Management & Governance on AWS こんなこともできます

Management & Governance on AWS こんなこともできます

1. 1. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Management & Governance on AWS こんなこともできます Amazon Web Services Japan ソリューションアーキテクト ⼤村幸敬 2019/11/11
2. 2. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ⼤村 幸敬 (おおむら ゆきたか) ソリューションアーキテクト • これからクラウドを使いはじめる エンタープライズ企業をサポート • Management & Governance サービス DevOps 系サービスを担当 好きなAWSのサービス︓ AWS CLI, AWS CDK
3. 3. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジェンダ 1. AWS の Management & Governance サービス 2. こんなこともできます 1. 必須ソフトウェア未導⼊の検知 2. AWS環境のコンプライアンスチェック 3. リモートアクセスの事前許可と事後確認 4. ログ/メトリクスの詳細な調査
4. 4. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
5. 5. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. IT Management と IT Governance
6. 6. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ビジネスアジリティと ガバナンスコントロール ガバナンス — アジリティ —
7. 7. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ビジネスアジリティと ガバナンスコントロール ꟷ ガバナンス — アジリティ — 実験 ⾼い⽣産性 変化への迅速な追従
8. 8. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. Why AWS Management&Governance Services? スケール 経験 シンプル カバレッジ 3rdパーティ ツール コスト削減
9. 9. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ̶ プロビジョニング ̶ オペレーション AWS の マネジメントとガバナンスサービス ̶ 有効化 ビジネスアジリティ + ガバナンスコントロール
10. 10. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS の マネジメントとガバナンスサービス ビジネスアジリティ + ガバナンスコントロール ̶ 有効化 AWS Control Tower AWS Organizations AWS Budgets AWS License Manager
11. 11. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとガバナンスを 有効化 有効化 継続的に増加するAWSリソースをどのように管理するか︖
12. 12. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとガバナンスを 有効化 有効化 環境のセットアップ コントロールの有効化 コストコントロールの確⽴アカウントとポリシーの管理 継続的な改善
13. 13. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとガバナンスを 有効化 有効化 AWS Control Tower AWS Well-Architected Tool AWS Organizations AWS Budgets AWS License Manager AWS Marketplace (Private Marketplace)
14. 14. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ̶ プロビジョニング ̶ オペレーション AWS の マネジメントとガバナンスサービス ̶ 有効化 ビジネスアジリティ + ガバナンスコントロール
15. 15. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ̶ プロビジョニング AWS の マネジメントとガバナンスサービス ビジネスアジリティ + ガバナンスコントロール AWS OpsWorks AWS Marketplace AWS CloudFormation AWS Service Catalog
16. 16. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ビジネスユーザ DevOps 管理者 ⾃動化されたプロビジョニング プロビジョニング
17. 17. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ⾃動化されたプロビジョニング AWS CloudFormation AWS OpsWorks AWS Marketplace AWS Service Catalog AWS Service Catalog AWS Marketplace プロビジョニング
18. 18. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ̶ プロビジョニング ̶ オペレーション AWS の マネジメントとガバナンスサービス ̶ 有効化 ビジネスアジリティ + ガバナンスコントロール
19. 19. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ̶ オペレーション AWS の マネジメントとガバナンスサービス ビジネスアジリティ + ガバナンスコントロール Amazon CloudWatch AWS CloudTrail AWS Systems Manager AWS Config AWS Trusted Advisor AWS Cost and Usage Report AWS Cost Explorer
20. 20. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとコントロールを伴うオペレーション オペレーション 最適化 分析、コスト削減、 効率性とセキュリティの改善 対応 リソースに対する対処の実施 監査 リソースの設定、ユーザアクセス、 ポリシーの強制 監視 リソースとアプリケーションの 監視
21. 21. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとコントロールを伴うオペレーション オペレーション コスト削減の最適化とセキュリティの確保 Amazon CloudWatch AWS Trusted Advisor AWS Cost and Usage Report AWS Cost Explorer AWS Systems Manager AWS CloudTrail AWS Config
22. 22. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. プロビショニング | オペレーション | AWS の マネジメントとガバナンスサービス 有効化 | BUSINESS AGILITY + GOVERNANCE CONTROL AWS OpsWorks AWS Marketplace AWS CloudFormation AWS Service Catalog 拡張とインテグレーション AWS CloudTrail AWS Systems Manager AWS Config AWS Cost Explorer AWS Trusted Advisor Amazon CloudWatch AWS Cost and Usage Report AWS Control Tower AWS Organizations AWS Budgets AWS License Manager
