ガバメントクラウド（AWS）のあれこれ

Transcript

1. ガバメントクラウド （AWS）のあれこれ @mujyun_furu 2024年9月25日 JAWS-UG東京 ランチタイムLT会 #15 JAWS-UG 名古屋 古林

   信吾

2. 名前 :古林 信吾(ふるばやし しんご) 所属 :JAWS-UG名古屋 役割 :System Administrator/Architect 得意分野

   :オンプレ/クラウドのインフラ運用、構築 ペット :ハリネズミ 、リチャードソンジリス ライフワーク:美味しい日本酒を呑むこと 好きな機能:Amazon EC2(好きだけど嫌い) 2 自己紹介

3. ▪話すこと AWSでの日本政府(デジタル庁)のガバメントクラウドについて ▪話さないこと AWS以外のガバメントクラウドについて 「地方公共団体情報システム標準化」について 3 話すこと/話さないこと

4. １．はじめに ２．ガバメントクラウド（AWS）のあれこれ ３．まとめ 4 アジェンダ

5. １．はじめに 5

6. 6 １．はじめに ▪ガバメントクラウドと聞くと何を思い浮かべますか? AWSの学習者にとっては、GovCloud (米国) リージョンではないでしょうか しかしながら、今回お話するのは日本政府のデジタル庁が定める政府共通の クラウドサービス利用環境としてのガバメントクラウドになります そのため、専用リージョンではありません 引用:AWS

   GovCloud (US) https://aws.amazon.com/govcloud-us/

7. 7 １．はじめに ▪ガバメントクラウドの定義と目的  政府共通のクラウドサービスの利用環境  目標: • クラウドサービスの利点を最大限に活用 •

   迅速、柔軟、セキュア、コスト効率の高いシステム構築 • 利用者にとって利便性の高いサービスを迅速に提供・改善 • 地方公共団体も同様の利点を享受

8. 8 １．はじめに ▪ガバメントクラウドの主な特徴 1.最新のクラウド技術の活用 2.高いセキュリティと可用性 3.スケーラビリティの確保 4.ガバナンス機能とテンプレートの提供 5.政府全体の管理レベル向上 6.ベストプラクティスに基づく品質の標準化 7.セキュリティ、ネットワーク、運用監視の効率化

   8.インフラコストの削減と可視化

9. 9 １．はじめに ▪もう少し簡略化すると  政府と地方公共団体で利用する、デジタル庁統制のパブリッククラウド環境  ISMAP(政府情報システムのためのセキュリティ評価制度)で、評価・登録 されたクラウドサービスのみ利用可能  利用可能なCSP(クラウドサービスプロバイダー)

    AWS  Google Cloud  Azure  OCI  さくらのクラウド(予定:2025年度末までに要件を満たせた場合)

10. 10 １．はじめに ▪ガバメントクラウド用語  GCAS (Government Cloud Assistant Service) ガバメントクラウドを利用するにあたって必要なサービス基盤

     CSP(クラウドサービスプロバイダー) ガバメントクラウドで利用可能なパブリッククラウドベンダー  ASP(アプリケーションサービスプロバイダー) アプリケーションベンダー  ネットワーク運用管理補助者 地方公共団体と ASP を繋ぐネットワークの構築・運用担当  単独利用方式 地方公共団体が自分でアカウントを管理する方式  共同利用方式 ベンダーがアカウントを管理し、複数の地方公共団体の環境を管理する方式

11. ２．ガバメントクラウド（AWS）のあれこれ 11

12. 12 ２．ガバメントクラウド（AWS）のあれこれ ある日突然、 「今日から君はガバメントクラウド案件担当だからよろしく!」 と言われたらどうしますか?

13. 13 ２．ガバメントクラウド（AWS）のあれこれ 正直 「どこに情報があるんだ、何から手をつければいいんだ?」 となります

14. 14 ２．ガバメントクラウド（AWS）のあれこれ 何故なら  読むべき資料が様々なところに点在している  それぞれのボリュームも多い  発注元の地方公共団体側担当が把握しているわけではない

15. 15 ２．ガバメントクラウド（AWS）のあれこれ ▪最低限把握しておく場所 ※2024年9月25日時点の最新 ① デジタル庁本体 ② GCASガイド ③ GCASポータル

    ※GCASアカウント払い出し後でないと参照不可 ④ ISMAP ⑤ AWS公式

16. 16 ２．ガバメントクラウド（AWS）のあれこれ ① デジタル庁本体 デジタル庁ホームページ https://www.digital.go.jp/

17. 17 ２．ガバメントクラウド（AWS）のあれこれ ① デジタル庁本体 「政策」ページ内のリンクにある「ガバメントクラウド」 https://www.digital.go.jp/policies/gov_cloud このページに情報が集約されているのが理想ですが、 「ガバメントクラウド対象クラウドサービス」の情報ぐらいしかありません 必要な情報のリンク貼って!

