第82回 雲勉【オンライン：初心者向け】 AWSでの運用負荷を軽減するツール2選 〜Certificate Manager, Service Quotas〜

Transcript

1. 第82回 雲勉【オンライン︓初⼼者向け】 AWSでの運⽤負荷を軽減するツール2選 〜Certificate Manager, Service Quotas〜 2022/08/25

2. AWSでの運⽤負荷を軽減するツール2選〜Certificate Manager, Service Quotas〜 2 0. ⾃⼰紹介 1.Certificate Manager(19:05~19:25) 2.Service

   Quotas (19:25~19:50) 3.質疑応答(19:50~20:00)

3. ０．講師⾃⼰紹介 3 奥村 ⼤(おくむら まさる) u クラウドインテグレーション事業部MSPセクション東京第3グループグループリーダー u 新卒では総合スーパーの総合職社員(野菜、果物売り場の担当)として⼊社、前職の在職中に IT(クラウド)に興味を持ちアイレットへ転職

   u 2020年5⽉に⼊社し、MSPの24/365の監視業務を約2年担当し、グループリーダーに着任し 現在

4. 0. 本題に⼊る前に 4

5. 本題に⼊る前に 5 サーバー運⽤で考慮しないといけないものって、、何でしょうか︖︖︖ u サーバーのスペックは⼗分かどうか︖︖ u 何か作業をするときに、ダウンタイムどうやって短くするか︖︖ u どうやったらコストを安く抑えられるか u

   障害発⽣時に、早く復旧するにはどうしたらいいか︖︖

6. しかし、、忘れたころには何かが起こる。。(あくまで筆者経験談) 6 証明書の期限が 切れてしまう EC2の作成の上限 突破してしまった

7. 1. Certificate Manager 7

8. その前にそもそも証明書って何？ 8 ドメイン認証(DV) 企業認証(OV) EV認証(EV) u 「ドメインの所有者」であることを証明し、暗号化通信を⾏うために必要であり、 申請を経てSSLのサーバー証明書が発⾏される u 「証明書の記載されている組織が法的に存在すること」かつ「ドメインの所有者」であることを証明することが満たせれた場

   合に発⾏されるSSLサーバー証明書のこと。 u 「証明書の記載されている組織が法的に存在すること」かつ「物理的に存在している」かつ「ドメインの所有者」であること を証明する最も厳格な証明書

9. 要するに、、 9 ドメイン認証 企業認証 EV認証

10. 証明書の構成要素 10 CSR(Certificate Signing Request) ൿີ伴 தؒূ໌ॻ ূ໌ॻνΣʔϯ ূ໌ॻຊจ

11. 本題 11

12. Certificate Manager(ACM)とは 12 u AWS Certificate Manager の頭⽂字を取ってACMと略されることが 多い。 u

    AWS環境にて、証明書をリクエストしELB,cloudfront,API gateway などにインポートできるサービス。 u 他の認証局から発⾏されたサードパーティーの証明書についても、イン ポートすることができる。

13. ACMを使⽤するメリット 13 u CSRの発⾏が不要 u 証明書の⾃動更新が可能(DNS検証利⽤時限定) u 無料にて証明書の発⾏が可能(Amazon Trust Servicesで発⾏するもの限定)

    u ワイルドカード証明書の発⾏が可能 u 複数の環境で利⽤が可能。同じリージョンの複数のロードバランサーなどに使⽤できる u 証明書の費⽤削減＋AWSで証明書周りの⼀元管理が可能

14. Amazon Trust Servicesについて 14 u AWSのサービスの拡⼤に伴い、設⽴された独⾃の認証局 u 2021年3⽉21⽇以降、cloudfront,s3の証明書もAmazon Trust servicesのものに変更

15. 証明書発⾏までの流れ 15 参考: 20181219_BlackBeltSeminar_AWS_Certificate_Manager.pdf 参考: 20181219_BlackBeltSeminar_AWS_Certificate_Manager.pdf

16. 実際にACMで証明書を発⾏してみよう︕ 16

17. 前提条件 17 u ドメインを取得済みである u 取得したドメインのホストゾーンをRoute53に登録済みである

18. 実際にACMで証明書を発⾏してみよう︕ 18 u AWSコンソールにログインして、「ACM」と⼊⼒

19. 実際にACMで証明書を発⾏してみよう︕ 19 u 「証明書のリクエスト」をクリック

20. 実際にACMで証明書を発⾏してみよう︕ 20 u 「パブリック証明書をリクエスト」をクリック

21. 実際にACMで証明書を発⾏してみよう︕ 21 u 「DNS検証」を選択し、リクエストをクリックする

22. 実際にACMで証明書を発⾏してみよう︕ 22 u 作成した証明書が表⽰されるが、これではまだ使えないので、 証明書IDをクリックし、証明書の詳細画⾯を表⽰

