AWS履修者のためのAzure入門

AWS履修者のためのAzure入門
2023年8月25日
株式会社BeeX
半田大樹

View Slide

Copyright © 2023 BeeX Inc. All Rights Reserved. 2
自己紹介
⚫ 名前
半田大樹(Handa Daiki)
⚫ 所属部署
バリューアッドコンサルティング本部
データインテリジェンス部
Data Management ＆Engineeringグループ
⚫ 最近の趣味
猫(ラグドール)を可愛がること
DP-900

View Slide

アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い

View Slide

アジェンダ
3. 本文(続き)
• AWSとAzureのネットワーク系サービスの違い
• AWSとAzureのネットワークセキュリティ系サービスの違い

View Slide

本資料の目的と必要な前提知識
• 本資料はAWSをある程度触ったことがあるエンジニア向けにAzureとの違いを整理した資料になりま
す。
• そのため、最低でもソリューションアーキテクトアソシエイト資格レベルの知識を持っていることを
前提とします。
• また、Azureにおける機能の詳細や利用上の制約などの細かい部分までは記載しておらず、あくまで
AWSと比較することによるAzureの概念理解を目的としています。

View Slide

本資料の注意点
• 本資料ではスライド右上にスライド内に記載されているクラウドの名前が書かれたマークを載せており
ます。
• どちらかにしかない機能・仕組みであれば、そのクラウドのマークのみ右上に記載されています。
• また、記載された内容は2023年7-8月時点のものになるため、閲覧する時期によっては最新のものでは
ない内容が含まれている可能性があります。
• 本資料の内容は公式のドキュメントなどを元に整理した内容になりますため、一部解釈が間違っている
可能性があります。必要に応じて公式ドキュメントなども確認しながらご覧ください。
• 詳細な料金やサービスの機能までは詳細に取り上げません。
AWS Azure

View Slide

本資料のゴール
１
２
AWS←→Azureのサービスの読み替えができるようになる
Azureの仕組みについて”少し”詳しくなる

View Slide

[再掲]アジェンダ
3. 本文

View Slide

AWSとAzureの利用フローの違い

View Slide

AWSとAzureの利用フローの違い
初めて各クラウドを利用する際の開始フローは以下になります。
(Azureは後述する課金方法MOSPを利用する場合)
MSアカウントまたはGitHubアカウントの作成
Azureアカウントのサインアップ
Azureアカウントへのサインイン・ログイン
「従量課金制」へのアップグレード
AWSアカウントのサインアップ
AWSアカウントへのサインイン・ログイン
AWS Azure

View Slide

3. 本文

View Slide

AWSとAzureの課金構成の違い

View Slide

AWSは集約型か個別型、Azureは契約形態によって複数の種類があります。
MS Account
or
GitHub Account
Azure Account
Billing Account
Billing Role
Billing Profile
Subscription Subscription
Invoice
Payment
methods
Invoice
Payment
methods
Invoice
Payment
methods
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
AWS Azure
集約集約
集約型
個別型

View Slide

Azureは課金アカウントの種類が4種類あり、種類によって請求書や課金データの管理場所が異なります。
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Microsoft Online Services Program Enterprise Agreement
Microsoft 顧客契約 Microsoft Partner Agreement
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
集約集約
集約型
個別型

View Slide

Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
個人や小規模組織が利用する場合はこちら
MOSPでは、請求書やその他課金情報はサブスクリプションに紐づけられるようになっています。
集約集約
集約型
個別型

View Slide

Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
大規模組織がEAを締結して利用する場合はこちら
※EA：Enterprise Agreement
EAでは、1つ以上の部署やアカウントの課金情報が課金アカウントに紐づけられます。
集約集約
集約型
個別型

View Slide

顧客契約(MCA)では、課金プロファイルに請求や課金情報が紐づけられ、セクションを作成して課金対象を
まとめることが可能です。また、課金アカウントは1つ以上の課金プロファイルを含みます。
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
中小規模組織がCAを締結して利用する場合はこちら
※CA：Customer Agreement
集約集約
集約型
個別型

View Slide

Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
MSパートナーがリセールする場合はこちら
MPAでは、MCAと同じく課金プロファイルに請求や課金情報が紐づけられ、セクションではなくリセール
する顧客ごとに課金対象をまとめられます。課金アカウントは1つ以上の課金プロファイルを含みます。
集約集約
集約型
個別型

View Slide

3. 本文

View Slide

AWSとAzureのセキュリティ概念の違い

View Slide

クラウドにおけるセキュリティの概念としては、AWSとAzureでそこまで大きい違いはありません。
AWSやAzureがどこまでのセキュリティを担保するかは提供するサービスモデルによって異なります。
AWS Azure
責任共有モデル共同責任モデル

