AWS 基礎トレーニング @ LLM 勉強会

Transcript

1. © 2023, Amazon Web Services, Inc. or its affiliates. ©

   2024, Amazon Web Services, Inc. or its affiliates. 佐々木 啓(Sasaki Kei) アマゾン ウェブ サービス ジャパン合同会社 パブリックセクター 技術統括本部 ソリューションアーキテクト 2023 年 12 月 20 日 AWS基礎トレーニング Basic解説編 LLM勉強会様向け

2. © 2023, Amazon Web Services, Inc. or its affiliates. 内容についての注意点

   2 本資料では2023年 12⽉ 14⽇時点のサービス内容および価格についてご説明しています。最新の情報は AWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違があった 場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 価格は税抜表記となっています。⽇本居住者のお客様が東京リージョンを使⽤する場合、別途消費税をご 請求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

3. © 2023, Amazon Web Services, Inc. or its affiliates. 自己紹介

   佐々木 啓 / Sasaki Kei アマゾン ウェブ サービス ジャパン 合同会社 パブリックセクター技術統括本部 ソリューションアーキテクト 大学・研究機関のアカウントチームの一員として、 研究・教育・事務のクラウド化を推進するお客様の技術支援を担当

4. © 2023, Amazon Web Services, Inc. or its affiliates. 本日のハンズオンの目的

   • クラウドとは？AWSとは何か？そして、そのメリットは何かを理解いただく • 学習コンテンツの探し方や学習方法を理解いただき、自走できるようになる • AWS上でシステムを構築する上での基本的なサービスについて学び、AWS上 でシステム構築を行う方法についてイメージできるようになる

5. © 2023, Amazon Web Services, Inc. or its affiliates. Agenda

   1. AWSのご紹介 2. AWSサービスご紹介 1. 基本的なAWSサービス 2. 開発/運用サービス 3. 移行サービス 4. AWS上での開発イメージ/AWSの学習方法

6. © 2023, Amazon Web Services, Inc. or its affiliates. ©

   2024, Amazon Web Services, Inc. or its affiliates. 1.AWSのご紹介 6

7. © 2023, Amazon Web Services, Inc. or its affiliates. Our

   Mission 地球上でもっともお客様を ⼤切にする企業であること

8. © 2023, Amazon Web Services, Inc. or its affiliates. Amazonのビジネスモデル

   顧客体験 顧客数 出品者 低コスト体質・構造 成⻑ 品揃え 低価格

9. © 2023, Amazon Web Services, Inc. or its affiliates. アマゾンについて

   1994 • 創⽴ 1995 • Amazon.comスタート 1998 • CDs & DVDs販売開始 2006 • Amazon Web Services 2007 • Kindle 2011 • Video 2012 • ⽣鮮⾷品販売開始 2014 • Alexa/Echo 2015 • 書店開設 2017 • Amazon Go

10. © 2023, Amazon Web Services, Inc. or its affiliates. クラウドの真価とは

    価値創造に集中できること 必要なときに必要なだけ 使うことが可能 アイデアから 実装までの時間を短縮 スモールスタートで すぐに使い始められる

11. © 2023, Amazon Web Services, Inc. or its affiliates. ⽇本で数⼗万のお客様※

    (世界で数百万以上) ※ お客様とはアクティブカスタマー数を指します。アクティブカスタマーとは、AWSクラウド無料利⽤枠を含むAWSアカウントの先⽉の使⽤状況のあるアマゾン会員でない対象アカウントです。 20210708

12. © 2023, Amazon Web Services, Inc. or its affiliates. 日本での公共事業でも数多くのお客様

    公益・⾮営利団体 地⽅公共団体 エドテック ⼤学・研究機関 医療機関 及び 関連企業 ガブテック 中央官庁 福井県 鯖江市 埼⽟県 ⼤阪府 札幌市

13. © 2023, Amazon Web Services, Inc. or its affiliates. 102

    32 450+ 35 のローカルゾーン / 29 の さらに 12+ のアベイラビリティゾーン・4+ リージョンを追加予定 AWS グローバルクラウドインフラストラクチャ

14. © 2023, Amazon Web Services, Inc. or its affiliates. 2021年

    ⼤阪リージョン 東京リージョン 2011年 3 Availability zones 4 Availability zones (2018 ローカルリージョン)

15. © 2023, Amazon Web Services, Inc. or its affiliates. 耐障害性と高可用性を実現するインフラストラクチャ

    AWSが世界規模で展開するグローバルインフラストラクチャは柔軟性、信頼性、拡張性、そしてセキュリティを兼ね備えています リージョン アベイラビリティー ゾーン（AZ） データセンター すべてのリージョンは独⽴し、物理的に離れた場所にあ る複数のアベイラビリティーゾーンで構成されています アベイラビリティーゾーンは1つ以上のデータセンターで 構成され、互いに低遅延な専⽤線で接続されています 複数のアベイラビリティーゾーンでシステムを構成 することで、⾼い耐障害性を実現できます マルチAZ構成で ⾼い可⽤性を実現 Point of Presence（PoP） 世界中に配置されたPoint of Presence からの 低レイテンシーな⾼速転送で世界中のユーザーに コンテンツを安全に配信できます 物理的に一定距離 離れた場所

16. © 2023, Amazon Web Services, Inc. or its affiliates. 16

    50% 100% 100%

17. © 2023, Amazon Web Services, Inc. or its affiliates. 日本における

    再生可能エネルギーの活用に向け、大きな一歩 17 ⽇本の⼀般家庭 5,600 世帯分 以上の電⼒に相当する 年間 23,000 メガワット（MWh） の再⽣可能エネルギー電⼒を 供給予定 Amazon と三菱商事、 ⽇本初の再⽣可能エネルギー購⼊契約を締結 コーポレート PPA を活⽤した集約型太陽光発電プロジェクトとしては、 ⽇本初で最⼤ * *PPA: Power Purchase Agreement (電⼒購⼊契約）

18. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    の取り組み 18 ウォーター・スチュワードシップ 蒸発冷却の使⽤、 リサイクル冷却⽔の使⽤、 オンサイトのモジュラー⽔処理の設置 データセンターに再⽣可能エネルギー を供給 低炭素型コンクリートを使⽤した 新しいデータセンターの建設 Graviton プロセッサの パフォーマンス向上 アマゾン・サステナビリティ・ データ・ イニシアティブ (ASDI) による、サステナビリティ調査へ の⽀援 データセンター内の 電⼒効率と可⽤性を向上

19. © 2023, Amazon Web Services, Inc. or its affiliates. スケールメリットをお客様に還元

    AWSは2006年のサービス開始以降、⾮常に速いスピードで提供規模を拡⼤し、 実質的に制限のないITリソースを提供しています このスケールメリットを⽣かし、コスト低下分をお客様に還元することで値下げを実現しています 規模の拡⼤とイノベーション コストダウンを推進 継続的な値下げによる お客様への還元 129 回以上 より多くのお客 様 資本投資 技術投資 効率改善 値下げ 規模の 経済

20. © 2023, Amazon Web Services, Inc. or its affiliates. わずか数分でITリソースの⽤意が可能に

    AWSを利⽤することで、従来、オンプレミスでのITリソース導⼊につきものであった⾼額な初期費⽤、 緻密なキャパシティープランニング、稼働までの多くの時間と労⼒などをなくし、わずか数分で必要なITリソースを調達できます オンプレミス AWSのクラウド 複雑なプランニングと⻑いリードタイムが求められる 新しいインフラストラクチャの構築 マネジメントコンソールや CLI*、API経由での操作で 初期費⽤なし、わずか数分でITリソースが⽤意可能 数 ヶ ⽉ 要件定義 物理設計 論理設計 ハードウェア ⾒積 ハードウェア 発注 ハードウェア 搬⼊設置 デプロイ 運⽤開始 ハードウェア 増設/⼊替 要件定義 / 利⽤サービス選定 コンソールやCLI、API経由でデプロイ いつでもリソース拡張 / 利⽤停⽌ 数 分 * CLI = コマンドラインインターフェイス

21. © 2023, Amazon Web Services, Inc. or its affiliates. サイジングからの解放

    必要な時に必要なだけリソースを使えるように。緻密な需要予測と初期投資は不要です リソース 実需要 オンプレミス：常に必要以上の投資 余剰キャパシティー リソース 実需要 オンプレミス：予測できないピークによる機会損失 リソース不⾜による 機会損失 / 顧客満⾜度低下 リソース 実需要 AWS：無駄のない投資 リソース 実需要 AWS：⾃動、⼿動でスケールアウト、スケールインが可能 必要な時に必要なだけ リソースを⾃動で調達可能 ビジネスの成⻑に合わせて リソースを柔軟に調達可能

