AWS活⽤事例セミナー クラウド移⾏による事業推進の⾼速化 クラウド移⾏を成功させるためのAWS活⽤ 2020/10/20 川原 征⼤ 1

2 ⾃⼰紹介 川原 征⼤ - クラスメソッド株式会社 - AWS事業本部 コンサルティング部 - 好きなAWSサービス - AWS CloudFormation - AWS Organizations

3 アジェンダ - 事例紹介 - クラウド移⾏を成功させるためのAWS活⽤ - 組織構成 - プロビジョニングツール - ログ - セキュリティ

4 事例紹介

- AWS 初期環境構築を⽀援させていただきました 5 事例: 塩野義製薬株式会社 クラウド上のHPC環境で創薬サイクルを⾼速化 CCoE創設による活⽤推進: https://classmethod.jp/cases/shionogi/

6 事例: 塩野義製薬株式会社

7 クラウド移⾏を成功させるためのAWS活⽤ 〜今回の事例とともに〜

安⼼してクラウド環境を 運⽤するために 8 まずまとめ # セキュリティ セキュリティ対策は必須 ・予防的ガードレール ・発⾒的ガードレール # 組織(アカウント)構成 まずは組織枠組みを作成 ・マルチアカウント利⽤ ・AWS Organizations 活⽤ # プロビジョニング インフラをコード化、リソース展開/管理 を効率化 ・IaC 活⽤ ・AWS CloudFormation StackSets 活⽤ # ログ ログを集約、分析できる環境を構築。 ・AWS CloudTrail ・Amazon VPC Flow Logs ・Amazon S3 Access Logs ・ログ分析/可視化(Sumo Logic) 効率性/今後の管理を考えた 初期環境構築

9 組織(アカウント)構成

10 今回の事例 # 組織(アカウント)構成 初期環境構築。 まずは組織枠組みを作成 ・マルチアカウント利⽤ ・AWS Organizations 活⽤

11 組織構成 #まずは シングル or マルチ - シングルアカウントかマルチアカウントか

12 組織構成 #シングルアカウントのメリット - シングルアカウントのメリット - シンプルな構成で⼿早く導⼊ができる

13 組織構成 #マルチアカウントを使う理由 - マルチアカウントを使う理由 - ガバナンス - 課⾦ - セキュリティ

14 組織構成 #マルチアカウントを使う理由 - ガバナンス :: 本番/検証や 部署A/部署Bといった環境を分 離する。明確な権限の分離 - 課⾦ :: アカウント毎のコスト管理 - セキュリティ :: 問題が起きたときの影響範囲を絞れる

15 組織構成 #マルチアカウントを使う理由 - ガバナンス :: 本番/検証や 部署A/部署Bといった環境を分 離する。明確な権限の分離 - 課⾦ :: アカウント毎のコスト管理 - セキュリティ :: 問題が起きたときの影響範囲を絞れる ...⼤規模なマルチアカウントの管理コスト⼤変そう → マルチアカウントの管理コストを削減する AWSサービスがあります

16 組織構成 # AWS Organizations - マルチアカウント管理のためのサービス AWS Organizations の⽤語と概念: https://docs.aws.amazon.com/ja_jp/organizations/latest/userg uide/orgs_getting-started_concepts.html

17 組織構成 # AWS Organizations - 組織単位(OU)によるグループ化 - サービスコントロールポリシー(SCP)による権限制御 - 請求の簡素化(⼀括請求) - リソースの共有/展開を容易に

18 組織構成 # AWS Control Tower AWSベストプラクティスに基づいたマルチアカウント 環境のセットアップ/管理を可能にするサービス

19 組織構成 # AWS Control Tower - カスタマイズ性は⾼くないが、AWSベストプラクティスの 構成を良い感じに構築してくれる - 使う/使わないに関わらず内容⾒てみましょう - マルチアカウントのベストプラクティス構成 - セキュリティガードレール - ...など参考になります AWS マルチアカウント管理を実現する ベストプラクティスとは ?: https://aws.amazon.com/jp/builders- flash/202007/multi-accounts-best-practice/

