【 AWS スタートアップガイド】 設計・構築と運用のベストプラクティスで 安心・安全に AWS 本格活用を成功に導く

Transcript

1. 【 AWS スタートアップガイド】 設計‧構築と運⽤のベストプラクティスで 安⼼‧安全に AWS 本格活⽤を成功に導く 2024.7.4 AWS事業本部 菊地

   武

2. Xへの投稿の際は ハッシュタグ #devio2024 でお願いいたします。 2 お願い

3. ⾃⼰紹介 3 菊地 武 KIKUCHI Takeshi (キクタケ) 出身/居住地 • 出身地：

   岩手県奥州市（大谷翔平と同郷） • 居住地： 宮城県仙台市宮城野区 経歴 • 国内大手通信キャリアでマネージドサービスの立ち上げなどに従事 • 2021年4月にクラスメソッドへ入社 ◦ 2023年7月よりAWS事業本部 運用イノベーション部へ異動 好きなこと 運用設計、業務改善（要件整理、仕組み化や自動化、など）

4. AWS のお困りごと ありませんか？ 4

5. よくご相談いただく事項 • AWS の知⾒がない/少ない • セキュリティ対策を万全にしたい • アカウントが増えて統制が取れない • ⼈材が育たない/採⽤が出来ない

   • 運⽤が⼤変/⼿が回らない などなど 5

6. 弊社の考える ベストプラクティスを ご紹介します 6

7. 設計‧構築の ベストプラクティス 7

8. 弊社が公開しているナレッジ、 提供しているサービスについて ご紹介します 8

9. Classmethod Cloud Guidebook (CCG) 9

10. CCG の位置付け 10 DevelopersIO を体系的にまとめたドキュメントです。

11. CCG の⽬的 組織内における AWS ガバナンスの⽀援を⽬的とし、複 数の AWS 環境を活⽤する際の管理⽅法やセキュリティ 対策の検討‧判断に役⽴つ情報をまとめています。 主に

    CCoE、DX 推進、技術企画部⾨などの組織内にお ける AWS 全体の管理者やセキュリティ担当者を主な読 者として想定しています。 11

12. （参考）CCoE とは 12 CCoE (Cloud Center of Excellence) ＝クラウド利⽤に関 するノウハウを集約

    するためのチーム

13. CCG へのアクセス⽅法 クラスメソッドメンバーズのお客様に無償でご提供しています！ 13

14. CCG の構成 14 CCG は４コンテンツで構成されています。

15. 組織管理ガイド • AWS サービス別トピック • よくあるお悩みトピック ◦ マルチアカウント管理の必要性‧全体像 ◦ ユーザーのクロスアカウントアクセス環

    境実装 ◦ SCP（予防的ガードレール）の活⽤⽅法 15

16. Security Hub ガイド 16 Security Hub で検知した内容への対応指針が⽰されています。

17. ガイドラインサンプル 17 CCoE がガイドラインを策定する際 に、ガイドラインサンプルを参考に 事前にアウトプットイメージを掴ん でおくことで、策定プロセスをス ムーズに進めることが出来ます。

18. CCG をお客さまの クラウドジャーニーの お供にご活⽤ください！ 18

19. セキュアアカウント サービス 19

20. AWSサービス総合支援サービス　クラスメソッドメンバーズ 20 CONFIDENTIAL 24/365無償技術サポート AWSトレーニング AWS環境構築支援 / AWSシンプル構築パッケージ（受託型） PoC支援 /

    Well-Archi支援 / 運用設計支援（準委任型コンサル） AWS移行支援サービス モダナイゼーション支援 クラウド保険 CCoE構築支援サービス AWSコスト最適化支援 AWS技術アドバイザー 日本円建て 請求書払い 一律7%割引プラン 7%OFF 主要EC2オンデマンド15%OFF 　　 Cloudfrontアウトバウンド65%OFF 組織管理プラン 4%OFF EC2・CDN 割引プラン セキュアアカウントサービス or or AWS管理ポータル 基本 サービス 初期費用 月額手数料 無料 基本サービスによるセキュリティやコストメリットに加え、プレミアムサービスをご活用頂くことで 各ステージ毎のAWS課題を解決し、AWS活用によるビジネスメリットを最大化します。 AWS最適化ステージ AWS活用ステージ AWS利用ステージ AWS導入ステージ + プレミアム サービス 有償支援 任意契約 手数料10%

21. セキュアアカウントとは… 21 推奨される設定が適用された状態のAWSアカウントをご提供 
 ※1:お渡し後、IAMユーザーのMFAを設定していただくとセキュリティスコアが更に上がります。 ※　いずれのアカウントでも初期設定したAWSリソースやサービスの利用費が発生いたします。 ※　セキュアアカウントにおいては初期状態で最低でも約$5～$15程度の利用費が発生します。 AWSの責任共有モデルに基づきAWSのセキュリティ対策サービスを最大限活用できるように設定したアカウントを 提供するサービス。「AWS基礎セキュリティ基準ベストプラクティスv1.0.0」のセキュリティスコア90%の状態（※1） で