View Slide

大まかに分類したサービスモデルごとの責任範囲は以下の通りです。
サービスによっては、1つのレイヤー内で更にユーザーとAWS/Azureで責任範囲を分担しているものもあり
ますが、以下表では割愛します。
レイヤー SaaS PaaS FaaS DaaS DBaaS MLaaS CaaS IaaS
ユーザーデータユーザーユーザーユーザーユーザーユーザーユーザーユーザーユーザー
IDとアクセス管理ユーザーユーザーユーザーユーザーユーザーユーザーユーザーユーザー
アプリケーション AWS Azure ユーザーユーザーユーザーユーザーユーザーユーザーユーザー
ゲストOS AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザーユーザー
ネットワーク設定 AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザーユーザー
仮想ネットワーク AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
仮想マシン AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
物理ホスト AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
データセンター AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
AWS Azure

View Slide

参考までに各サービスモデル間の構成と各クラウドでの該当サービス例を以下に記載します。
IaaS
CaaS
PaaS
FaaS DBaaS MLaaS
DaaS
SaaS
EC2
ECS
Beanstalk
Lambda RDS SageMaker
WorkSpaces
WorkDocs
VM
AKS
App Service
Functions SQL Database Machine Learning
Virtual Desktop
OneDrive
抽象度
高
包括関係
AWS Azure

View Slide

3. 本文

View Slide

AWSとAzureの全体構成の違い

View Slide

以下にAWSとAzureの構成について記載します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
Tenant
(MS Entra ID)
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure

View Slide

請求はAzureのほうがより細かい単位で設定できるようになっています。(MOSPの場合)
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)

View Slide

最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)

View Slide

環境ごとや組織体制に併せてグルーピングするにはAWSはOU、AzureはMGを利用します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)

View Slide

ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
Identity
Center
AWS Azure
Tenant
(MS Entra ID)

View Slide

3. 本文

View Slide

AWSとAzureの権限管理の違い

View Slide

AWSとAzureの権限管理
AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。
ユーザー
アクセス
ユーザー
アクセス方法アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
Subscriptions
Resource
Groups
Resources
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Management
Groups

View Slide

IAM UserからIAMロールのスイッチロールを使用してアカウントにアクセスを行うことも可能です。
ユーザー
アクセス
ユーザー
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
Subscriptions
Resource
Groups
Resources
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS
Management
Groups
IAM Role

View Slide

AWSのIAM Policy(Role含む)とAzureのAzure ロールは同じ役割(ユーザーへの権限の付与)を持っています。
ユーザー
アクセス
ユーザー
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Subscriptions
Resource
Groups
Resources
Management
Groups

View Slide

AWSのSCP・Permissions boundaryとAzureのAzure Policyは同じ役割(アクセス制限)を持っています。
ユーザー
アクセス
ユーザー
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Subscriptions
Resource
Groups
Resources
Management
Groups

View Slide

アクセス制限を行うポリシーは、構成の上にあるリソースから下にあるリソースに対して権限を継承します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS Azure

View Slide

全ての権限をAND条件で判定し、許可された範囲のみ操作を行うことができます。(拒否・除外について)
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
すべて許可
すべて許可
EC2以外拒否
EC2のみ操作可
すべて許可
すべて許可
東京リージョン
のみ可
東京リージョン
のみ操作可
すべて許可
AWS Azure
メモ
許可よりも拒否のほうが上になる

View Slide

AWSはアカウント配下のリソース、Azureは許可したスコープ配下のリソースに対してアクセスを許可します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
AWS Azure

View Slide

AWSとAzureそれぞれで、デフォルトで準備されているポリシーと手動作成ポリシーの2種類があります。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS Azure

View Slide

ユーザーに対して権限を付与するPolicy/ロールにもデフォルトとカスタムがあります。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS管理ポリシー
カスタム管理ポリシー
インラインポリシー
組み込みロール
カスタムロール
AWS Azure

View Slide

AWSは更に追加でUserに1対1で紐づくインラインポリシーというものもあります。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS管理ポリシー
カスタム管理ポリシー
インラインポリシー
組み込みロール
カスタムロール
AWS

View Slide

尚、AWSにはリソースに対してアタッチできるリソースベースポリシーというものも存在します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS
Resource base policy

View Slide

そのため、厳密にはAWSのアクセス制限方法は全部で3種類あります。
ユーザー
アクセス
ユーザー
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS
Subscriptions
Resources
Management
Groups

View Slide

AzureにはAzure Policyを1つにまとめることができる、イニシアチブ定義というものが存在します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Initiative definition
Azure ロール
Organizations
Root
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
Azure

