し

•

使用率が適切な場合は、リザーブドインスタンス(後述)の購入も検討

使用率が一定でない場合

•

時刻ごとの台数増減、AutoScaling活用を検討

•

バッファベース(Amazon SQSや

Amazon Kinesisを活用した)

の処理も検討

(69)

S U M M I T

9. メトリクスに基づいたサイジング

インスタンスタイプの見直しを検討する インスタンスファミリーとサイズ

•

利用特性に合わせて、汎用(M5,M4,T2)、コンピューティング最適化

(C5,C4)、メモリ最適化(R5,R4)などのインスタンスファミリーと、サイズ (large,smallなど)を選択

m5 . xlarge

インスタンス

ファミリー(特性) 世代サイズ

(70)

9. メトリクスに基づいたサイジング

最新インスタンスファミリーを活用する

•

最新インタンスファミリーのほうが高性能かつ安価なことが多い

•

アジアパシフィック(東京)のEC2メモリ最適化インスタンスの価格比較例

vCPU 4コア(ECU13.5)

メモリ30.5GB

vCPU 4コア(ECU13.0)

メモリ30.5GB

R3とR4ではR4の方が約20%安価

*インスタンスタイプによる異なる

r4.xlarge r3.xlarge

$ 0.3200 $ 0.3990

vCPU 4コア(ECU16.0)

メモリ32.0GB

r5.xlarge

$0.3040

R3とR5ではR5の方が約24%安価

(71)

S U M M I T

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2] AWS使用量とコストを

[COST5]

[COST6]

(72)

AWS Well-Architected Framework

コスト最適化の質問(抜粋)

[COST2] AWS使用量とコストを

[COST5]

[COST6]利用率を分析し、購入オプションを検討している

リージョン毎の料金差も考慮している

(73)

S U M M I T

10. まずリージョン毎の価格差を考慮

アジアパシフィック(東京)以外のリージョンも検討する

•

より安価なリージョンを選択出来るようになる場合もある。コンプライアンスやレイテンシなどのビジネス要件を踏まえつつも、価格比較することが重要

アジアパシフィック(東京)

$38.688

米国西部(オレゴン)

$26.688

EC2 x1e.32xlargeの時間単価

x1e.32xlargeの例では、米国西部(オレゴン)が31%安価

(74)

10. 購入オプションの活用

利用状況に応じた適切なインスタンスタイプなどを選択

→使用率が安定している場合

•

使用率が低い/高い場合は、インスタンスファミリーやタイプの見直し

•

→使用率が適切な場合は、リザーブドインスタンス(後述)の購入も検討

使用率が一定でない場合

•

時刻ごとの台数増減、AutoScaling活用を検討

•

バッファベース(Amazon SQSや

Amazon Kinesisを活用した)

の処理も検討

(75)

S U M M I T

10. 購入オプションの活用

購入オプションを検討する①

-時間課金系サービス-

• AWSには、さまざまな購入オプションがあります。お客様のビジネスニー

ズに合った最も費用対効果の高い購入オプションを選択してください

リザーブドインスタンス

(オプション)

オンデマンドインスタンス

(デフォルト)

長期(1年or3年)の 利用コミットによる

割引の適用(最大75%引) 初期費用なし、

コミットなしの従量課金

スポット

インスタンス

(オプション・EC2のみ)

AWS余剰リソースを

より安価に利用可能

(76)

10. 購入オプションの活用

購入オプションを検討する①

-時間課金系サービス-

• AWSには、さまざまな購入オプションがあります。お客様のビジネスニー

ズに合った最も費用対効果の高い購入オプションを選択してください

・常時稼働しているサーバ

- DB,キャッシュサーバ

- (最低限必要の)Web/Appサーバ

・分散処理のタスクノード、クローラ

・メディアプロセッシング

・ピークなど増減するWeb/Appサーバ

・一時利用のキャンペーンサイト

・昼にしか使わない開発サーバ

活用シーン拡大中リザーブド

インスタンス

(オプション)