22. © 2023, Amazon Web Services, Inc. or its affiliates. コストの低減

    コストはTCO (Total Cost of Ownership)で⽐較することが重要 5年 初期投資 0円 ランニングコスト AWS 5年 初期投資 実際には ランニングコストも 必要 物理サーバ購⼊ • TCOとは総保有コスト、その設備にかかる購⼊から廃棄ま でに必要な⽀出と時間の合計 • 予算を作成時には、初期投資だけで⽐較することがなく、 ランニングコストも含めたTCOで⽐較することが重要 Ø 物理サーバ購⼊の場合には、アプリケーション側に課題がなくて も、ハードウェアの保守等の問題で、数年後に再度リプレイスが 発⽣ Ø AWSを利⽤することで、ハードウェア保守切れにとも合う定期的 な更新作業(調達・⼊替)が不要、アプリケーションなどの保守た めに現地⽴会不要、電気代・空調費などの⾒えにくいコストが含 まれている ※仮に5年と しています AWS 5年分の利⽤料 データセンター費⽤、サーバ機 器（含む代替機）ネットワーク 機器、機器保守費⽤、電源費⽤、 OS費⽤、運⽤⼈件費、バック アップソフトウェア、データ暗 号化機能、特権管理機能、リ ソース監視モジュール 物理サーバ 5年利⽤想定での 初期投資額 電源費⽤ データセンター費⽤ OS費⽤ 運⽤⼈件費 ネットワーク機器 機器保守費⽤ ランニングコスト 空調費⽤ ⾒えにくいコスト

23. © 2023, Amazon Web Services, Inc. or its affiliates. 200

    を超える幅広いサービスであらゆるワークロードをサポート コンピューティング アプリケーション統合 ARとVR Game Tech IoT 機械学習 モバイル 量⼦テクノロジー ロボット⼯学 カスタマーエンゲージメント ビジネスアプリケーション エンドユーザーコンピューティング 分析 AWS コスト管理 ブロックチェーン データベース 開発者⽤ツール マネジメントとガバナンス メディアサービス 移⾏と転送 ネットワークとコンテンツ配信 ⼈⼯衛星 セキュリティ、ID、コンプライアンス ストレージ AWSの提供する90%のサービスや機能はお客様からの意⾒をもとに開発、残りの10%もお客様の潜在的な要望を汲み取って作られています

24. © 2023, Amazon Web Services, Inc. or its affiliates. モノリシック

    すべての機能が含まれる単⼀のシステム システム全体に影響するデプロイメント あらかじめ定められた最⼤パフォーマンス 関係者全体との調整が求められる困難な変更管理 先送りされる新テクノロジーへの対応 マイクロサービス 単⼀の機能（サービス）の集合体 機能ごとのデプロイメント 柔軟なスケーリング 機能ごとに独⽴した変更管理 容易な新テクノロジーへの対応 アーキテクチャの⾰新 マイクロサービスアーキテクチャの適⽤により、柔軟でスピード感のあるシステム構築を実現することができます AWSでは幅広いラインナップのサービスを⽤意することで、お客様のクラウド活⽤をサポートします

25. © 2023, Amazon Web Services, Inc. or its affiliates. マネージド型サービスの利⽤で価値創造に集中

    オンプレミス 電源・ネットワーク ラック導⼊管理 サーバーメンテナンス OSの導⼊ ミドルウェアの導⼊ ミドルウェアのパッチ バックアップ 可⽤性の確保 スケーラビリティ サービスの利⽤ Amazon EC2 電源・ネットワーク ラック導⼊管理 サーバーメンテナンス OSの導⼊ ミドルウェアの導⼊ ミドルウェアのパッチ バックアップ 可⽤性の確保 スケーラビリティ サービスの利⽤ マネージド型サービス 電源・ネットワーク ラック導⼊管理 サーバーメンテナンス OSの導⼊ ミドルウェアの導⼊ ミドルウェアのパッチ バックアップ 可⽤性の確保 スケーラビリティ サービスの利⽤ AWSが提供するレイヤー お客様に管理いただくレイヤー AWSにはサーバーレス アプリケーションの構築と実⾏に利⽤可能な⼀連のマネージド型サービスが⽤意されています マネージド型サービスの活⽤により市場投⼊までの時間を短縮すると同時に、イノベーションに注⼒できます

26. © 2023, Amazon Web Services, Inc. or its affiliates. お客様と

    AWS が分担/協力して強固なセキュリティを実現する考え方 AWS クラウドのセキュリティに対する責任 SECURITY ‘OF’ THE CLOUD お客様 クラウド内のセキュリティに対する責任 SECURITY ‘IN’ THE CLOUD お客様のデータ プラットフォーム、アプリケーション、IDとアクセス管理 オペレーティングシステム、ネットワークとファイアウォール構成 クライアント側データ暗号化 データ整合性認証 サーバー側暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、アイデンティティ) ハードウェア/AWSグローバルインフラストラクチャー ソフトウェア リージョン アベイラビリティ ゾーン エッジロケーション コンピュート ストレージ データベース ネットワーキング セキュリティ-責任共有モデル-

27. © 2023, Amazon Web Services, Inc. or its affiliates. データプライバシー

    AWS はお客様のデータにアクセスできず、データの保存、管理、保護⽅法はお 客様が選択します。 責任共有モデルにおけるデータの所有権と管理に関して、4つの重要な基本事項 があります。 1. お客様は継続してデータを所有します。 2. お客様は、データを保存する地理的な場所を選択します。お客様がデータの 移動を選択しない限り、データが移動されることはありません。 3. お客様はいつでもデータをダウンロードまたは削除できます。 4. お客様はデータの機密性を考慮し、転送中や保管時にデータを暗号化するか どうか、および暗号化⽅法を決定します。 • 東京リージョンや⼤阪リージョンを選択すればデータは⽇本国内に置かれます • 住所が⽇本の場合、基本的に第⼀審裁判所は東京地⽅裁判所となります

28. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    クラウドセキュリティ AWSはクラウドコンピューティングの先駆者として、セキュリティを最優先事項としてお客様のイノベーションに迅速に対応可能な クラウドインフラストラクチャーを創造してきました。セキュリティ機能の実装や厳格なコンプライアンス要件へ対応で お客様は最も柔軟かつセキュアなクラウドコンピューティング環境を実現可能です クラウドセキュリティのためのサービス AWSの提供するセキュリティ、ID、コンプライアンスのための 包括的なサービスと機能を活⽤いただくことでセキュリティと コンプライアンスの要件を満たす能⼒を向上させることができます アイデンティティ & アクセス管理 脅威の検出と継続的なモニタリング インフラストラクチャとデータの保護 インシデントへの対応 コンプライアンス AWS コンプライアンスプログラム セキュリティとコンプライアインスのためにAWSに導⼊されている堅牢な 管理は、独⽴した監査⼈によって評価されています。これにより、AWSは お客様のコンプライアンス要件への準拠をサポートします コンプライアンスプログラムの例 AWS コンプライアンスプログラム https://aws.amazon.com/jp/compliance/programs/ AWSのデータセンター https://aws.amazon.com/jp/compliance/data-center/data-centers/

29. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Well-Architected Framework(W-A)とは? • AWSのソリューションアーキテクト(SA)、パートナー様、お客様の10年以上 にわたる経験から作り上げたもの § W-Aツール § 6 つの柱、設計原則、質問と回答形式でベストプラクティスを用意 • AWS・お客様と共に、W-Aも常に進化し続ける システム設計・運⽤の”⼤局的な”考え⽅とベストプラクティス集 運用上の 優秀性 セキュリティ 信頼性 パフォーマンス 効率 コスト 最適化 持続可能性

30. © 2023, Amazon Web Services, Inc. or its affiliates. 24時間365日*

    日本語によるサポート お客様に安⼼してご利⽤いただくため AWSでは⽇本語による24時間365⽇*のビジネスサポートを提供します ベーシック 開発者 ビジネス エンタープライズ フォーラム 課⾦Q&A フォーラム 課⾦Q&A 技術 Q&A Webフォーム 営業時間対応 フォーラム 課⾦Q&A 技術 Q&A Webフォーム 電話 / チャット 24時間365⽇ Trusted Advisor フォーラム 課⾦Q&A 技術 Q&A Webフォーム 電話 / チャット 24時間365⽇ Trusted Advisor 専任TAM アップグレード契約プラン 開発環境 プロダクション環境

31. © 2023, Amazon Web Services, Inc. or its affiliates. 最大規模のコミュニティ

    AWS は世界中で何百万ものアクティブなお客様によって⽀えられています JAWS-UG は AWS が提供するクラウドコンピューティングを 利⽤する⼈々の集まり（コミュニティ）です ⼀⼈ではできない学びや交流を⽬的として ボランティアによる勉強会の開催や交流イベントなどが⾏われています AWS User Group ‒ Japan (JAWS-UG) エンドユーザー企業を対象としたクローズドな場として設⽴された AWS をお使いの企業のコミュニティです ⾮公開を前提とした場で AWS のクラウド活⽤における課題や取り組みに 関するさまざまなディスカッションが進んでいます Enterprise-JAWS

32. © 2023, Amazon Web Services, Inc. or its affiliates. 機械学習の無料お試し環境

    https://aws.amazon.com/jp/sagemaker/studio-lab/ • JupyterLab ベース、AWS 上のコンピューティングリソースに無料でアクセス して機械学習の学習と実験をすぐに始められる。 • クレジットカード登録不要。 • ユーザーセッション 1 回あたり12 時間の CPU または 4 時間の GPU のいず れかを選択して利用でき、利用できるユーザーセッションの数は無制限。 • プロジェクトごとに最低 15 GB の永続的ストレージを利用可能。セッション の期限が切れると、SageMaker Studio Lab は環境のスナップショットを取得 します。これにより、中断したところからすぐに再開可能。 • GitHub と緊密に統合されており、Git コマンドラインを完全にサポート。