View Slide

3. 本文

View Slide

AWSとAzureの権限付与方法の違い

View Slide

AWSは特定のアカウントに対して操作を許可し、Azureは特定のスコープに対して役割(ロール)で許可します。
User
User
IAM User
ID User
Account
IAM Policy
Azure Role
Subscriptions
Resource Groups
Resources
アクセス元
アクセス
ユーザー
操作スコープ
許可する操作
AWS管理
ポリシー
カスタム管理
ポリシー
インライン
ポリシー
組み込みロールカスタムロール
AWS Azure
ロール
Account
Resource
Resources
操作対象
Management
Groups

View Slide

AWSとAzureのどちらも権限設計時は役割で整理する必要があるため、以下に役割ごとの図を記載します。
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
Azure Role Azure Role
IAM Policy
IAM Policy
AWS Azure
継承
継承
権限許可単位
・・・・・・

View Slide

AWSとAzureのどちらもユーザーに直接権限を付与する方法とグループを介する方法があります。
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
IAM Policy
IAM Policy
AWS Azure
継承
継承
権限許可単位
・・・・・・

View Slide

AWSはサービス単位の権限設計、Azureはサービスも含めたスコープ単位の権限設計が必要になります。
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
IAM Policy
IAM Policy
AWS Azure
継承
継承
権限許可単位
・・・・・・
サービスごとの権限設計が必要スコープごとの権限設計が必要

View Slide

AWSのIdentity Centerを利用時、権限の付与はIAMロールに対して行います。(権限セットの説明は割愛)
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
IAM Policy
IAM Policy
AWS
継承
継承
権限許可単位
・・・・・・
SSO
User/Group
IAM Role
IAM Policy

View Slide

操作権限を付与できる対象は決まっており、AWSは3種類、Azureは4種類の付与対象が存在します。
Azure Role
IAM Policy
権限付与方法権限種類
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM User
IAM Group
IAM Role
ID Group
ID User
Managed ID
Service
Principal
権限付与対象
AWS Azure

View Slide

その中でも一部の付与対象はAWSとAzureの各サービスから利用することも可能です。
Azure Role
IAM Policy
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM User
IAM Group
IAM Role
ID Group
ID User
Managed ID
Service
Principal
権限付与対象
AWS Azure

View Slide

サービスで利用する場合は、AWSはロールをリソースに直接紐づけ、AzureはEntra IDのIDに紐づけられます。
Azure Role
IAM Policy
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM Role
System
Managed ID
権限付与対象
AWS Azure
・
・
・
・
・
・
アタッチ
アタッチ
User
Managed ID
Service
Principal

View Slide

AzureのManaged IDには2種類あり、リソース作成時に自動作成されるものとユーザー作成のものがあります。
Azure Role
IAM Policy
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM Role
System
Managed ID
権限付与対象
Azure
・
・
・
・
・
・
アタッチ
アタッチ
User
Managed ID
Service
Principal

View Slide

サービスから利用する場合の仕組みは以下になります。
IAM Role
EC2
STS
・
・
・
アクセス許可紐づけリソースアクセス先
認証サービス
AWS Azure
VM
Managed ID
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
紐づけ
Access Token Request
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application

View Slide

AWSはSTSサービスが一時認証情報を発行し、AzureではMS Entra IDがAccess Tokenを発行します。
IAM Role
EC2
STS
・
・
・
認証サービス
AWS Azure
VM
Managed ID
信頼関係確立
AssumeRole
・
・
・
紐づけ
Access Token
Entra ID
Service
Principal
Application

View Slide

Azureのロールの付与は厳密にはManaged IDではなく、Entra ID内のService Principalに対して付与されます。
IAM Role
EC2
STS
・
・
・
認証サービス
Azure
VM
Managed ID
信頼関係確立
AssumeRole
・
・
・
紐づけ
Access Token
Entra ID
Service
Principal
Application

View Slide

そのため、アクセス許可を与えているというよりは、認証リクエスト元と呼称するのが適切かもしれません。
IAM Role
EC2
STS
・
・
・
認証リクエスト元紐づけリソースアクセス先
認証サービス
Azure
VM
Managed ID
信頼関係確立
AssumeRole
・
・
・
紐づけ
Access Token
Entra ID
Service
Principal
Application

View Slide

Managed IDを利用しない場合は、Entra IDにService PrincipalとApplicationを登録して利用も可能です。
IAM Role
EC2
STS
・
・
・
紐づけリソースアクセス先
認証サービス
Azure
User
信頼関係確立
AssumeRole
・
・
・
(ID/Secrets/証明書付加)
Access Token
Entra ID
Service
Principal
Application
Onpre
Application
Azure CLI
Application
認証リクエスト元

