クラウド移行を成功させるためのAWS活用

Transcript

1. AWS活⽤事例セミナー クラウド移⾏による事業推進の⾼速化 クラウド移⾏を成功させるためのAWS活⽤ 2020/10/20 川原 征⼤ 1

2. 2 ⾃⼰紹介 川原 征⼤ - クラスメソッド株式会社 - AWS事業本部 コンサルティング部 -

   好きなAWSサービス - AWS CloudFormation - AWS Organizations

3. 3 アジェンダ - 事例紹介 - クラウド移⾏を成功させるためのAWS活⽤ - 組織構成 - プロビジョニングツール

   - ログ - セキュリティ

4. 4 事例紹介

5. - AWS 初期環境構築を⽀援させていただきました 5 事例: 塩野義製薬株式会社 クラウド上のHPC環境で創薬サイクルを⾼速化 CCoE創設による活⽤推進: https://classmethod.jp/cases/shionogi/

6. 6 事例: 塩野義製薬株式会社

7. 7 クラウド移⾏を成功させるためのAWS活⽤ 〜今回の事例とともに〜

8. 安⼼してクラウド環境を 運⽤するために 8 まずまとめ # セキュリティ セキュリティ対策は必須 ・予防的ガードレール ・発⾒的ガードレール #

   組織(アカウント)構成 まずは組織枠組みを作成 ・マルチアカウント利⽤ ・AWS Organizations 活⽤ # プロビジョニング インフラをコード化、リソース展開/管理 を効率化 ・IaC 活⽤ ・AWS CloudFormation StackSets 活⽤ # ログ ログを集約、分析できる環境を構築。 ・AWS CloudTrail ・Amazon VPC Flow Logs ・Amazon S3 Access Logs ・ログ分析/可視化(Sumo Logic) 効率性/今後の管理を考えた 初期環境構築

9. 9 組織(アカウント)構成

10. 10 今回の事例 # 組織(アカウント)構成 初期環境構築。 まずは組織枠組みを作成 ・マルチアカウント利⽤ ・AWS Organizations 活⽤

11. 11 組織構成 #まずは シングル or マルチ - シングルアカウントかマルチアカウントか

12. 12 組織構成 #シングルアカウントのメリット - シングルアカウントのメリット - シンプルな構成で⼿早く導⼊ができる

13. 13 組織構成 #マルチアカウントを使う理由 - マルチアカウントを使う理由 - ガバナンス - 課⾦ -

    セキュリティ

14. 14 組織構成 #マルチアカウントを使う理由 - ガバナンス :: 本番/検証や 部署A/部署Bといった環境を分 離する。明確な権限の分離 -

    課⾦ :: アカウント毎のコスト管理 - セキュリティ :: 問題が起きたときの影響範囲を絞れる

15. 15 組織構成 #マルチアカウントを使う理由 - ガバナンス :: 本番/検証や 部署A/部署Bといった環境を分 離する。明確な権限の分離 -

    課⾦ :: アカウント毎のコスト管理 - セキュリティ :: 問題が起きたときの影響範囲を絞れる ...⼤規模なマルチアカウントの管理コスト⼤変そう → マルチアカウントの管理コストを削減する AWSサービスがあります

16. 16 組織構成 # AWS Organizations - マルチアカウント管理のためのサービス AWS Organizations の⽤語と概念:

    https://docs.aws.amazon.com/ja_jp/organizations/latest/userg uide/orgs_getting-started_concepts.html

17. 17 組織構成 # AWS Organizations - 組織単位(OU)によるグループ化 - サービスコントロールポリシー(SCP)による権限制御 -

    請求の簡素化(⼀括請求) - リソースの共有/展開を容易に

18. 18 組織構成 # AWS Control Tower AWSベストプラクティスに基づいたマルチアカウント 環境のセットアップ/管理を可能にするサービス

19. 19 組織構成 # AWS Control Tower - カスタマイズ性は⾼くないが、AWSベストプラクティスの 構成を良い感じに構築してくれる -

    使う/使わないに関わらず内容⾒てみましょう - マルチアカウントのベストプラクティス構成 - セキュリティガードレール - ...など参考になります AWS マルチアカウント管理を実現する ベストプラクティスとは ?: https://aws.amazon.com/jp/builders- flash/202007/multi-accounts-best-practice/

20. 20 プロビジョニングツール

21. 21 今回の事例 # プロビジョニング 初期環境構築。 インフラをコード化、リソース展開/管理を効率化 ・AWS CloudFormation StackSets 活⽤

22. 22 プロビジョニングツール - まずは AWS CloudFormation(CFn) - インフラをコード化 - リソース構築・管理を効率化

    - 他候補として Terraform, CDK など

23. 23 プロビジョニングツール # CFn StackSets - マルチアカウントのデプロイに CFn StackSets -

    複数アカウントに同じリソースを効率良く展開 - Organizations 連携有り - OU単位で簡単にデプロイ - new!! OU ⾃動デプロイ/削除 - アカウントのベースライン作成など