オンデマンドインスタンス

(デフォルト)

長期(1年or3年)の 利用コミットによる

割引の適用(最大75%引) 初期費用なし、

コミットなしの従量課金

スポット

インスタンス

AWS余剰リソースを

より安価に利用可能

(77)

S U M M I T

10. 購入オプションの活用

リザーブドインスタンスの適用箇所を検討

•

コストエクスプローラーの”リザーブドインスタンス推奨事項”を参照する

•

何をRIにすると、どれだけ安くなるかという分析を提案(EC2,RDS, ElastiCache,

Elasticserch Service, Redshiftに対応)

(78)

10. 購入オプションの活用

その他購入オプション②

•

その他、さまざまな購入オプションがあります。お客様のビジネスニーズに合った最も費用対効果の高い購入オプションを検討

Amazon Cloudfront

リザーブド

キャパシティ

長期(1年)利用コミットによる割引料金の適用

Amazon DynamoDB

リザーブド

キャパシティ

長期(1年)利用コミットによる割引料金の適用

(79)

S U M M I T

で[検索]

AWS 10のこと

(80)

AWS Well-Architected Framework(W-A)とは ?

• 10年以上の経験、数多くのお客様と作りあげた

クラウド設計・運用のベストプラクティス集

•

ベストプラクティスをご理解いただいた上で、

ビジネス的な判断を実施いただくための材料

•

定期的なレビューとKAIZENにより、

Well-Architected(クラウドにより最適化された)な

全てがベストプラクティスに則っている必要は無い

(81)

S U M M I T

最低限おさえておきたい10 のこと

AWS Well-Architected Framework

[SEC 1] AWSルートアカウントには必ずMFA(他要素認証)を設定し、

最小限の利用に留める(極力使用しない)

[SEC 2]

ユーザに各個人に固有の認証情報(IAMユーザ)を払い出し、

必要に応じた最小限の権限を付与する

[SEC 3]

認証情報(シークレットキー/アクセスキー)を

ハードコーディングせず、IAMロールを活用する

[SEC 4]

セキュリティ関連のログ取得し、一元的に監視と分析をする

[SEC 6]

各レイヤでのセキュリティ対策を実施する。アクセス設定は必要最低限に設定する

(82)

最低限おさえておきたい10 のこと

AWS Well-Architected Framework

[REL6]

RTO・RPOを満たすことを確認している

[REL7]

[COST2]

[COST5]

[COST6]

利用率を分析し、購入オプションを検討している

(83)

S U M M I T

最低限おさえておきたい10 のこと

AWS Well-Architected Framework

[REL6]

RTO・RPOを満たすことを確認している

[REL7]

[COST2]

[COST5]

[COST6]

利用率を分析し、購入オプションを検討している リージョン毎の料金差も考慮している

で[検索]

AWS 活用資料

(84)

— Provision

— Operate

AWS management and governance services

— Enable

BUSINESS AGILITY + GOVERNANCE CONTROL

(85)

S U M M I T

— Operate

AWS management and governance services

BUSINESS AGILITY + GOVERNANCE CONTROL

Amazon CloudWatch

AWS CloudTrail

AWS Systems Manager

AWS Config

AWS Trusted Advisor

AWS Cost and Usage Report

AWS

Cost Explorer

(86)

Operate with agility + control ^Operate

Optimize to reduce cost and improve security posture Amazon CloudWatch

AWS Trusted Advisor

AWS Cost and Usage Report AWS Cost Explorer

AWS Systems Manager AWS CloudTrail

AWS Config

(87)

S U M M I T

本セッションでご紹介した内容は…

•

主に「AWS利用開始直後のお客様」に向けて、AWS上にシステムを設計、構築、運用する際のベストプラクティス集”AWS Well-

Architected Framework”から、特に優先度が高い -AWSを利用開

始時におさえておきたい- 10項目を抜粋してご紹介しました(全46項目 のうちの10項目)