View Slide

3. 本文

View Slide

AWSとAzureのユーザー管理の違い

View Slide

[再掲]AWSとAzureの全体構成の違い
ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
Identity
Center
AWS Azure
Tenant
(MS Entra ID)

View Slide

[再掲]AWSとAzureの権限管理
AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。
ユーザー
アクセス
ユーザー
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
Subscriptions
Resource
Groups
Resources
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Management
Groups

View Slide

AWSはAccount内のIAM UserかIdentity Center(SSO)で管理され、AzureはMS Entra IDで一括管理されます。
ユーザー
User
User
Management
Console login
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
認証情報入力ログインユーザー
ユーザ管理ログイン方法操作対象
許可されている
アカウント内リソース
IAM Userがある
スコープ内リソース
AWS Azure

View Slide

AWSのIAM Userは特定Accountに対してのみログインでき、それ以外のAccountにはログインができません。
※IAMロールのスイッチロールを利用する場合を除く
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
IAM Userがある
AWS
Management
Console login

View Slide

AWSのIdentity Centerは複数のAWS Accountに対してIAMロールのスイッチロールでログインができます。
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
IAM Userがある
AWS
Management
Console login

View Slide

AzureはEntra IDでユーザー管理され、ログイン後の操作対象は付与された権限で制御されます。
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
IAM Userがある
Management
Console login
Azure

View Slide

MS Entra IDはAzure専用のサービスではないため、M365へのログイン等でも利用されます。
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
IAM Userがある
Azure
Microsoft 365 オンプレミス
システム
Management
Console login

View Slide

3. 本文

View Slide

AWSとAzureのリソース管理の違い

View Slide

[再掲]AWSとAzureの全体構成の違い
最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)

View Slide

AWSは課金とリソース管理が纏められており、Azureは課金単位とリソース管理単位が別々になっています。
AWS Azure
Root
Management
Groups
工場部門情シス部門
本番用本番用開発用
・・・・・・・・・・・・
Aシステム Bシステム Cシステム PoC
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・

View Slide

Azureではリソースグループを削除すると、紐づくすべてのリソースが同時に削除されます。
Azure
Root
Management
Groups
・・・・・・・・・・・・
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・

View Slide

AWSではアカウントを削除しても全てのリソースが自動的に削除されるわけではありません。
AWS
Root
Management
Groups
・・・・・・・・・・・・
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・

View Slide

AWSにはCloudFormation等の関連リソースを一括作成・削除・管理できる仕組みが別途存在します。
AWS
Root
Management
Groups
・・・・・・・・・・・・
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
CloudFormation CloudFormation CloudFormation

View Slide

CloudFormationを削除することで、アカウントを削除せずにリソースをまとめて削除することができます。
AWS
Root
Management
Groups
・・・・・・・・・・・・
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・

View Slide

Azureにも別途CloudFormationに相当する仕組みがあり、ARM Templateを使用すると同様のことが可能です。
Root
Management
Groups
・・・
Aシステム
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
ARM
Template
・・・
Bシステム
ARM
Template
・・・
Cシステ
ム
ARM
Template
・・・
PoC
ARM
Template
Azure

View Slide

AWSはAccountで課金単位とリソース管理単位を兼ねているため、リソースのみの扱いが若干複雑ですが、
AzureはResource Groupで管理単位が分離されているため、リソース管理がしやすい構成となっています。
Root
Management
Groups
・・・
Aシステム
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
ARM
Template
・・・
Bシステム
ARM
Template
・・・
Cシステ
ム
ARM
Template
・・・
PoC
ARM
Template
Azure
AWS

View Slide

3. 本文

View Slide

AWSとAzureのリソース操作方法の違い

View Slide

AWSとAzureのどちらも、ブラウザでのGUI・CUI操作とローカルPC等からのコマンド操作に対応しています。
Azure Portal
Azure Cloud Shell
Azure PowerShell / Azure CLI
AWS Management
Console
AWS CloudShell
AWS Command Line
Interface (AWS CLI)
ブラウザでのGUI操作対応
ブラウザでのCUI操作対応
場所を限定しない
コマンド操作対応
AWS Azure

View Slide

リソースの操作方法で分類すると以下のようになります。
API操作はJsonファイルやプログラム言語などでAPIを直接操作するものを対象として記載しています。
GUI操作
コマンド操作
API操作
Azure Portal
Azure Cloud Shell
AWS Management
Console
AWS CloudShell Azure PowerShell / Azure CLI
AWS Command Line
Interface (AWS CLI)
AWS Tools
and SDKs
AWS CloudFormation Azure SDK Azure Resource
Manager Template
AWS Azure