18. 18 ２．ガバメントクラウド（AWS）のあれこれ ① デジタル庁本体 「政策」ページ内のリンクにある 「地方公共団体の基幹業務システムの統一・標準化」 https://www.digital.go.jp/policies/local_governments こっちに必要な情報があります  地方公共団体情報システムのガバメントクラウドの利用について

     地方公共団体情報システムガバメントクラウド移行に係る手順書  ガバメントクラウド概要解説（全編） ※② GCASガイド配下へのリンク  ガバメントクラウド利用における推奨構成

19. 19 ２．ガバメントクラウド（AWS）のあれこれ ② GCASガイド https://guide.gcas.cloud.go.jp/  ガバメントクラウド AWS 利用ガイド 

    ガバメントクラウドの全般的なガイド 各種把握しておくべき情報あり

20. 20 ２．ガバメントクラウド（AWS）のあれこれ ③ GCASポータル ※GCASアカウント払い出し後でないと参照不可 ガバメントクラウドを利用するにあたって必要なポータルサイト GCASガイドの更に詳しい内容が存在 URLは契約した地方公共団体から教えてもらう

21. 21 ２．ガバメントクラウド（AWS）のあれこれ ④ ISMAP https://www.ismap.go.jp/csm  ISMAPクラウドサービスリスト  ISMAP-LIUクラウドサービスリスト 利用可能なクラウドサービスを確認

    AWSの場合 https://www.ismap.go.jp/csm?id=cloud_service_list_detail&sys_id=c8e0b6cc9361c610a734bb497bba104f Amazon Web Services_言明対象範囲.pdf

22. 22 ２．ガバメントクラウド（AWS）のあれこれ ⑤ AWS公式 地方自治体のためのガバメントクラウド情報サイト(AWS 環境) https://aws.amazon.com/jp/government-education/worldwide/japan/LG-Industry-Site/govcloud-lg/ AWSでガバメントクラウドを利用する際の必要情報のポータル  知っておくべき情報

    (AWS公式ブログでの解説等)  学び方  FAQ 特に以下を参照 自治体のお客様向け「ガバメントクラウド利用タスクリスト」を更新しました https://aws.amazon.com/jp/blogs/news/new-tasklist-for-lg-govcloud-jp/

23. 23 ２．ガバメントクラウド（AWS）のあれこれ ここまでは、情報の在処の紹介でしたが、もう少しAWS向けの話しをします

24. 24 ２．ガバメントクラウド（AWS）のあれこれ ▪アカウント  AWS Control Tower で全体管理  AWS

    Organizations でデジタル庁が Organization root を管理  SCP(サービスコントロールポリシー)を適用  各地方公共団体にアカウントを払い出し AWS Organizations AWS Control Tower

25. 25 ２．ガバメントクラウド（AWS）のあれこれ ▪テンプレート  デジタル庁でガバナンスとセキュリティを目的としてテンプレートを用意  自動適用テンプレート アカウント払い出し時に自動適用  必須適用テンプレート

    ガバメントクラウドを利用する際に必須適用 IaC を利用（CDK または Service Catalog で適用）  サンプルテンプレート 任意適用かつカスタマイズ可能 AWS Service Catalog AWS Cloud Development Kit (AWS CDK)

26. 26 ２．ガバメントクラウド（AWS）のあれこれ ▪ユーザ管理  IAMユーザ作成禁止!  GCASシステムと、IAM Identity Center が連携し、SSO

    アクセスを実施  マイナンバーカードで本人確認の上ユーザアカウント(GCASアカウント)を作成  本番環境操作にはハードウェアMFAデバイスでの多要素認証必須 AWS IAM Identity Center

27. 27 ２．ガバメントクラウド（AWS）のあれこれ ▪ネットワーク  DirectConnect や VPN を使って閉域接続  ASP

    とは TransitGateway 等で接続 Transit Gateway Direct Connect Gateway Direct Connect クラウド接続サービス 地方公共団体庁舎 ネットワーク運用 管理アカウント ベンダーAアカウント (単独利用方式) ベンダーBアカウント (共同利用方式) ルータ ルータ

28. ３．まとめ 28

29. 29 ３．まとめ  ガバメントクラウドについて知ってください  突然ガバメントクラウド案件に携わることになっても、本資料を活用してください  ガバメントクラウド案件に携わるにあたり、チームに一人は AWS Certified

    Solutions Architect - Professional 取得者を求められることが多いので、是非資格取得しましょう!  地方公共団体の担当の方々の多くが困られています、助けてあげましょう!