33. © 2023, Amazon Web Services, Inc. or its affiliates. まとめ

    – AWSが選ばれる理由 200 を超える 豊富なサービス ⾼い可⽤性を持つ インフラストラクチャ 包括的なセキュリティ機能と コンプライアンス認証の取得 世界中で数百万を 超えるお客様 最⼤規模のコミュニティと パートナーネットワーク お客様の声をもとに 作られる機能やサービス

34. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 2.AWSサービス ご紹介 34

35. © 2023, Amazon Web Services, Inc. or its affiliates. 1.基本的なAWSサービス

    • 基本的なAWSサービスってなんだろう… • ご紹介するサービス § AWS Identity and Access Management (IAM) ：IDとAWSのサービスおよびリソースへのアクセスを管理 § Amazon VPC ：AWS上に論理的に分離された仮想ネットワークの定義と起動 § Amazon EC2 ：安全でスケーラブルなクラウド上の仮装サーバ § Amazon RDS ：マネージドリレーショナルデータベース § Amazon S3 ：拡張性と耐久性を兼ね揃えたクラウドオブジェクトストレージ 35 この資料では、 オンプレミスと近しい形でサーバーベースでシステムを構築する為に必要なサービスと定義

36. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 36 AWS Identity and Access Management (IAM)

37. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Identity and Access Management (IAM) とは? AWS IAM は、AWS リソースへのアクセスを安全に制御するのに役⽴ちます。 IAM を使⽤して、誰が認証 (サインイン) され、誰がリソースを使⽤する権限を 持つ (認可) かを制御できます。 • 無料で利⽤可能 • AWS アカウントへのアクセス共有 • きめ細かな権限制御 • AWS リソースへの安全なアクセス • 多要素認証 (MFA) • IDフェデレーション • 多くの AWS サービスと統合 • ⼀貫性がある

38. © 2023, Amazon Web Services, Inc. or its affiliates. 38

    AWSアカウントとrootユーザー、IAMユーザー 38 AWS Cloud AWS account A AWS account B AWSアカウント ・課金/環境分割 /サービスクォータ/セキュリティの境界 ・AWS上のお客様の管理下とする範囲 ・アカウントIDは自動的に採番される一意の12桁の数字 rootユーザー ・AWSアカウント内の最上位権限を持つユーザー ・1つのAWSアカウントにつき1ユーザーのみ ・アカウント作成時に登録するメールアドレスがユーザー名 ・初期登録時以外は原則利用しないことを奨励 IAMユーザー ・個人またはアプリケーションを表すアイデンティティ ・AWSアカウントに5000まで作成可能 ・IDは作成時に任意の文字列を指定可能 [email protected] [email protected] rootユーザー IAMユーザー rootユーザー IAMユーザー

39. © 2023, Amazon Web Services, Inc. or its affiliates. アイデンティティ

    管理 アクセス管理 誰が アクセスできるか ID、アクセス、リソース管理 リソース管理 AWS アカウント AWS アカウント 何に

40. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    アイデンティティ管理 — 誰が IAM ユーザー 個人またはアプリケーションを表す アカウント単位ではなく、アカウント内のユーザー単位 個別のパスワードとアクセスキー IAM グループ IAM ユーザーの集まり IAM ロール 特定の個人に縛られない 必要な人なら誰でも引き受けられる

41. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    アクセス管理 — アクセスできるか AWS ID およびアクセス管理 (IAM) ID ベースのポリシー リソースベースのポリシー 2 種類の AWS ポリシータイプが⽤意されている ポリシーにより権限が定義される 特定のアイデンティティが何にアクセスできるか︖ ⼈や役職・役割に応じたアクセスを 定義する基本的なポリシー 特定のリソースにどのユーザーがアクセスできるか︖ S3 のデータや、KMS の暗号鍵などの 重要なリソースへアクセスを定義する際に有効

42. © 2023, Amazon Web Services, Inc. or its affiliates. 42

    JSON ポリシー構⽂の例 次のIDベースのポリシーにより、暗黙のプリンシパルは example_bucket とい う名前の単⼀の Amazon S3 バケットをリストできます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket" } ] }

43. © 2023, Amazon Web Services, Inc. or its affiliates. 43

    AWS リソースの管理 タグポリシーを使った効率的なリソース管理とアクセス制御 A B A B タグポリシーの例︓ プリンシパルタグとリソースタグの”Project”の値が ⼀致するリソースのみ操作が可能 単⼀のポリシー

44. © 2023, Amazon Web Services, Inc. or its affiliates. IAMの関係性イメージ

    44 IAMポリシー (IDベースポリシー) IAMロール IAMグループ IAMユーザー UserA Instance Lambda function IAMユーザー UserB Bucket IAMポリシー (リソースベースポリシー) アタッチ ロール引き受け ロール引き受け IAMユーザー ・最大で１アカウントに5000ユーザー作成可能 ・IAMポリシーをアタッチできる。 ・IAMグループに所属可能。グループに所属すると、 グループにアタッチされたポリシーが適用される IAMロール ・IAMポリシーをアタッチできる。 ・パスワードを持たず、IAMユーザーやAWSサービス はロールを引き受けることができる ・ロールを引き受けると、ロールにアタッチされた ポリシーが適用される IAMポリシー(IDベースポリシー) ・誰が、何にアクセスできるか？という権限を記載 ・作成したポリシーをIAMユーザーやロールにアタッ チして作成したポリシーの権限を適用できる ・複数のポリシーを適用させることも可能

45. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 45 Amazon VPC

46. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    Virtual Private Cloud (VPC) VPC ユーザが定義する ネットワーク AWS Cloud Amazon EC2 AWS Lambda Amazon RDS Amazon Redshift Amazon Simple Storage Service (S3) Amazon DynamoDB Outside VPC = public IP address • AWS上にプライベートネットワーク空間を構築 • 任意のIPアドレスレンジが利用可能 • 論理的なネットワーク分離が可能 • 必要に応じてネットワーク同士の接続も可能 • ネットワーク環境の各種コントロールが可能 • ルートテーブル、FW、NATなどの機能 • 複数の接続オプションが選択可能 • インターネット経由 • VPN/専用線(Direct Connect) AWS Lambda

47. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    VPC / Direct Connect クラウド上の仮想プライベート空間と、オンプレミスから閉域でのアクセス § VPC(Virtual Private Cloud)によりクラウド上に隔離されたプライベートネットワークを仮想的に作成可能 アドレス空間ブロックサイズを自由に設定可能 § お客様のオンプレミスの環境とVPNや専用線を用いて閉じた環境として接続することで、 オンプレミス(既存データセンター)の拡張としてAWSを利用可能 § ファイアーウォール、ルーティングテーブル、NAT等の機能を内蔵 47 お客様サイト AWS Cloud VPC Private subnet Private subnet Availability Zone Public subnet インターネット インターネットVPN (IPSec) 専⽤線 AWS Direct Connect AWS VPN アプリケーションサーバー データベースサーバー Webサーバー 分離したNW領域を作成 インターネット ゲートウェイ

48. © 2023, Amazon Web Services, Inc. or its affiliates. CIDR表記のおさらい

    CIDR 範囲のサンプル: 172.31.0.0/16 1010 1100 0001 1111 0000 0000 0000 0000 2^ (32 – 16) = 65536 – 2 ホスト

49. © 2023, Amazon Web Services, Inc. or its affiliates. まずは全体のネットワーク空間を

    VPC として定義 • 通常であればプライベートアドレス（RFC1918）利用 • /16 から /28 のネットマスクを利用 • 作成後は VPC アドレスブロックは変更できないので注意 • 連携予定の別システムがある場合は重複していない方が良い 51 VPC 10.0.0.0 /16

50. © 2023, Amazon Web Services, Inc. or its affiliates. 利用するサブネットを定義

    52 VPC 10.0.0.0 /16 10.0.1.0/24 サブネット

51. © 2023, Amazon Web Services, Inc. or its affiliates. インターネットへの接続を設定

    53 VPC 10.0.1.0/24 パブリック サブネット 10.0.0.0 /16 Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 igw インターネット ゲートウェイ ルートテーブル

52. © 2023, Amazon Web Services, Inc. or its affiliates. プライベートサブネットを追加

    54 VPC 10.0.1.0/24 パブリック サブネット 10.0.0.0 /16 プライベート サブネット 10.0.2.0/24 Route Table Destination Target 10.0.0.0/16 local インターネット への経路を持たない Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 igw

53. © 2023, Amazon Web Services, Inc. or its affiliates. オンプレミスとの接続

    →インターネットに接続しないネットワークも作成可能 55 オフィス データセンター VPN or 専用線 VPC 10.0.0.0 /16 プライベート サブネット 10.0.2.0/24 仮想プライベート ゲートウェイ

54. © 2023, Amazon Web Services, Inc. or its affiliates. ネットワーク要件に応じて自由に設定可能

    56 VPC 10.0.1.0/24 パブリック サブネット 10.0.0.0 /16 オフィス データセンター VPN or 専⽤線 プライベート サブネット 10.0.2.0/24

55. © 2023, Amazon Web Services, Inc. or its affiliates. 57

    Network Access Control List (NACL)、セキュリティグループ VPC Subnet Subnet NACL NACL 適用範囲： Subnet 設定方向： in/out 状態判別： ステートレス(復路も検査) ルール： 許可または拒否を指定 コンソール：VPC Subnet Security group VPC Subnet 適用範囲： インスタンス 設定方向： in/out 状態判別： ステートフル(往路のみ確認) ルール： 許可を指定(拒否は設定不可) コンソール：EC2 Security group