View Slide

3. 本文

View Slide

AWSとAzureのグローバルインフラの違い

View Slide

AWSとAzureは世界中にあるDCとそれを結ぶネットワークで構成されています。
DCはリージョンとAZという概念で論理的にまとめられており、物理的に冗長化されています。
AWS Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

AWSとAzureともに1つのリージョンには1つ以上のAZが含まれるように構成されており、
AZを使用してリソースの冗長化を行うことができます。
AWS Azure
AWS Cloud
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

Azureで特定のAZを指定してリソースを構築する場合、最低でもリージョンに3つのAZが存在する必要があるた
め、2023年7月時点では西日本リージョンでAZを指定することができません。(Availability Setは利用可能)
Azure
AWS Cloud
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

また、 AWSとAzure共にAZの冗長化以外にもリージョンを跨いで冗長化を行うことも可能です。
AWS Azure
AWS Cloud
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

Azureは地域ごとにリージョンがペアで構成されており、1つのリージョンに別のリージョンがペアとして登録
されています。リージョンペア間であれば、低遅延の通信や自動レプリケーションを行うことができます。
Azure
AWS Cloud
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

AzureではAvailability Setという、DC内のサーバーラックを分散できる機能があり、
これを使用すると1つのDCのサーバーラック単位でリソースを冗長化させることができます。
Azure
AWS Cloud
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

AWSでは異なるサーバーラックでのリソース構築やリージョンペアのような概念はないため、
AZ単位での冗長や各サービスを組み合わせたリージョン間同期パイプラインを別途構築する必要があります。
AWS
AWS Cloud
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2

View Slide

3. 本文(続き)

View Slide

ネットワーク系サービスの違い

View Slide

AWSはVPCとSubnetを利用してAWS上に仮想ネットワークを構築するようになっており、
AzureはVNetとSubnetを利用してAzure上に仮想ネットワークを構築するようになっています。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
AWS Azure

View Slide

AWSでは明示的にPublicなSubnetとPrivateなSubnetが定義されていますが、Azureは明示的にPublicと
Privateの定義がされていないため、Subnet内に構築されているリソースでの判断が必要です。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
AWS Azure

View Slide

具体的には、AWSはIGWの有無によってInternetとの通信の有無を制御しますが、Azureは標準でInternetへ
の外部送信が可能で、Public IPの有無によって受信側の通信制御を行います。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
※IPv4を前提として記載しています

View Slide

Public IPアドレスには静的に設定できるものと動的に設定されるものがあり、AWSとAzure共に静的と動的
のどちらも設定が可能となっています。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
静的動的
静的動的

View Slide

AWSは動的なPublic IPアドレスであれば無料で利用できますが、Azureは動的Public IPアドレスであっても
有料で利用するようになっています。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
静的動的
静的動的
EC2作成時に自動割当可能
無料で利用可能
VM作成時に自動割当可能
有料で利用可能

View Slide

ただ、現在ではAzureの動的IPアドレスは利用不可になっており、2025年9月30日に動的IPアドレスは完全
に廃止される計画が立てられています。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
Azure
静的動的
静的動的
EC2作成時に自動割当可能
無料で利用可能
VM作成時に自動割当可能
有料で利用可能

View Slide

AWSの静的Public IPアドレスはEC2作成後のみ割り当てができるようになっており、AzureはVM作成時に割
り当てができます。コスト的にはAWS・Azureで同じ料金設定となっています。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
静的動的
静的動的
EC2作成後に割当可能
1つあたり$0.005/h
VM作成時に割当可能
1つあたり$0.005/h

View Slide

AWSではこれまで利用中の静的なIPに対しては料金が発生しません(EC2のセカンダリIPは除く)でしたが、
2024/2/1より有料で提供されるように変更になると2023年7月に発表がありました。
VPC
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS
静的動的
静的動的
EC2作成後に割当可能
1つあたり$0.005/h
VM作成時に割当可能
1つあたり$0.005/h

View Slide

仮想ネットワーク間の通信を行う場合の構成例を以下に記載します。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
AWS Azure

View Slide

仮想ネットワーク間の通信を行いたい場合、AWSであればVPC Peeringを利用すると相互に通信でき、
Azureであれば仮想ネットワークピアリングを利用することでVnet間の通信を行うことができます。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
AWS Azure