    アカウントを提供。 CONFIDENTIAL 項目 ベーシックアカウント セキュアアカウント 差分あり項目 ガバナンス CloudTrail 〇 CMKを追加 ガバナンス Config 一部のリソース 全リソース ガバナンス S3バケット 保存期間400日 CMKを追加 保存期間3年 ログファイル検証 追加設定項目 セキュリティ EBS暗号化 × 〇 セキュリティ GuardDuty、Security Hub、Detective、IAM Access Analyzer有効化 × 〇 セキュリティ EventBridge + SNS × 〇 d

22. セキュアアカウント 設定維持とは… 22 既存のAWSアカウントについては、「セキュアアカウント初期設定」に準じた設定を行いその維持 もサポートします。クラスメソッドメンバーズ配下のAWSアカウントでうっかりセキュリティを弱 くしても、自動的に元に戻せます。 アカウントの設定は、クラスメソッドメンバーズポータルから詳細な設定ごとに有効化可能です。 ※注意事項: 既存環境に影響するため、ドキュメントを確認して有効化してください CONFIDENTIAL

23. 万全の対策で 安⼼‧安全に AWS をご活⽤ください！ 23

24. 運⽤の ベストプラクティス 24

25. クラウドネイティブな 運⽤のあり⽅とは？ 25

26. 運⽤のベストプラクティス① • Observability（可観測性）を⾼める ◦ メトリクス、イベント、ログ、トレース ◦ 分散アーキテクチャの追跡には必須 例：CW、Datadog、NewRelic など •

    Anomaly Detection（異常検知）を活⽤する ◦ 例：AWS Cost Anomaly Detection、Amazon DevOps Guru など 26

27. 運⽤のベストプラクティス② • ユーザー視点で SLI/SLO を設定する ◦ 4xx/5xx エラー率、レスポンスタイムなど • 要アクションにアラートを設定する

    • ITSM ツールと連携してチケット化する • 検知後のプロセスを予め整備しておく • 確⽴したプロセスの⾃動化を進める ↑ ここが後回しにされがち 27

28. 参考ドキュメント 【開催報告 & 資料公開】 AWS 春の Observability 祭り 2024 https://aws.amazon.com/jp/blogs/news/awso

    bservabilityfes2024spring/ 28

29. アウトソースする事で よりビジネスに集中 する選択肢もあります 29

30. クラスメソッド マネージドサービス 30

31. ・AWS国内支援実績No.1のクラスメソッドがマネージドサービスプロバイダー（MSP）として、 　お客様のAWS運用をサポートします。 ・最新のツールでAWS環境の監視/運用代行を担い、お客様へ運用負荷軽減と安心を提供します。 クラスメソッドマネージドサービスの特徴 定常作業 監視 ・お客様の日常的な運用作業を代行します。 ・ユーザー追加/削除やポリシー変更作業等の煩雑な作業を代行。 ・ITIL準拠のサービス提供により抜け漏れのない統制を実現。 ・24時間365日お客様のAWS環境を監視します。

    ・SaaS型の「Mackerel」を採用しているため、 　監視サーバ自身の構築・保守が不要です。 31 障害対応 ・障害時の迅速なサービス復旧をお手伝いします。 ・アラート発生時に復旧操作 (再起動等) を行えます※。 ※要事前設定 SaaS 最新ツールで 安定運用をご支援

32. 　　 ライト プラン 標準的な監視・運用・障害対応を定型化しパッケージにすることで、低価格で平準化された サービスを提供します。 32 定型プランのご案内 障害にいち早く気づいて 自ら対処したいお客様にオススメ！ 監視・受付・通知

    障害発生時の一次措置 二次措置・運用代行 　　 スタンダード プラン 日々の運用業務を任せて 本業に集中したいお客様にオススメ！ 監視・受付・通知 障害発生時の一次措置 二次措置・運用代行 監視/通知に絞り込んだ プランです。 お客様のAWS環境を24時間 365日無人監視し、異常検知 時にはメールでお客様へ通 知します。 監視システムの導入や監視 設定などの作業はクラスメ ソッドが提供します。 監視/通知に障害対応や運 用代行、パッチ適用作業代 行まで含めた、日々の運用 業務をパッケージ化したプ ランです。 包括的な運用サポートによ り、お客様の運用業務負荷 軽減を図ります。 LITE STD

33. 33 事例：某製薬株式会社様 [課題] ・属人的な管理体制からAWS運用の社内リソースが不足 [支援内容] ・クラスメソッドの、AWSに特化した知見を持つ運用チームで、組織的なAWS運用体制※を構築支援 ・AWSインフラの運用に必要な運用項目を協議、作成を支援 ・AWSアカウント利用開始時の定型作業の標準化 ・アカウントにアクセスするための 　IAM

    Identity Centerでのユーザの払い出し ・ネットワークなど会社全体で共通利用するリソースの監視 ・万一のインシデント対応方針と手順の定義 [効果] ・AWSの監視サービスを活用し、パフォーマンスとセキュリティを 　常に最適に保つ仕組み、体制を構築 ・定期的な報告を経営層に共有、透明性の高い運用を実現 ※カスタマイズによる総合支援

34. まとめ 34

35. まとめ • ベストプラクティスをフル活⽤する • セキュリティ設定を有効化して維持する • マルチアカウント化を検討する • 可観測性や異常検知を有効にする •

    検知後のプロセスを整備して⾃動化する • 必要に応じてアウトソースを活⽤する 35

36. お困りごとがあれば ぜひクラスメソッドに ご相談ください！ 36

37. None

38. 38