56. © 2023, Amazon Web Services, Inc. or its affiliates. 58

    © 2024, Amazon Web Services, Inc. or its affiliates. Amazon EC2

57. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    EC2 (Elastic Compute Cloud) 数分で起動、1秒ごとの従量課金※で利用可能な仮想サーバ § 多数のOSをサポート、ライセンス費用込みで従量課金 § 自由にソフトウェアのインストールが可能 (ユーザがroot/Administrator権限) § スケールアップ/ダウン、アウト/インが容易に可能 § ユーザが自由に起動場所(リージョン/AZ)を選択可能 59 電源、ラック等 ハイパーバイザー 利用したい ミドルウェア お客様独自の アプリケーション OS (Windows,Linux) ネットワーク ボタンを押して数分で、 ここまで準備される アプリ、ミドルウェア、 監視ツール等を自由に導入 ※ OSの種類により1時間ごととなるものもあります Amazon Linux Windows RedHat Linux お好きなAZに EC2インスタンスを 配置可能 Region Availability Zone B Availability Zone A スケール アップ スケール ダウン EC2 EC2 EC2 サーバーのスペックを 簡単にあげられる 当然、スペックを下げコ ストダウンも可能 ・仮想CPU数追加、メモリ追加等、スペック変更が容易 ・過剰なリソースの用意ではなく、その時に最適なリソースでコスト最適化が可能

58. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    EC2 を用いるメリット 60 Scale Up Scale Down × ¥ ¥ 柔軟な性能調整 使用した分だけの従量課金 HW リプレース作業不要 HW 障害から自動復旧 OFF ON DC・HWの管理不要 Host Server Hypervisor Guest 1 Guest 2 Guest n DC AWS が 管理・運用 オンプレミスの延長先として利用 オンプレミス AWS インターネット

59. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    EC2で選択できる高性能CPU / アクセラレーター INTEL Xeon Scalable (Ice Lake) processor AMD EPYC (Milan) processor AWS Graviton3 Processor A100 / V100 / A10G and T4G Tensor Core GPUs AWS Inferentia FPGAs for custom hardware acceleration Virtex UltraScale+ VU9P Radeon Pro V520 GPU Habana-based Gaudi accelerators AWS Trainium CPU Accelerator H.264,H.265 media transcoding by Alveo U30

60. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    EC2 Mac Instances for macOS • iPhoneやMacなどAppleのプラットフォームのアプリ 開発者向けに、macOSをネイティブにサポート § Mac miniとAWS Nitro Systemsによって構成される § VPCやEBS、CloudWatchと組み合わせて利⽤可能 • シングルテナントのベアメタルインスタンスとして提 供されオンデマンド利⽤は最低24時間から • SSHまたはVNC over SSHでアクセス。⽇常利⽤⽤途 ではなく、あくまでもビルド等の開発⽤

61. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    EC2 (Elastic Compute Cloud) ⼤きく5つのカテゴリに分類されワークロードに応じて様々なインスタンスタイプを選択可能 汎⽤ コンピューティング 最適化 ストレージ 最適化 ⾼速 コンピューティング (GPU・FPGA・ASIC) メモリ 最適化 F P G M H D C X Z I R High Memory Inf EC2インスタンスタイプは右のような ネーミングルールで構成され、⽤途に あったスペックのインスタンスタイプを 選択して使⽤する インスタンス世代 m6i.xlarge インスタンス ファミリー インスタンスサイズ CPUの種類や機能オプション 最新のEC2インスタンスの⼀覧はWebを参照ください→ https://aws.amazon.com/jp/ec2/instance-types/ T

62. © 2023, Amazon Web Services, Inc. or its affiliates. EC2のリソース確保

    64 https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-5.pdf

63. © 2023, Amazon Web Services, Inc. or its affiliates. 他社の仮想化アーキテクチャ

    AWSのNitroシステム ⾼性能を実現するAWS 仮想サーバーアーキテクチャの進化 • Nitro システムは、Nitroコントローラ、Nitroセキュリティチップ、Nitroハイパーバイザーで構成。ネットワークのアクセス、ストレージ のアクセス、インスタンス・ストレージ (ローカルのNVMe) などに対するコントローラを提供し、ホストと協調します。 • 負荷をNitro Cardへオフロードする事によって、ホスト側のプロセッサのリソースを消費する事を防ぎます。 • パフォーマンス⾯、セキュリティ⾯、運⽤管理⾯で多くのメリットを提供。 ハイパーバイ ザーに割り当て たリソース ハイパーバイザ ⾃社開発のNitro Cardで、仮 想レイヤーの負荷をHWへオ フロード

64. © 2023, Amazon Web Services, Inc. or its affiliates. Security

    Group（ファイアーウォール機能） • EC2インスタンスへのトラフィックを 制限するファイアウォール機能 • デフォルトでは 全トラフィックが閉じた状態 • 必要な受信アクセスに対して アクセスルールを定義する § プロトコル( TCP/UDP) § 宛先ポート § アクセス元IP / Security Group • ルールをひとまとめにした テンプレートを Security Groupと呼ぶ 66 EC2 インスタンス ポート22 (SSH) ポート80 (HTTP) Security Group ポート25 (SMTP)

65. © 2023, Amazon Web Services, Inc. or its affiliates. 仮想サーバ

    (EC2) に接続するストレージ • Amazon Elastic Block Store (EBS) § EC2インスタンスにネットワーク経由で接続するブロックストレージ § アプリケーションを問わず様々ワークロードで利用可能 67 EBSの1ボリュームサイズ ～ 16TB 大きく４つのボリュームタイプがあり 性能や得意ワークロードで選択可能 SSD HDD 最大IOPS/ボリューム 256,000 最大スループット/ボリューム 7,500 MB/s (io2 Block Expressのみ64TBまで可能) 仮想サーバ （EC2） ブロックストレージ （EBS）

66. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    Elastic Block Store (Amazon EBS) Amazon EC2 Amazon EBS インスタンス ストアボリューム Amazon EBS NVMe SSD SSD HDD SSD HDD インスタンスストアボリューム Amazon EBS 追加費⽤なし (EC2インスタンス費⽤に含まれる) ディスクタイプ・性能・容量などはインスタンスによって固定 インスタンスの停⽌/終了でクリア (リブートではデータを保持) Amazon EBSの費⽤が別途発⽣ ボリューム毎にディスクタイプ・性能・容量を選択可能 永続的なブロックストレージ プロビジョンド IOPS SSD 汎⽤ SSD コールド HDD スループット 最適化 HDD Amazon EBS Snapshot (2回⽬以降は増分のみを保持)

67. © 2023, Amazon Web Services, Inc. or its affiliates. AMI

    (Amazon Machine Image) • AMIはインスタンス起動に 必要なOSイメージ § イメージは内部的にS3に保存 • AWS以外に サードパーティもAMIを提供 • 自由に自前の カスタムAMIを作成可能 § 作成したAMIは別アカウントと共有可能 § カスタムAMIから何台でもEC2インスタン スを起動可能 § 別リージョンへのコピーも可能 69 AWS Cloud インスタンス Amazon S3 AMI カスタムAMI カスタムAMIを使って インスタンスを 複数台起動 カスタムAMIを 作成して共有 Availability zone – 1a Availability zone – 1b AMIから インスタンスを 起動

68. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    EC2 コールド・スタンバイ機は不要 • インスタンスを再起動することで別のハードウェア上で起動するため、ハード ウェア故障に備えて従来のようにスタンバイ機を用意する必要はありません • インスタンスのヘルスチェックをして自動で再起動による復旧(Auto Recovery)の 構成も可能です Failover アクティブ ノード スタンバイ ノード • 普段は利⽤しなくてもスタンバイノードの準備が必要 • スタンバイノードのメンテナンスも必要 従来のアクティブスタンバイ構成 AWSでの代替⽅法 再起動 • スタンバイノードの準備は不要 • したがってスタンバイノードの費⽤やメンテナンスは不要 ⼤量のリソースが既に ⽤意されている

69. © 2023, Amazon Web Services, Inc. or its affiliates. ロードバランサ

    + Auto Scaling による水平スケーリング • ルールにしたがってEC2インスタンスを増減させる機能 • CloudWatch, ELBとの連携で自動的なリソース増減 § 例）CPU使用率が80%以上が5分間続いたらサーバを2台増やす § 例）CPU使用率が30%以下が15分間続いたらサーバを1台減らす 71 Amazon EC2 Amazon EC2 Amazon EC2 Amazon EC2 Amazon EC2 Amazon EC2 Auto Scaling Group Auto Scaling Group 監視 負荷を通知

70. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 72 Amazon RDS

71. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    Relational Database Service (RDS) ⼈気のある6つのデータベースエンジンの選択による 管理されたリレーショナルデータベースサービス • MySQL / PostgreSQL / Oracle DB / SQL Server に対応したデータベースを数クリックで利 ⽤可能 • ⾃動バックアップ、⾃動パッチ当て、⾃動フェイルオーバーに対応 • Oracle / SQL Serverのライセンスを時間課⾦モデルで利⽤可能 (ライセンス持ち込みも可能) AZ-a AZ-b プライマリ スタンバイ リード レプリカ 同期データコピー＆ ⾃動フェイルオーバー ⾮同期 データコピー http://aws.amazon.com/jp/rds/ • アベイラビリティゾーンをまたいだ構成で可⽤性を向上 § プライマリ・スタンバイ構成(Hot-Standby) § リージョンをまたいたスナップショト

72. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    Aurora 74 • クラウド向けに再設計されたMySQL, PostgreSQLと互換性のあるRDBMS • コマーシャルデータベースの性能と可⽤性を1/10のコストで フルマネージド ハードウェアのプロビジョ ニング、ソフトウェアの パッチ適⽤、セットアップ、 構成、バックアップといった 管理タスクからの解放 ⾼い安全性 ネットワーク分離、 保管時/通信の暗号化 優れた性能と拡張性 標準的なMySQLや PostgreSQLと⽐べて⾼い パフォーマンスを実現; リードレプリカを最⼤ 15 個 追加してスケールアウト可能 耐障害性、⾃⼰修復機能 を兼ね備えたストレージ; 3つのAZにわたり、6 個 のコピーを保持; Amazon S3 への継続的なバックアップ ⾼可⽤性と耐久性

73. © 2023, Amazon Web Services, Inc. or its affiliates. データベース管理のフルマネージド化による運⽤負荷の軽減

    RDS/Aurora アプリケーション最適化 拡張性 ⾼可⽤性 DB バックアップ DB パッチ適⽤ DB インストール/構築 OS パッチ適⽤ OS インストール サーバーメンテナンス ハードウェア資産管理 電源/ネットワーク/空調 EC2 アプリケーション最適化 拡張性 ⾼可⽤性 DB バックアップ DB パッチ適⽤ DB インストール/構築 OS パッチ適⽤ OS インストール サーバーメンテナンス ハードウェア資産管理 電源/ネットワーク/空調 アプリケーション最適化 拡張性 ⾼可⽤性 DB バックアップ DB パッチ適⽤ DB インストール/構築 OS パッチ適⽤ OS インストール サーバーメンテナンス ハードウェア資産管理 電源/ネットワーク/空調 セルフマネージ AWSマネージ オンプレミス

74. © 2023, Amazon Web Services, Inc. or its affiliates. どちらを選ぶべきか︖

    • Aurora MySQL/PostgreSQL を選ぶ理由 • 可⽤性・パフォーマンス・運⽤性を重視したい • クローンなど Aurora 独⾃の機能を利⽤し、快適に運⽤・開発をしたい • RDS for MySQL/PostgreSQL を選ぶ理由 • インスタンスタイプ・サイズの選択肢が多い • Aurora で使えない機能を使いたい • 最新のバージョンおよびそれに付随する機能を使いたい

75. RDS/AURORAの基本 © 2024, Amazon Web Services, Inc. or its affiliates.

    データ(ストレージ)の冗⻑化(RDSとAuroraの違い) Availability Zone #1 リージョン Availability Zone #1 リージョン Availability Zone #2 Availability Zone #3 ノード ストレージ (EBS) ノード Auroraストレージ Amazon RDS Amazon Aurora Availability Zone #2 77 ノード ノード ストレージ (EBS)

76. © 2023, Amazon Web Services, Inc. or its affiliates. 通常のレプリカとAuroraのリードレプリカの違い

    78 Aurora独⾃アーキテクチャーでの 物理レプリケーション レプリカに書き込みは発⽣しない 共有ストレージ MySQL Primary 30% Read 70% Write MySQL Replica 30% New Reads 70% Write Single-threaded Binlog apply Data volume Data volume MySQL/PostgreSQL read scaling Page cache update Aurora Primary 30% Read 70% Write Aurora Replica 100% New Reads Shared Multi-AZ storage Amazon Aurora read scaling データベースレイヤーでの 物理レプリケーション マスターと同等の書き込みワークロード 独⽴したストレージ

77. © 2023, Amazon Web Services, Inc. or its affiliates. 高度な監視

    - Performance Insightsの活用 81 データベースのロード • 平均アクティブセッション数(AAS) • CPU時間と待機イベント内訳 ボトルネックの分析軸 • ボトルネックの原因の待機 • ボトルネックとなっているSQL • 性能影響の⾼いホスト、ユーザー データベースやアプリケーション • CloudWatchメトリクスや 拡張モニタリング、データベース内の 各種メトリクスの簡易ダッシュボード

78. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Purpose-Builtデータベース 様々なワークロードに応じたデータベース Relational 参照整合性、ACID トランザクション、 schema-on-write リフト&シフト、ERP、 CRM、⾦融 Key-value ⾼スループット、 低レイテンシーの読 み込みと書き込み、 無限のスケール リ ア ル タ イ ム ⼊ 札 、 ショッピングカート、 ソーシャル、製品カタロ グ、顧客の好み Document ドキュメントを保 存し、任意の属性 にクエリーですば やくアクセス コンテンツ管理、パー ソナライゼーション、 モバイル In-memory マイクロ秒のレイ テンシーでキーに よるクエリー リーダーボード、リア ルタイム分析、キャッ シュ Graph す ば や く 簡 単 に データ間の関係作 成しナビゲート 不 正 検 知 、 ソ ー シ ャ ル ネットワーキング、レコ メンデーションエンジン Time-series データを時系列に 収集、格納、処理 IoTアプリケーション、 イベントトラッキング Ledger アプリケーションデー タへのすべての変更に 対する完全で不変で検 証可能な履歴 SoR(Systems of record)、 サプライチェーン、ヘルス ケア、届出、財務 DynamoDB Neptune Amazon RDS Auror a Commercial Communit y Timestream QLDB ElastiCache DocumentDB

79. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 83 Amazon S3

80. © 2023, Amazon Web Services, Inc. or its affiliates. AWSストレージサービス

    データの格納 Amazon S3 and S3 Glacier オブジェクト Amazon EBS ブロック Amazon EFS ファイルシステム Amazon FSx for Windows File Server Amazon FSx for Lustre データ管理 AWS Backup バックアップ データの移動 オンライン オフライン AWS Storage Gateway AWS DataSync AWS Transfer Family AWS Snowball Edge AWS Snowcone Amazon FSx For NetApp ONTAP Amazon FSx for OpenZFS

81. © 2023, Amazon Web Services, Inc. or its affiliates. 85

    Amazon S3をデータレイクとして活⽤ Amazon S3 データ分析 Amazon EMR Amazon Athena Amazon Redshift データ アーカイブ Amazon S3 Glacier IoT AWS IoT Core Amazon Kinesis ETL AWS Glue AWS Lambda コンテンツ配信 Amazon CloudFront 可視化・BI Amazon QuickSight Amazon Elasticsearch Service データ転送・ バックアップ AWS Snowball AWS Storage Gateway AWS Backup 機械学習・AIサービス Amazon SageMaker Amazon Comprehend Amazon Forecast Amazon Rekognition Amazon Personalize Amazon Textract データカタログ AWS Glue Amazon RDS オンプレミス Amazon S3 を中⼼に様々なデータ活⽤のサービスと連携

82. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    S3 ストレージクラスの整理 86 S3 Intelligent- Tiering S3 Standard (S3 標準) S3 Standard-IA (S3 標準-IA) S3 Glacier Instant Retrieval S3 Glacier Flexible Retrieval S3 Glacier Deep Archive S3 One Zone-IA (S3 1 ゾーン-IA) AWSグローバル インフラストラクチャ 複数のアベイラビリティゾーン (AZ) 1つの AZ 想定されるデータタイプ アクセスパターン が想定できない/ 変化するデータ 頻繁にアクセスされ るアクティブデータ アクセス頻度が低 いデータ 即時取り出しが 必要なアーカイブ データ ほとんどアクセス されない アーカイブデータ ⻑期保存のアー カイブデータ 再⽣可能でアクセス 頻度が低いデータ オブジェクトの耐久性 99.999999999% 99.999999999% 99.999999999% 99.999999999% 99.999999999% 99.999999999% 99.999999999% データの可⽤性 99.9% 99.99% 99.9% 99.9% 99.99% 99.99% 99.5% レイテンシー ミリ秒単位の アクセス ミリ秒単位の アクセス ミリ秒単位の アクセス ミリ秒単位の アクセス 分から時間単位の 復元 (数分〜12時間) 時間単位の 復元 (12〜48時間) ミリ秒単位の アクセス 取り出し料⾦ なし なし GB あたり GB あたり GB あたり GB あたり GB あたり 最⼩ストレージ期間 (最低保存期間) － － 30 ⽇ 90 ⽇ 90 ⽇ 180 ⽇ 30 ⽇ 最⼩オブジェクトサイズ － － 128 KB 128 KB 40 KB 40 KB 128 KB ストレージ価格 * 0.025 〜 0.002 USD/GB ⽉ 0.025 〜 0.023 USD/GB ⽉ 0.0138 USD/GB ⽉ 0.005 USD/GB ⽉ 0.0045 USD/GB ⽉ 0.002 USD/GB ⽉ 0.011 USD/GB ⽉ * 2023年4⽉ 東京リージョンの容量価格（各ストレージクラスで、リクエストや管理の料⾦があります）

83. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    S3 ライフサイクルルールの活用 オ ブ ジ ェ ク ト 作 成 ま た は 更 新 ⽇ に 基 づ く ス ト レ ー ジ ク ラ ス の 移 動 87 PUT GET S3 Standard S3 Glacier Instant Retrieval 90⽇経過 365⽇経過 ⼀度、S3 Standard に Restore で戻してからアクセスする S3 Glacier Deep Archive （S3 Standard に滞在する⽇数を指定する) 初めは Standardへ S3 Glacier Instant Retrieval はミリ秒単位でアクセスできる

84. © 2023, Amazon Web Services, Inc. or its affiliates. S3

    Object Lock 機能 ⼀ 定 期 間 改 竄 で き な い I M M U T A B L E な 状 態 を 提 供 88 Immutable な状態で データ保存が可能な状態 • Object Lock の有効化はバケット単位(新規バケットのみ)、 またはオブジェクト単位 Bucketのデフォルト設定 Objectをアップロードしたら デフォルトの保持期間を自動設定 Object単位の設定 Object毎に個別に設定 • 2種類の保持モード (Retention Mode) ガバナンスモード 特定のIAMアクセス許可を持つ ユーザは、上書き・削除が可能 コンプライアンスモード 保持期間中は、rootユーザを含む どの権限のユーザも、 上書き・削除はできない ! × • 保持期間を設定 (Retention Period) 日もしくは年単位で設定可能 • 加えてリーガルホールド (Legal Hold) の設定が可能 Object Lockの実行状態に関わらず設定が可能 保持期限の設定はなく、ON/OFFで制御 IAMでリーガルホールドの権限を付与されたユーザのみ操作可能 • S3のバージョニング機能が⾃動で適⽤される事で、 ⾒た⽬上は削除や上書きの処理に影響は無し

85. © 2023, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 運用サービス 89

86. © 2023, Amazon Web Services, Inc. or its affiliates. 運用において留意いただきたいこと

    90 https://pages.awscloud.com/JAPAN-event-OE-At-least-10-security-2023-reg-event.html 1. Amazon CloudWatch : システムをモニタリング・ログを収集する 2. AWS CloudTrail : AWS で起きた事実を記録する 3. AWS Budget, AWS Cost Explore : コスト面で「安心」を確保する 4. AWS GuardDuty : セキュリティ脅威検知を行う 5. AWS Security Hub : AWS環境のセキュリティの状態を一元的に管理する

87. © 2023, Amazon Web Services, Inc. or its affiliates. 91

    Amazon CloudWatch 91 EventBrige (CloudWatch Events) CloudWatch Metrics CloudWatch Logs CloudWatch Logs Insights CloudWatch Dashboards CloudWatch はモニタリングに関する様々な機能を提供 time-base event-base メトリクスを送信 ログを送信 メトリクスに応じた アクションの実⾏ ログの可視化 イベントに応じた ターゲットによる処理 メトリクスを送信 AWSサービス お客様システム CloudWatch Alarms

88. © 2023, Amazon Web Services, Inc. or its affiliates. CloudWatchができること

    1. 各AWSサービスのメトリクス監視 § メトリクス = 監視項⽬（例︓CPU使⽤率） § メトリクスはあらかじめ定義され、構成済み – サービス開始時から監視開始 – EC2ではハイパーバイザーから監視できる項⽬ § メトリクスを追加定義も可能 (Agent/API経由) – カスタムメトリクス – お客様⾃⾝のアプリケーション、スクリプト、サービスで⽣成 されたデータをモニタリング可能 § メトリクス値を時系列にグラフ表⽰ 2. 各メトリクスに対してアラームを作成可能 § しきい値を設定（例︓CPU使⽤率60%以上） § メトリクス値がしきい値を越えたら起こすアクションを定義（例︓メールで通知） 3. EC2上のログ監視 ・・・Amazon CloudWatch Logs § メトリクスとアラームも作成可能

89. © 2023, Amazon Web Services, Inc. or its affiliates. CloudWatch利⽤イメージ：メトリクス監視

    i-xxxxxxxxxxxx i-xxxxxxxxxxx 対象インスタンス を検索 メトリクスを 選択 グラフ表⽰期間 の指定 アラーム状態 の表⽰ i-xxxxxxxxxxx i-xxxxxxxxxxx

90. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    CloudTrail • AWS アカウントにおける各種操作の ログ記録、継続的なモニタリング、保持が可能 • いつ、どこから、誰が、どんな操作を実⾏したか を記録し、セキュリティ分析など容易に • 設定により Amazon S3 に証跡を⾃動保存する AWS CloudTrail

91. © 2023, Amazon Web Services, Inc. or its affiliates. 監査やモニタリング、⾃動化につながる可視性

    AWS の操作は API 経由で実施され、そして記録される 95 SDK AWS SDK (プログラム) C:¥ AWS CLI (コマンドラインツール) AWS マネジメント コンソール そのほかの AWS のサービス (サービス同⼠の連携) AWS のサービスの API エンドポイント 誰? どこ? いつ? 何?

92. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    CloudTrail が記録する操作履歴を見る 過去 90 日間のイベント（操作履歴）を無料で参照、ダウンロード可能※ 単一キーの簡易フィルタリング機能で平時の運用にも役立つ ※AWS の主要な操作履歴である管理イベントのみ。 他のイベントについてはこちらを参照。 EC2 インスタンス起動 リソース 関連情報

93. © 2023, Amazon Web Services, Inc. or its affiliates. コスト管理

    運⽤うっかりミスの例 • ⼤きな EC2 インスタンスタイプの • 検証環境を⽴ち上げて放置 不具合作り込みの例 • Lambda 関数で無限ループ発⽣ 意図しないアクセスの例 • 公開リポジトリにアクセスキーをコミット、 第三者に利⽤され、仮想通貨のマイニング⽤ インスタンスを⼤量に作成された コストの急増は、請求されるま で気づけないことも （安⼼を確保できていない） コストが急増する要因はさまざま

94. © 2023, Amazon Web Services, Inc. or its affiliates. コスト面で「安心」を確保する

    AWS Budgets と AWS Cost Anomaly Detection コスト急増の兆候を早期に掴む AWS Cost Explorer コスト内訳を把握し、 セキュリティ事象に関連するリソースを特定する

95. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Budgets 予算アラート コストが高額になる兆候を知らせてくれる • 実績/予測コストが、予算に対する「しきい値」を超えると警告メール • 予算の監視とアラート通知の受信は無料 1. AWS Budgets コンソールで 「予算を作成する」ボタンを押下 2.予算タイプの選択と、予算、 対象サービスなどを選択 3. 予算に対するしきい値を指定、 アラートを作成し登録 ※ AWS Budgets の料⾦詳細はこちらを参照。 ※ 同様のコストに関するアラートとして、機械学習を⽤いた AWS Cost Anomaly Detection はこちら

96. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Budgets 予算アラート - メールサンプル 設定した 予算 予測 or 実績 アラート しきい値

97. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Cost Anomaly Detection による検知 機械学習で普段と異なるコストの振る舞いを検知するため、コスト影響金額のし きい値を設定するだけでよく、予算アラートと合わせて活用するとよい 1. コストモニターを作成する 2.アラートサブスクリプションを 作成しメール通知先を指定 3. 検出履歴に異常なコスト の検出状況が表⽰されて いれば設定完了 Billing and Cost Management à Cost Analysis à Cost Anomaly Detection

98. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

    Cost Explorer でコスト内訳を把握し、 セキュリティ事象に関連するリソースを特定 リージョン単位分析 (例︓未使⽤リージョンのコスト 急増から影響範囲を推測) サービス単位分析 (例︓EC2 のコスト急増から意図 しないインスタンスの所在把握) コンソールから「有効化」して利⽤ データ⽣成に 24 時間程度かかります • 最⼤過去 13ヶ⽉まで遡ってグラフで可視化 • フィルターやグルーピングでドリルダウン • コスト最適化提案の推奨 • 今後 3ヶ⽉間のコスト予想

99. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

    GuardDuty 大規模に AWS を運用する上位 2,000 社の 90% が利用 • 機械学習と豊富な脅威情報に基づいた 脅威検知で、お客様の AWS 環境を保護 • AWS が管理する基盤で動作し、導⼊時の 構成変更不要 & 性能影響なし • 脅威検知⼿法は AWS が継続的に改善 Amazon GuardDuty

100. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

     GuardDuty の検出結果例 104 偵察 インスタンス の侵害 アカウントの 侵害 通常と異なる API アクティビティ 悪意のある既知の IP 通常と異な るポート ポートスキャン 通常と異なる トラフィック量 通常と異なるインスタンスまたは インフラストラクチャの起動 匿名化プロキシ 窃取された 認証情報の悪⽤ ビットコイン アクティビティ DNSを⽤いた不正通信 CloudTrail の無効化 RDP/SSH ブルート フォース

101. © 2023, Amazon Web Services, Inc. or its affiliates. お客様・専門家に代わり、継続的かつ高度な脅威検知を実施