View Slide

AWSとAzure共に、仮想ネットワーク同士のPeeringはアカウント/サブスクリプション跨ぎ、リージョン跨
ぎなどのケースにも対応しているため、インターネットを経由せずにネットワーク間通信が可能です。
AWS Account A Azure Subscription A
VPC VNet VNet
VPC
Peering
AWS Azure
AWSAccount B
VPC
VPC
Peering
Eastern Japan Region
Tokyo Region Osaka Region Western Japan Region
Azure Subscription B
Virtual
network
Peering

View Slide

AWSではリージョンを跨いだPeeringの場合でも同リージョン間と同じVPC Peeringが可能ですが、
Azureでリージョン跨ぎでPeeringするためにはGlobal Vnet Peeringを使用する必要があります。
AWS Account A Azure Subscription A
VPC VNet VNet
VPC
Peering
Azure
AWSAccount B
VPC
VPC
Peering
Eastern Japan Region
Tokyo Region Osaka Region Western Japan Region
Azure Subscription B
Virtual
network
Peering

View Slide

Peeringの共通制約として、直接Peeringした仮想ネットワーク同士であれば通信が可能ですが、直接
Peeringしていない仮想ネットワークに対してはネットワークを跨いで通信をすることはできません。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
AWS Azure

View Slide

Azureの場合は、VNet Peeringの設定でRemote Gateway Tiransitを有効にすることで、直接Peeringしてい
ないVNet間でもVPN Gateway経由でトラフィックが転送され、通信が可能となります。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
Azure

View Slide

AWSでVPCを跨いだ通信を行う方法として、Transit VPCオプションを利用する方法があります。この場合、
ハブとなるVPCにCisco CSR等の仮想ルーターをデプロイし、VGWとの接続を確立する必要があります。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPN
Gateway
VPN
Gateway
Virtual
network
Peering
Virtual
network
Peering
AWS
VPN VPN

View Slide

接続するネットワークが増加した場合、個別のPeeringやVPN接続の方法だと管理できなくなります。
そのため、大規模ネットワークに対応したサービスのTransit GatewayやWANを利用する方法があります。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
TGW
Attachment
AWS Azure
WAN
TGW
Attachment
TGW
Attachment
Transit Gateway

View Slide

AWS Cloud
AWS Direct Connect Location
オンプレネットワークとクラウドネットワークを接続する構成を以下に記載します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure

View Slide

AWS Cloud
オンプレネットワークと各クラウド間を接続するには、Site to Site VPNを使用する方法と各クラウドネット
ワークとオンプレネットワークを直接接続する方法の2つがあります。
※Point to Site VPNはクライアントネットワークからの接続になるため、説明を割愛します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure

View Slide

AWS Cloud
Site to Site VPNを使用する方法の場合は、AzureはAzure VPN Gateway、AWSはAWS Site-to-Site VPNを
利用します。どちらの場合もIPSecトンネルを使用して安全な接続を確立します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure

View Slide

AWS Cloud
各クラウドネットワークとオンプレネットワークを直接接続する方法の場合は、AzureはExpressRoute、
AWSはDirect Connectを利用し、どちらの場合も指定されたパートナーネットワークを介して閉域接続を確
立します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure

View Slide

各クラウドのロードバランサ―サービス例を以下に記載します。AWSのCLBやGLBについては後方互換性の
ためや、セキュリティアプライアンスとの通信を行うために利用されるので、今回は割愛します。
VPC
AWS Cloud Azure
VNet
Private subnet Public subnet Subnet Subnet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP AWS Azure
PIP

View Slide

AWSでロードバランサ―と名の付くサービスはALB/NLB/GLB/CLBの4種類がありますが、AzureではAzure
Load Balancerの1種類しかありません。AzureのロードバランサーはL4レイヤーでの振り分けを行います。
VPC
AWS Cloud Azure
VNet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP Azure
PIP

View Slide

AWSのApplication Load Balancerと同じ役割を持つAzureのサービスはApplication Gatewayが該当します。
ALBはIPの固定化はできませんが、AGWはIPの固定化を行うことが可能です。
VPC
AWS Cloud Azure
VNet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP

View Slide

Azure Load Balancerと同じような役割を持つAWSのサービスはNetwork Load Balancerが該当します。
AWSのNLBはALBの前段に置けますが、Azure LBはApplication Gatewayの前段に置けません。
VPC
AWS Cloud Azure
VNet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP

View Slide

Azure Load BarancerもApplication Gatewayと同じようにIPを固定化することができます。
Azure NAT Gatewayがリリースされるまでは、NAT GWの代わりとして利用することもあったようです。
VPC
AWS Cloud Azure
VNet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP Azure
PIP
PIP

View Slide

各クラウドのエンドポイントサービスを以下に記載します。
AWSとAzure共に2種類のエンドポイントサービスが存在し、用途に合わせて使い分けることが可能です。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure

View Slide

PaaS等の各クラウド上で稼働するサービスに対して、インターネットを経由せずクラウドのグローバルネッ
トワークを経由する方法として、AWSはVPC Endpoint、AzureはService Endpointがあります。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure

View Slide

AWSのVPC EndpointはVPCコンソール画面から作成する必要があるのに対して、AzureのService Endpoint
は各サービスのポータル画面で設定することで自動的に作成されます。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure

View Slide

AWSのVPC EndpointにはInterface型とGateway型の2種類があり、Interface型の場合はSubnet内にENIが作
成され、エンドポイントとENIが1対1で紐づきます。Gateway型の場合はVPCに直接紐づけられます。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS

View Slide

AzureのService Endpointは(AWSで言うところの)Gateway型しかありませんが、Firewall機能も統合されて
いるため、アクセス元の制限等が可能です。ただ、Subnet経由で別のネットワークからの利用はできません。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
Azure

View Slide

ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネットワーク経由で提
供したい場合、Private Linkを利用します。こちらはAWSとAzureで同じ名前となっています。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure

View Slide

AWSの場合は、ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネット
ワーク経由で提供したい場合のみに利用します。EndpointへのアクセスはSGで制御が可能です。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS

View Slide

AzureのPrivate Linkはユーザー構築アプリケーション以外に、Azureサービスに対しても設定することが可
能です。ただし、Endpoint経由の通信をNSGやFirewallで制御できないため注意が必要です。
VPC
AWS Cloud Azure
VNet
VPC VNet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
Azure

View Slide

3. 本文(続き)

View Slide

ネットワークセキュリティ系サービスの違い

View Slide

使用するネットワークの数が増えてくると、それに伴ってネットワークセキュリティについても考慮が必要
です。以下にAWSとAzureで提供されているサービス例を記載します。
AWS WAF
AWS
Network
Firewall
VPC
Network
ACL
Azure
Firewall
Azure
WAF
Azure
Network
Security
Group
アプリケーション向け
ネットワーク内部向け
インターネットとの境界向け
AWS Azure

View Slide

AWSとAzureのどちらも安全な通信を担保するための仕組み・サービスがいくつか存在します。
ざっくり大別すると以下のようになります。FirewallはL7とL4のどちらでも対応可能です。
AWS WAF
AWS
Network
Firewall
VPC
Network
ACL
Azure
Firewall
Azure
WAF
Azure
Network
Security
Group
AWS Azure

View Slide

アプリケーションレイヤーのみのセキュリティにはWAFを利用します。
WAFは特定のサービスに対して設定することができ、対象のサービスはAWSとAzureで若干異なります。
AWS WAF Azure WAF
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
regional regional global
global
global
Amazon
API Gateway
regional
Azure API
Management
regional
対象外
AWS Azure
L7ロードバランサ―
コンテンツ配信ネットワーク
API管理サービス

View Slide

WAFがアタッチ可能なL7ロードバランサ―の役割を持つサービスはAWSが1つ、Azureが2つあります。
Azureはリージョン内で利用されるサービスとグローバルで利用されるサービスの2種類存在しています。
AWS WAF Azure WAF
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
global
global
Amazon
API Gateway
regional
Azure API
Management
regional
対象外
AWS Azure

View Slide

次にWAFがアタッチ可能なAPI管理サービスの役割を持つサービスはAWSのみ存在します。
Azureにも同様の役割を持つサービスがありますが、WAFのアタッチはできません。
AWS WAF Azure WAF
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
global
global
Amazon
API Gateway
regional
Azure API
Management
regional
対象外
AWS Azure
「L7ロードバランサ
―」と組み合わせて
利用することでWAF
を間接的に適用する

View Slide

WAFがアタッチ可能なコンテンツ配信ネットワークの役割を持つサービスはAWSとAzureともに1つずつあり
ます。共にエッジネットワークで提供されるサービスのため、WAFもエッジネットワークで有効化されます。
AWS WAF Azure WAF
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
global
global コンテンツ配信ネットワーク
Amazon
API Gateway
regional API管理サービス
Azure API
Management
regional
対象外
AWS Azure
Azure CDNにWAFを
アタッチさせる仕組
みはパブリックプレ
ビューで提供され、
現在は新規設定がで
きない

View Slide

Azure Front Doorはカテゴリ上はコンテンツ配信ネットワークに含まれますが、ここでは敢えてL7ロードバ
ランサ―として位置づけしています。(バランサー機能以外にコンテンツキャッシュ等の機能もあります)
AWS WAF Azure WAF
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
global
global コンテンツ配信ネットワーク
Amazon
API Gateway
regional API管理サービス
Azure API
Management
regional
対象外
AWS Azure