23. 23. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 3rdパーティとオープンソースソリューション + THOUSANDS MORE ON THE AWS MARKETPLACE
24. 24. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
25. 25. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. ユースケース 運⽤の可視化と トラブルシューティング コスト管理 監査可能性 エンドツーエンドの ITライフサイクル管理 セキュリティ管理を スケーラブルに インベントリと 資産管理 運⽤上のインサイト とレポート 3rdパーティツールによる 拡張と統合 コンプライアンス監視と 修復アクション
26. 26. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 必須ソフトウェア未導⼊の検知
27. 27. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
28. 28. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. オンプレミスデータセンター アカウントB アカウントA ソフトウェア構成情報の収集と可視化
29. 29. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 必須ソフトウェア未導⼊の検知と修復処理の実⾏ • SSM Inventory でソフトウェア情報を収集 • AWS Config Rules でソフトウェアの導⼊状況を監視 • 違反を検知したら、通知、サーバ停⽌、インストールなどの対処を実施
30. 30. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
31. 31. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. • AWSリソースのレポジトリ情報から、 リソースの変更履歴、構成変更を管理 • 構成情報は定期的にスナップショットとして S3に保存 • 必要に応じSNSを使った通知も可能 • 構成情報を元に、現在のシステムがある べき状態になっているかを評価 • 評価基準にはAWSが適⽤するルール、もし くは独⾃のルールを適⽤ • 2019年8⽉より 評価回数に基づく料⾦とな り実質⼤幅な値引き AWS Config / Config Rules AWS Config AWS Config Rules
32. 32. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config マネージドルールによるチェック • 108 のマネージドルールが利⽤可能（2019/11/11現在）
33. 33. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS ControlTower のアカウントガードレール 「検出」の実装は AWS Config Rules のマネージドルールを使⽤
34. 34. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config Custom Rules https://github.com/awslabs/aws-config-rules/blob/master/RULES.md • ルールをカスタマイズし、環境にあったベースラインを作成 • AWS Lambda ベース • AWS Config Rules Repository • GitHub(awslabs/aws-config-rules) • IAMポリシー関連 • IAM鍵のローテーション • MFAの有効化 • ルートアカウントの無効化 • VPC Flow Logの有効化 • タグフォーマットの制御
35. 35. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
36. 36. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. サーバへのリモートアクセス（踏み台ホスト） 37
37. 37. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. SessionManagerによる踏み台ホストの除去 38
38. 38. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. リモートアクセスの事前許可と事後確認 • サーバへのアクセスポート（SSH/RDP等）オープン不要 • OSのログインID/パスワード不使⽤ • オンプレミスサーバへのアクセスは追加料⾦が必要 • アドバンスドインスタンスとして 0.00695USD/時間 オンプレミスデータセンター リソースグループA リソースグループB
39. 39. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 参考︓SessionManagerトンネリングによる接続 40 SSL
40. 40. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 参考︓EC2 Instance Connectによる⼀時認証 41
41. 41. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 参考︓サーバへのリモートアクセス⽅式⼀覧 クライ アント ポート 公開 認証⽅式 OS サーバに導⼊す るもの その他 1. 従来型 SSH/RDP 必要 OSユーザの認証 (PW, KeyPair等) Windows/ Linux オンプレサーバへ の接続も可能 2. トンネリング SSH/RDP SCP など 不要 OSユーザの認証 (PW, KeyPair等) Windows/ Linux SSM Agent オンプレサーバへ の接続も可能 ポートフォワー ディングが可能 3. ⼀時認証 SSH (+AWS CLI) 必要 ⼀時的に使⽤する KeyPair (設定のため にIAM認証認可必要) Linux EC2 instance connect + sshd設定 EC2のみ 4. SessionManager AWS CLI +session manager plugin or マネコン 不要 IAMユーザ認証 (指定サーバへの接続 認可が必要) Windows/ Linux SSM Agent オンプレサーバへ の接続も可能 操作ログ記録可能 42
42. 42. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
43. 43. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Config - ⾼度なクエリ AWS Config の情報を SQLでクエリできる
44. 44. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. CloudWatch Logs Insights CloudWatch Logsのログをインタラクティブに検索して分析できる
45. 45. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. CloudWatch Cross-Account/Region Dashbaord 異なるアカウントやリージョンのメトリクスを1つのグラフに集約して表⽰可能 New ! 2019/11/09
46. 46. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジェンダ 1. AWS の Management & Governance サービス 2. こんなこともできます 1. 必須ソフトウェア未導⼊の検知 2. AWS環境のコンプライアンスチェック 3. リモートアクセスの事前許可と事後確認 4. ログ/メトリクスの詳細な調査
47. 47. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
48. 48. Thank you! © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.