     HIGH MEDIUM LOW Amazon Detective AWS Security Hub Amazon EventBridge アラート・対応⾃動化、 パートナー ソリューション連携 VPC Flow logs DNS Logs CloudTrail Events S3 Data Plane Events EKS control plane logs & runtime activities RDS Login events EBS volumes 「既知の脅威」検知 脅威インテリジェンス (情報収集活動)に基づく検知 「未知の脅威」検知 機械学習による 普段と異なる振る舞い検知 検出結果 データソース ⾼度な脅威検知 統合・対応・⾃動化 「継続的」改善 脅威インテリジェンスや機械 学習、検出結果タイプ⾒直し

102. © 2023, Amazon Web Services, Inc. or its affiliates. 数クリックで簡単に高度な脅威検知を始めることができる

     サンプルの脅威検知 結果を⽣成 設定画⾯ Amazon GuardDuty コンソール 検出結果画⾯ ※リージョン単位で検知するため、全リージョンで有効化することが望ましい

103. © 2023, Amazon Web Services, Inc. or its affiliates. セキュリティの状態管理を一元的に把握し、対応・改善

     AWS Security Hub • 組織内の様々なセキュリティデータを集約、 ⼀元的に可視化してリスクを評価 • AWS における CSPM (Cloud Security Posture Management) • すぐに利⽤できるセキュリティ基準 • AWS のセキュリティベストプラクティス • CIS AWS Foundation Benchmark • PCI DSS • NIST SP800-53

104. © 2023, Amazon Web Services, Inc. or its affiliates. すぐに活用できるセキュリティ基準（ベースライン）で

     「何をどのような重要度に基づき対処するか」判断していく • ベストプラクティスに基づき 200 以上の観点による継続評価 • AWS 基礎セキュリティのベストプラクティス • CIS AWS Foundation Benchmark • PCI DSS • NIST SP800-53 • 検出結果はダッシュボードに集約 • 対策のための プラクティス情報の参照

105. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

     セキュリティサービスをはじめ多数のソースの セキュリティ検出結果を一元化し、アクションに繋げていく その他、AWS パートナーソリューション その他、AWS サービス 検 出 結 果 検出結果 セ キ ュ リ テ ィ チ ェ ッ ク ・ コ ン プ ラ イ ア ン ス 調 査 修正アクション 検出結果 検 出 結 果 対応パートナー その他、AWS パートナー ソリューション 検 出 結 果 その他、AWS セキュリティサービス Amazon Detective AWS Security Hub Amazon EventBridge 検出結果のソース 検出結果を起点としたアクション・深堀

106. © 2024, Amazon Web Services, Inc. or its affiliates. 開発サービス

     110

107. © 2023, Amazon Web Services, Inc. or its affiliates. AWS

     Cloud9 nブラウザだけでコードを記述、実⾏及びデバッグできるクラウドベースの統合 開発環境（IDE） nJavaScript、Python、PHPなどのよく使⽤されるプログラム⾔語の主要ツール を同梱 nオフィス、⾃宅、その他どこでもインターネットに接続されたマシンを使⽤し てプロジェクトで作業可能 nサーバーレスアプリケーション開発⽤の シームレスなエクスペリアンスを提供 n開発環境をチームで共有しペア プログラミングが可能 nAWS CodeStarから環境構築可能 nLinux環境、SSH踏み台環境として https://aws.amazon.com/jp/about-aws/whats-new/2017/11/introducing-aws-cloud9/

108. © 2023, Amazon Web Services, Inc. or its affiliates. Amazon

     CodeWhisperer • 機械学習を⽤いたコード推奨⽣成サービス Amazon CodeWhisperer が新機能を追加 • シングルサインオンに対応し、組織としてのユーザ管理 が容易に • AWS Builder IDの仕組みを介して、AWSアカウントがな くともEメールアドレスを使って数分でサインアップが可 能に • C#, TypeScriptを新たにサポート。従来のPython, Java, JavaScriptとあわせて5つの⾔語で利⽤可能に • VS Code, JetBrains, AWS Cloud9といったIDEの 拡張機能として利⽤可能 ⼀ 般 利 ⽤ 開 始

109. CI/CD に関連する AWS サービス M O N I T O

     R D E P L O Y T E S T B U I L D S O U R C E / A R T I F A C T C O D I N G AWS CodePipeline AWS Cloud9 AWS IDE Toolkits AWS CodeCommit + AWS CodeArtifact AWS CodeBuild AWS CodeBuild + Third Party AWS CodeDeploy AWS X-Ray Amazon CloudWatch AWS CloudFormation AWS SAM AWS Cloud Development Kit M O D E L AWS CodeStar Amazon CodeGuru Reviewer Amazon CodeGuru Profiler

110. AWS CodeCommit § セキュアでスケーラブルなマネージドGit互換ソース管理 § 標準的な Git ツールが利⽤可能 § Amazon

     S3 のスケーラビリティ、可⽤性、堅牢なストレージ § リポジトリサイズの上限なし § コンテンツの直接編集をサポート § プルリクエスト機能に対応

111. リポジトリのコンテンツ参照

112. コミット履歴の表⽰ § ブランチを切り替えて表⽰可能 § 直前のコミットとの差分を⽐較できる

113. プルリクエストの作成 § リポジトリのユーザに対する作業内容の通知 § プルリクエストを起点として、議論やコミュニケーションの機会を提供 § コードレビューや変更箇所の精査ができ、品質改善に繋がる

114. 構成例: Amazon ECS での CI/CD パイプライン 2. ソースアーティファクトを格納 Source XXX

     CodeCommit Build XXX CodeBuild Deploy XXX Amazon ECS ソースアーティファクト ビルドアーティファクト 4. ソースアーティファクトを 取得 1. 変更を取得 5. ビルドアーティファクトを 格納 3. ビルドを実⾏ 6. 成功を通知 7. CodePipelineでイメージを更新 MyApplication AWS CodeCommit Amazon ECS Amazon ECR AWS CodeBuild Amazon S3 8. ビルドアーティ ファクトを取得

115. AWS Hands-on for Beginners https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/

116. © 2023, Amazon Web Services, Inc. or its affiliates. ©

     2024, Amazon Web Services, Inc. or its affiliates. 126 4.AWS上での開発イメージ /AWSの学習方法

117. © 2023, Amazon Web Services, Inc. or its affiliates. AWS上でシステムを構築するまでの大まかな流れ

     1. メールアドレスを用意し、AWSアカウントを作成する →同じメールアドレスを複数のAWSアカウントで使い回しはできません 2. rootユーザーでログインし、操作用のIAMユーザーを作る →rootユーザーにはMFAキーを設定し、以後は基本利用しないようにしましょう 3. 作成したIAMユーザーでログインし、AWSのリソースを作成する →AWSのAPIを操作してリソースの作成や設定を行います。 4. 作成したAWSのリソースにアクセスし、(手元にあれば)ミドル ウェアなどの設定を行なった上で資源をデプロイし稼働させる 127

118. © 2023, Amazon Web Services, Inc. or its affiliates. AWSのAPI〜APIの仕組みと利用方法〜

     128 AWSのAPIとは？ AWSのサービスを操作する為のインターフェースは 全てAPIとなっており、そのAPIを操作することで AWS上で必要なリソースを作成や設定を行います。 APIはどこで提供されるの？ APIではサービスを提供している地点を「エンドポイ ント」と呼びます。AWSでは、サービスごとにエン ドポイントが定義・提供されており、これを「サー ビスエンドポイント」と呼びます。 APIでどうやって指示を出すの？ APIで利用できる操作はActionsとして一覧化されて います。操作したい内容のアクションを呼び出すこ とでAWS上のリソースに対する操作ができます。 [ブログ]AWSのAPIを理解しよう：https://aws.amazon.com/jp/builders-flash/202209/way-to-operate-api/?awsf.filter-name=*all

119. © 2023, Amazon Web Services, Inc. or its affiliates. AWSのAPI〜APIの仕組みと利用方法〜

     AWS Management Console AWS CLI AWS Cloudformation 129 ブラウザからGUIで操作する方法 最もお手軽で、ブラウザで操作を 行うとAWSのAPIが実行される形 コマンドラインツールとしてAPI を実行する方法 jsonまたはyaml形式でリソースを コードで定義して展開できるサービス。 また、Cloudformationを生成する AWS SDKsやサードパーティの製品も 存在する。 本番環境ではIaCとしてコードで管理・API実行ができる方法を選択する事をおすすめします。

120. © 2023, Amazon Web Services, Inc. or its affiliates. AWSのリソース作成と操作の経路イメージ

     130 VPC AWS Cloud AWS account Corporate data center AWS Management Console Internet https:443 システム開発/管理者 Amazon EC2 Instance AWS Site-to-Site VPN Internet ssh:21 VPN ssh:21 ① APIを発行(マネジメントコンソール)で VPCやEC2など各AWSサービスの リソースを作成する。 ② 作成したリソースに各プロトコルで接続。 例えば、EC2でLinuxOSのサーバを立ち上 げた場合、インターネット経由または VPN経由でsshで接続を行うことが出来る。 ① ② Application Load Balancer エンドユーザー Internet https:443 ③ エンドユーザーはサービス用に設定した 接続経路でアクセス ③

121. © 2023, Amazon Web Services, Inc. or its affiliates. AWSの学習の進め方(1)