24. 24 ログ

25. 25 今回の事例 # ログ 安⼼してクラウド環境を運⽤するために。 ログを集約、分析できる環境を構築。 ・AWS CloudTrail ・Amazon VPC

    Flow Logs ・Amazon S3 Access Logs ・ログ分析/可視化(Sumo Logic)

26. 26 ログ # ログの種類 - AWS利⽤者のAPI操作ログ - AWS CloudTrail -

    ネットワーク監視 - VPC Flow Logs - アプリケーションログ - CloudWatch Logs Agent - ...など

27. 27 ログ # 保管は S3が便利。監査ログなどに - S3: 拡張性と耐久性を兼ね備えたストレージ - ログの保管期限をライフサイクル設定で指定

    - 複数アカウントのログを集約 - Amazon Athena, 他 3rdツール(Sumo Logic 等)で分析 【Organizations】組織レベルで CloudTrailの証跡を有効化、S3バケットへ集約する: https://dev.classmethod.jp/articles/make-organizational-trails/

28. 28 セキュリティ

29. 29 今回の事例 # セキュリティ 安⼼してクラウド環境を運⽤するために。 セキュリティ対策は必須 ・予防的ガードレール ・発⾒的ガードレール

30. 30 セキュリティ # ガードレール - AWSにはガードレールを敷くためのサービスが充実 しています - 種類 -

    予防的ガードレール ... やっては⾏けない操作を禁⽌ - 発⾒的ガードレール ... 望ましくない操作を発⾒

31. 31 セキュリティ # ガードレール - 予防的ガードレール - SCP や IAMによる許可/拒否ポリシーの適⽤

32. 32 セキュリティ # ガードレール - 発⾒的ガードレール - Config Rules で望ましくない状態を検出(SSH全開放など)

    - Security Hub で包括的なセキュリティ評価 AWS Config マネージドルールのリスト https://docs.aws.amazon.com/ja_jp/config/latest/developer guide/managed-rules-by-aws-config.html

33. 安⼼してクラウド環境を 運⽤するために 33 まとめ # セキュリティ セキュリティ対策は必須 ・予防的ガードレール ・発⾒的ガードレール #

    組織(アカウント)構成 まずは組織枠組みを作成 ・マルチアカウント利⽤ ・AWS Organizations 活⽤ # プロビジョニング インフラをコード化、リソース展開/管理 を効率化 ・IaC 活⽤ ・AWS CloudFormation StackSets 活⽤ # ログ ログを集約、分析できる環境を構築。 ・AWS CloudTrail ・Amazon VPC Flow Logs ・Amazon S3 Access Logs ・ログ分析/可視化(Sumo Logic) 効率性/今後の管理を考えた 初期環境構築

34. 34 おわりに クラスメソッドのコンサルティング

35. 35 マイグレーション⽀援サービス 1. クラウド移⾏に向けたコンサルティング https://classmethod.jp/news/200416-migration/

36. 36 マイグレーション⽀援サービス 2. クラウド運⽤内製化のご⽀援 https://classmethod.jp/news/200416-migration/

37. 37 クラスメソッドメンバーズ AWS総合⽀援サービス 「クラスメソッドメンバーズ」 メリット満載のAWS請求代⾏サービス コストダウン 1 確かな技術⼒ 2 3

    ⾼品質サポート ⼊会⾦無料 国内最⼤の AWS利⽤費割引 コンサルティングチーム • 定期的なキャンペーン開催 • AWSクラウド保険無償付帯 • 各種⼿続き代⾏ • 経験豊富なAWS専⾨スタッフ • 1000社以上の導⼊実績 • スピーディーに対応 オペレーションチーム • 海外2拠点(バンクーバー、ベルリンを利⽤ して 24時間365⽇の体制で運⽤サポート • 各種セキュリティ基準に準拠 • AWSエンタープライズ相当のサポートを クラスメソッドが提供 5%OFFから AWS全サービス全リージョン 今なら、さらにオトクなキャンペーンも 詳しくは当社営業かWebまで︕

38. 38

39. 39 参考 - CCoE(Cloud Center of Excellence)についてまとめてみた | Developers.IO -

    https://dev.classmethod.jp/articles/about_ccoe/ - AWS Organizations の⽤語と概念 | AWS - https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_getting-started_concepts.html - AWS マルチアカウント管理を実現するベストプラクティスとは ? | AWS - https://aws.amazon.com/jp/builders-flash/202007/multi-accounts-best-practice/ - 2020/6/26 ウェビナー「AWSへのシステム移⾏の『第⼀歩』を理解する︕成功のポイント解説 〜最適化を⽬指した、AWSへの移⾏計画〜」の Q&A を公開します - https://dev.classmethod.jp/articles/20200626-migration-webinar/