BEELT 非インフラエンジニアがAWS個別技術相談会に行った結果、すごく為になった話

Transcript

1. 非インフラエンジニアがAWS個 別技術相談会に行った結果、す ごく為になった話 BEENOS株式会社　システム開発部　椎名優貴

2. Webデザイナーとしてキャリアスタート 食品会社で楽天ショップ、自社ECサイトを立ち上 げる BEENOSに中途入社 BEENOS卒業 BEENOS再入社　 • 再入社の経緯は「BEENOS ブログ」に掲載 されています

   椎名 優貴　BEENOS株式会社　新規事業開発エンジニア 2007年 2008年 2015年 2018年 2019年

3. とあるスタートアップに一人目のエン ジニアとして入社した時の話しです。

4. • 本番のDBが外部からアクセス可能 • 3000リクエスト/日程度のAPIサーバーに約15万/月の費用がか かっていた • AWSコンソールにログインするユーザーを使い回している 入社後すぐに不安を感じた

5. None

6. AWS Well-Architected Frameworkとは？ AWSのソリューションアーキテクト（ SA）が、10年以上に渡り、様々な業種業界、数多くのお客様のアーキテク チャ設計および検証をお手伝いしてきた経験から作成したクラウドアーキテクチャ設計・運用のクラウドベスト プラクティス集です。また AWSは進化を続け、SAがお客様との共同作業で学ぶこともつきないため、常に改 良されつづけています クラウドでの設計原則とセキュリティ、信頼性、パフォーマンス効率、コストの最適化、運用性についてのベス

   トプラクティスが質問形式で記載されています。あくまで設計原則であるので、実装の詳細やアーキテクチャ パターンは扱っていません。 引用元：http://awsmedia.s3.amazonaws.com/jp/W-A-Introduction.pdf クラウドアーキテクチャ設計・運用の”考え方”と”ベストプラクティス”

7. セキュリティの質問（抜粋） どのようにしてルートアカウントでのログインを保護していますか？ マネージメントコンソールや APIを操作するシステム管理者の役割と権限を、 どのように制限していますか？ AWSインフラのログを蓄積し分析していますか？ AWSのリソースに（アプリケーションやスクリプト、サードパーティのツールから） 自動的にアクセスする場合の権限はどのように制限していますか？ どのようにネットワークやホストベースの境界防御をしていますか？

8. 営業担当 アーキテクト 相談者

9. • 本番のDBが外部からアクセス可能 PrivateSubnetに設置されたEC2からのみ参照できるように設定 • 3000リクエスト/日程度のAPIサーバーに約15万/月の費用がか かっていた インスタンスタイプの見直し、RDSをプライマリインスタンスのみ。リ ザーブドインスタンスへ変更。費用は1/3に • AWSコンソールにログインするユーザーを使い回している

   適切なポリシーの設定、MFAの導入

10. こんな相談されたら... • AWSでサービスを立ち上げたけど、この構成で問題ないかな？ • セキュリティを強化したい！けど何をすればいいかわからない • AWSって高いよね • インフラ改善にお金かけたくない

11. ご静聴ありがとうございました。 Facebook申請お待ちしております。 https://www.facebook.com/shiina.yuki.7