PowerPoint プレゼンテーション

S U M M I T

AWS の利用時に

おさえておきたい のこと

Well-Architected Specialist SA

Amazon Web Services Japan

C 1 - 0 1 , A 1 - 0 7

10

Framework

本セッションの目的

AWS利用時に

最低限おさえておきたい設定などを理解する

S U M M I T

本セッションの目的

AWS利用時に

最低限おさえておきたい設定などを理解する

AWS活用のベストプラクティス集を活用する

本セッションの流れ

AWS Well-Architected Framework(W-A) の…

• 全体像(概要)を理解する

AWS 利用時におさえておきたい10のこと

• セキュリティ(5項目)

• 信頼性 (2項目)

• コスト最適化 (3項目)

まとめ

S U M M I T

自己紹介

[所属/名前]

(2011/09〜)

[役割]

( AWS Well-Architected Framework

Specialist SA

S U M M I T

AWS Well-Architected Framework(W-A)とは ?

・AWSのソリューションアーキテクト(SA)とお客様が 長年にわたり数多くの経験から作り上げたもの

システム設計・運用の”大局的な”考え方と ベストプラクティス集

Your team

Solutions

Architect

AWS Well-Architected Framework(W-A)とは ?

・AWSのソリューションアーキテクト(SA)とお客様が 長年にわたり数多くの経験から作り上げたもの

・AWSとお客様と共に、

W-Aも常に進化し続ける

システム設計・運用の”大局的な”考え方と ベストプラクティス集

Your team

Solutions

Architect

S U M M I T

設計原則と(質問と回答形式)のベストプラクティス集

あくまでも設計”原則“なので、実装の詳細や アーキテクチャパターンは扱っていない

AWS Well-Architected Framework ホワイトペーパー

AWS Well-Architected Framework ホワイトペーパー

設計原則と(質問と回答形式)のベストプラクティス集

実際の開発者だけでなく、プロダクトマネージャーや ユーザ企業もおさえておきたい内容

S U M M I T

設計原則 (Design Principles)

クラウドでの一般設計原則

質問と回答形式でのベストプラクティス

「ベストプラクティスの質問」を活用→”W-Aレビュー”

[OPS4]

[SEC3] AWSサービスへのプログラムによるアクセスをどのように制御していますか？

[REL7]

[PER2]

[COST6] AWS使用量とコストをどのようにモニタリングしていますか？

合計46個のベストプラクティスの質問に答えて、

設計中/運用中システムとの差分(改善点・リスク)を把握する

…

S U M M I T

質問と回答形式でのベストプラクティス

「ベストプラクティスの質問」を活用

[OPS4]

[SEC3] AWSサービスへのプログラムによるアクセスをどのように制御していますか？

[REL7]

[PER2]

[COST6] AWS使用量とコストをどのようにモニタリングしていますか？

合計46個のベストプラクティスの質問に答えて、

設計中/運用中システムとの差分(改善点・リスク)を把握する

…

全項目ベストプラクティスに

則っていないとダメなのか？

おさえておきたいのこと

・AWSのソリューションアーキテクト(SA)とお客様が長年にわたり数多くの経験から作り上げたもの

システム設計・運用の”大局的な”考え方とベストプラクティス集

・AWSのソリューションアーキテクト(SA)とお客様が長年にわたり数多くの経験から作り上げたもの

システム設計・運用の”大局的な”考え方とベストプラクティス集

あくまでも設計”原則“なので、実装の詳細やアーキテクチャパターンは扱っていない

実際の開発者だけでなく、プロダクトマネージャーやユーザ企業もおさえておきたい内容

全項目ベストプラクティスに則っていないとダメなのか？

今回はW-Aから「特に優先度の高いのにもかかわらず、わりと見落とされがち」な10項目を抜粋してエッセンスをご紹介

今回はW-Aから「特に優先度の高いのにもかかわらず、わりと見落とされがち」な10項目を抜粋してエッセンスをご紹介