     AWS 初学者向けの勉強方法 6 ステップ！ 公開資料 AWSサービスの詳細を学びたいときは？ • BlackBeltシリーズ • サービス別の「よくある質問」 131 https://aws.amazon.com/jp/blogs/news/2022-aws-beginner-learning/ https://aws.amazon.com/jp/events/aws-event-resource/?cards.sort- by=item.additionalFields.SortDate&cards.sort-order=desc https://aws.amazon.com/jp/events/aws-event-resource/archive/?cards.sort- by=item.additionalFields.SortDate&cards.sort-order=desc&awsf.tech-category=*all

122. © 2023, Amazon Web Services, Inc. or its affiliates. AWSの学習の進め方(2)

     AWS認定 Cloud Practitioner https://aws.amazon.com/jp/certification/certified-cloud-practitioner/ Solutions Architect Associate https://aws.amazon.com/jp/certification/certified-solutions-architect-associate/ Developer Associate https://aws.amazon.com/jp/certification/certified-developer-associate/ 132

123. © 2023, Amazon Web Services, Inc. or its affiliates. AWS学習コンテンツ

     AWSでは初級レベルから上級レベルまで様々な学習コンテンツをご⽤意しております。 本⽇は「AWSハンズオン」と「AWSトレーニング」をご紹介します。 プロフェッショナル 上級レベル アソシエイト 中級レベル ベーシック 初級レベル AWS ハンズオン 資料* ハンズオン チュートリアル* ハンズオン ウェビナー イベント ドキュメント・資料集 AWS ドキュメント AWS ホワイトペーパーとガイド AWS ソリューション実装 よくある質問 * AWS無料利⽤枠を超えると費⽤が発⽣します AWS クラウドサービス活⽤資料集 AWS Webinar • AWS Black Belt Online Seminar • 初⼼者向けセミナー • AWSome Day Online AWS Summit ※ ボックスをクリックすると該当のWebページが開きます AWS Innovate AWS トレーニング AWS トレーニング

124. © 2023, Amazon Web Services, Inc. or its affiliates. Thank

     you! © 2024, Amazon Web Services, Inc. or its affiliates.

125. © 2023, Amazon Web Services, Inc. or its affiliates. ©

     2022, Amazon Web Services, Inc. or its affiliates. 補足資料 よくあるクラウド一般に まつわる質問 135

126. © 2023, Amazon Web Services, Inc. or its affiliates. クラウドとは？

     • クラウドとは、自分たちでハードウェアや設備を購入、準備することなく、ネットワーク経由 でコンピューティング、データベース、ストレージ、ソフトウェアといったさまざまな IT リ ソースをオンデマンドで利用することができるサービスの総称 • 利用までにかかる時間の圧倒的短縮、需要の縮⼩/拡張にあわせたリソースの利用、利用した 分だけの支払いという従量課金制、IT 資産の固定費から変動費への転換といった特徴がある 利⽤までにかかる 時間の圧倒的短縮 需要の縮⼩/拡張に あわせたリソースの利⽤ 利⽤した分だけの ⽀払いとなる従量課⾦制 IT 資産の固定費から 変動費への転換 参考．NIST（アメリカ国⽴標準技術研究所） によるクラウドコンピューティングの定義 https://www.ipa.go.jp/files/000025366.pdf 136

127. © 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集

     1/4 Ø クラウドサービスの運⽤詳細は公開されておらずブラックボックスとなっていますか︖ ü AWSの場合、サービスの運⽤状況やコンプライアンスレポートなどについて公開しています。 l Service Health Dashboardでの公開 (https://status.aws.amazon.com/) l お客様に影響するAWSイベントが発⽣した場合には、Personal Health Dashboardで通知が利⽤可能 l 各種コンプライアンスレポートに関してはAWS Artifactから直接ダウンロード可能 Ø 様々な利⽤形態がありますが、責任分界点は︖ ü AWSの場合には責任共有モデルをとっています。クラウド⾃体のセキュリティについてはAWS、クラウド内の利⽤ に関する責任はお客様にあります。 Ø オンプレミスとクラウドサービスの併⽤、マルチクラウドはどどうなのですか︖ ü クラウドへの移⾏のために、オンプレミスとクラウドを接続することは多く⾏われています。またレイテンシーが ⾮常に重要な場合や、法令・規約により移動できないシステムとの接続の場合にもオンプレミスと接続され、併⽤ されることがあります。 ü マルチクラウドを考える前にマルチAZ(アベイラビリティゾーン)の利⽤をお勧めしています。マルチクラウドの場 合には、サービスレベルを低い⽅に合わせなくてはならない点、複数の環境を覚えて扱う必要がある点、環境間の ネットワークレイテンシーなど様々な課題が増えてきます。そのためまずは、可⽤性を⾼めるにはマルチAZ、マル チリージョンなどの検討をお勧めしています。 137

128. © 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集

     2/4 Ø 他の利⽤者の影響が⼼配︖ ü AWSにはVPC(Virtual Private Cloud)の仕組みがあり、閉じたネットワーク構成が作成でき、その中にインスタン スを配置可能です。VPCは複数作成できますので、それぞれ独⽴した環境でシステムを構成可能です。 Ø クラウド事業者のリソース不⾜は︖ ü いつでも開始していただけるようリソースを⽤意しております。空いているリソースはスポットという料⾦体系で 提供もしています。 ü ⼤規模計算⽤途の場合には他のリージョンもご利⽤いただくとさらに多くのリソースが利⽤可能です。東京に⽐べ、 時間あたりのコストが安いリージョンもあります。 ü 勝⼿に海外のリソースにデータが置かれてしまうことは︖ ü AWSの場合 : お客様は、データを保存する地理的な場所を選択します。お客様がデータの移動を選択しない限り、 データが移動されることはありません。東京リージョンを選択すればデータは⽇本国内に置かれます。 Ø 国内法は適⽤される︖ ü 登録住所が⽇本の場合には第⼀審裁判所は東京地⽅裁判所になります。 138

129. © 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集

     3/4 Ø データの扱いは︖ ü AWS はお客様のデータにアクセスできず、データの保存、管理、保護⽅法はお客様が選択します。責任共有モデ ルにおけるデータの所有権と管理に関して、4つの重要な基本事項があります。 • お客様は継続してデータを所有します。 • お客様は、データを保存する地理的な場所を選択します。お客様がデータの移動を選択しない限り、データが 移動されることはありません。 • お客様はいつでもデータをダウンロードまたは削除できます。 • お客様はデータの機密性を考慮し、転送中や保管時にデータを暗号化するかどうか、および暗号化⽅法を決定 します。 Ø クラウド⾃体のセキュリティ、リスク対策はどのようになっている︖ ü クラウドセキュリティは AWS の最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満 たすよう構築されたデータセンターとネットワークアーキテクチャを利⽤できます。 (https://aws.amazon.com/jp/security/) ü 各種コンプライアンスレポートはAWS Artifactから直接ダウンロードして確認いただくことが可能です。 ü 参考資料 「 AWSにおけるクラウドコンプライアンスの 実践 」 (https://pages.awscloud.com/rs/112-TZM- 766/images/D2-06.pdf) 139

130. © 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集

     4/4 Ø クラウドに持って⾏けないデータがある︖ ü AWSの場合、お客様のデータをAWSが⾒ることはありません。データを置く場所も暗号化の⽅式もお客様が決定で きます。 ü 機関内に「物理的に」置かなくてはならないと「漠然と」考えている場合には、本当にそうなのかを確認いただく ことが重要です。実際にはデータの保管場所について機関のポリシーで物理的な位置が指定されていることは希で す。 ü AWSを利⽤頂くことで、セキュリティや耐久性を⾼めた形でデータを保管いただくことが可能と考えられます。 Ø クラウドでは障害が発⽣しやすい/発⽣しない︖ ü It depends. ü AWSでは、様々なレベルでシステムを冗⻑化できるサービスを提供。基幹システムなど利⽤を想定しデータセン ターレベルでの冗⻑化が標準で⾏われている。 ü AWS上で構築するお客様システムの可⽤性は、アーキテクチャやネットワーク、運⽤、ソフトウェア品質等の要因 によって決まる。適切なアーキテクチャを実装することで、可⽤性の⾼いシステムを構築する事が可能。 140

131. © 2023, Amazon Web Services, Inc. or its affiliates. ©

     2022, Amazon Web Services, Inc. or its affiliates. 補足資料 クラウドジャーニー 141

132. © 2023, Amazon Web Services, Inc. or its affiliates. クラウド活用の道のり(2つのアプローチ方法)

133. © 2023, Amazon Web Services, Inc. or its affiliates. クラウドジャーニーにおけるステージ

     FOUNDATION PROJECT MIGRATION REINVENTION 限られたヒトが 多くの経験を積む •特定要件のために利用 •効果的な選択肢か検証 •社内で有識者が認知 基礎を固めながら 小さな成功を積み重ねる 全社的に利用し ビジネス効果を享受 クラウドを最大活用し ビジネス効果を最大化 •推進組織が立ち上がる •ガイドラインや環境が整備 •徐々に本番稼働 •既存データセンターと接続 •デフォルトの選択肢となる •“なぜクラウドなのか”から “なぜクラウドでないのか” に変わる •アーキテクチャー、運用、 組織が最適化 •IT戦略におけるクラウドの 位置づけが明確になる •多くのシステムが移行 •推進組織が確立 •充分な実績やナレッジが蓄 積される •データセンターの縮小