23. 実際にACMで証明書を発⾏してみよう︕ 23 u 「Route53」でレコードを作成をクリックする

24. 実際にACMで証明書を発⾏してみよう︕ 24 u 「レコードを作成」をクリックする

25. 実際にACMで証明書を発⾏してみよう︕ 25 u 「発⾏済み」になったことを確認し、作成終了︕︕

26. 検証⽅法について 26 DNS検証 Eメール検証 u メールでの認証が不要 u ⾃動更新が可能 u Route53以外の他のドメインレジストラーを使⽤しても、利⽤できる。

    u ドメインのDNSを編集する権限がない場合は、利⽤できない。 u ドメインのDNSを編集する権限がない場合でもACMの無料証明書を発⾏することができる u 特定のメールアカウントに対してメールを受信し、それを承認することで証明書の更新を実施 u 証明書の⾃動更新設定が利⽤できなくなる

27. ACMを利⽤する際の注意点 27 u ACMで発⾏した証明書のプライベートキーはダウンロードが不可。 u 組織認証(OV)や拡張認証(EV)の形式は発⾏することができません。 u ACMは、証明書期限が失効する60⽇前に更新を試みます。それでも⾃動更新ができなかった場合 は、45⽇前、15⽇前、7⽇前、1⽇前で利⽤者への通知がなされます。 u

    EC2の証明書アタッチ⽅法はELBを⽤いる。もしくはcloudfrontを前に設置した構成が必要とな ります。

28. ACMに関するまとめ 28 u ACMのDNS検証を⽤いることで、証明書の有効期限を⼼配することなく⾃動更新 u ⾃動更新を実施するにはDNS検証の設定が必須である u ワイルドカードの証明書の発⾏も可能である

29. 2. Service Quotas 29

30. Service Quotasとは 30 AWSアカウント単位、サービス単位での制限値を確認できるツールであり、 必要に応じて上限緩和申請をそのまま実施することができるツール

31. 今まではこうだった 31 上限緩和をしたい AWSコンソールへログイン AWSサポートへ問合せ⽂を作成 後ほど申請受理

32. Service Quotasがあることで変わること 32 上限緩和をしたい AWSコンソールへログイン 緩和する上限を⼊⼒ 早ければ数分後に申請受理

33. 上限緩和の必要性 33 上限緩和申請の概念がないと、どうなるか︖︖ 悪意のあるユーザー ෆਖ਼ʹϦιʔεΛ্ཱͪ͛ ݟʹ֮͑ͷͳֹ͍ۚͷ੥ٻ

34. 上限緩和申請の課題 34 u AWSサポートへの問合せが必要 u 問合せの際に、申請理由などを求められることもある。 u 申請が通るまで時間がかかる。 u 緩和する上限が少なくても、申請⼿順は変わらない。

    (5→6でも6→20でもAWSサポートへ申請、理由なども必要)

35. Service Quotasを利⽤するメリット 35 u 現状の上限値を確認するにあたり、以前は過去の申請履歴などを遡り調べていたが Service Quotasにより、AWSコンソールの画⾯にて⼀元管理の上、閲覧が可能となる。 u 申請理由などを⼊⼒せずに、上限緩和ができる。緩和制限が多いと、理由を別途求められること がある。

    総じて、上限緩和申請にかかる⼿間を減らせる︕︕

36. 実際にService Quotasを使ってみよう︕ 36

37. 課題 37 サービスエンドポイントとクオータを確認の上、 S3のバケットの上限を緩和してみます︕

38. 上限値の確認⽅法② 38 Service Quotasより緩和したいQuotasを選択する(英語で検索したほうがヒットしやすい)

39. 実際にコンソールにて確認①︕ 39 コンソールにて”Service Quotas”と検索し、選択する

40. 実際にコンソールにて確認②︕ 40 緩和したいリソース名を上の検索バーに⼊⼒する 今回緩和するべき内容「Backets」を検索する

41. 実際にコンソールにて確認③︕ 41 今回緩和するべき内容「Backets」を検索する 4 “クオータの引き上げリクエスト”を押下する

42. 実際にコンソールにて確認⑤︕ 42 “クオータ値”を変更に任意の数字を⼊⼒し、右下のリクエストを押下

43. Service Quotasに関するまとめ 43 u 現在のリソースの上限値について、確認が容易になる u AWSサポートへの問合せの必要なく、ユーザーにて上限緩和申請を完結できる u 申請数によるが、申請理由などなしで⼿間を省ける

44. 3. 質疑応答 44