View Slide

各クラウドの内部ネットワークとインターネットの境界でのセキュリティとしてはFirewallを利用します。
AWSのFirewallは提供されているプランが1種類なのに対して、Azureは全部で3種類のプランがあります。※
AWS Network
Firewall
Azure Firewall
AWS Azure
提供プラン Standard Premium
Only one Basic
制御方式
ステートレス or ステートフル
ルール種類
スループット
ステートフル
NATルール
ネットワークルール
アプリケーションルール
送信用
受信用
送信用
(L3～L4)
(L3～L4)
(L7)
ステートフルルール
送信用受信用
送信用受信用
(L3～L4、L7)
(L3～L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超
※記載していないプランごとの細かな違いは割愛

View Slide

Azureはステートフルルールしか設定できませんが、AWSはステートレスルールも設定が可能です。
AWS Network
Firewall
Azure Firewall
AWS Azure
Only one Basic
制御方式
ルール種類
スループット
ステートフル
NATルール
送信用
受信用
送信用
(L3～L4)
(L3～L4)
(L7)
送信用受信用
送信用受信用
(L3～L4、L7)
(L3～L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超

View Slide

Azureのルールは受信用と送信用で3種類あるのに対して、AWSは送信用と受信用が分けられていません。
Azureはレイヤーごとにルールが分けられていますが、AWSはレイヤーもまとめられています。
AWS Network
Firewall
Azure Firewall
AWS Azure
Only one Basic
制御方式
ルール種類
スループット
ステートフル
NATルール
送信用
受信用
送信用
(L3～L4)
(L3～L4)
(L7)
送信用受信用
送信用受信用
(L3～L4、L7)
(L3～L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超

View Slide

Azureのプランについては記載している以外にも使用できる機能などの違いもありますが、AWSと比較した
ときに判断しやすいスループットのみ記載しています。Azureはスループット要件でプランを選択できます。
AWS Network
Firewall
Azure Firewall
AWS Azure
Only one Basic
制御方式
ルール種類
スループット
ステートフル
NATルール
送信用
受信用
送信用
(L3～L4)
(L3～L4)
(L7)
送信用受信用
送信用受信用
(L3～L4、L7)
(L3～L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超

View Slide

各クラウドのネットワーク内部向けのセキュリティとして、AWSはNACLとSG、AzureはNSGがあります。
AzureのNSGはSubnetとVM(NIC)にアタッチでき、AWSはアタッチ対象ごとに分かれています。
VPC
Network ACL
Azure Network
Security Group
AWS Azure
アタッチ対象
制御方式
デフォルトルール
ルール種類
Subnet
Azure VM
(NIC)
Subnet
Amazon EC2
(NIC)
Private
subnet
Public
subnet
ステートレスステートフル
ステートフル
インバウンドルール
アウトバウンドルール
受信セキュリティ規則
送信セキュリティ規則
送信
受信許可なし
全て許可
送信
受信
優先度1: 全て許可
優先度2: 全て拒否
送信
受信
優先度1: VMのvNetからの着信を許可
優先度2: ALBからの監視信号を許可
優先度3: 全ての着信を拒否
優先度1: VMのvNetからの発信を許可
優先度2: インターネットからの発信を許可
優先度3: 全ての発信を拒否

View Slide

AWSのNACLでは優先順位に従って通信の許可拒否が評価されますが、SGは許可のみなので通信の許可の有
無で評価されます。AzureのNSGはNACLと同じく優先順位に従って許可または拒否が評価されます。
VPC
Network ACL
Azure Network
Security Group
AWS Azure
アタッチ対象
制御方式
ルール種類
Subnet
Azure VM
(NIC)
Subnet
Amazon EC2
(NIC)
Private
subnet
Public
subnet
ステートフル
送信
受信許可なし
全て許可
送信
受信
送信
受信

View Slide

注意が必要な点として、仮想マシンを作成時にセキュリティグループを指定しない場合、AWSは通信ができ
ない状態で作成されますが、Azureはインターネットから通信ができる状態で作成されます。(RDP等)
VPC
Network ACL
Azure Network
Security Group
AWS Azure
アタッチ対象
制御方式
ルール種類
Subnet
Azure VM
(NIC)
Subnet
Amazon EC2
(NIC)
Private
subnet
Public
subnet
ステートフル
送信
受信許可なし
全て許可
送信
受信
送信
受信

View Slide

View Slide

AWS履修者のためのAzure入門

AWS履修者のためのAzure入門

BeeX, Inc.

Other Decks in Technology

Featured

Transcript