20 プロビジョニングツール

21 今回の事例 # プロビジョニング 初期環境構築。 インフラをコード化、リソース展開/管理を効率化 ・AWS CloudFormation StackSets 活⽤

22 プロビジョニングツール - まずは AWS CloudFormation(CFn) - インフラをコード化 - リソース構築・管理を効率化 - 他候補として Terraform, CDK など

23 プロビジョニングツール # CFn StackSets - マルチアカウントのデプロイに CFn StackSets - 複数アカウントに同じリソースを効率良く展開 - Organizations 連携有り - OU単位で簡単にデプロイ - new!! OU ⾃動デプロイ/削除 - アカウントのベースライン作成など

24 ログ

25 今回の事例 # ログ 安⼼してクラウド環境を運⽤するために。 ログを集約、分析できる環境を構築。 ・AWS CloudTrail ・Amazon VPC Flow Logs ・Amazon S3 Access Logs ・ログ分析/可視化(Sumo Logic)

26 ログ # ログの種類 - AWS利⽤者のAPI操作ログ - AWS CloudTrail - ネットワーク監視 - VPC Flow Logs - アプリケーションログ - CloudWatch Logs Agent - ...など

27 ログ # 保管は S3が便利。監査ログなどに - S3: 拡張性と耐久性を兼ね備えたストレージ - ログの保管期限をライフサイクル設定で指定 - 複数アカウントのログを集約 - Amazon Athena, 他 3rdツール(Sumo Logic 等)で分析 【Organizations】組織レベルで CloudTrailの証跡を有効化、S3バケットへ集約する: https://dev.classmethod.jp/articles/make-organizational-trails/

28 セキュリティ

29 今回の事例 # セキュリティ 安⼼してクラウド環境を運⽤するために。 セキュリティ対策は必須 ・予防的ガードレール ・発⾒的ガードレール

30 セキュリティ # ガードレール - AWSにはガードレールを敷くためのサービスが充実 しています - 種類 - 予防的ガードレール ... やっては⾏けない操作を禁⽌ - 発⾒的ガードレール ... 望ましくない操作を発⾒

31 セキュリティ # ガードレール - 予防的ガードレール - SCP や IAMによる許可/拒否ポリシーの適⽤

32 セキュリティ # ガードレール - 発⾒的ガードレール - Config Rules で望ましくない状態を検出(SSH全開放など) - Security Hub で包括的なセキュリティ評価 AWS Config マネージドルールのリスト https://docs.aws.amazon.com/ja_jp/config/latest/developer guide/managed-rules-by-aws-config.html

安⼼してクラウド環境を 運⽤するために 33 まとめ # セキュリティ セキュリティ対策は必須 ・予防的ガードレール ・発⾒的ガードレール # 組織(アカウント)構成 まずは組織枠組みを作成 ・マルチアカウント利⽤ ・AWS Organizations 活⽤ # プロビジョニング インフラをコード化、リソース展開/管理 を効率化 ・IaC 活⽤ ・AWS CloudFormation StackSets 活⽤ # ログ ログを集約、分析できる環境を構築。 ・AWS CloudTrail ・Amazon VPC Flow Logs ・Amazon S3 Access Logs ・ログ分析/可視化(Sumo Logic) 効率性/今後の管理を考えた 初期環境構築

34 おわりに クラスメソッドのコンサルティング

35 マイグレーション⽀援サービス 1. クラウド移⾏に向けたコンサルティング https://classmethod.jp/news/200416-migration/

36 マイグレーション⽀援サービス 2. クラウド運⽤内製化のご⽀援 https://classmethod.jp/news/200416-migration/

37 クラスメソッドメンバーズ AWS総合⽀援サービス 「クラスメソッドメンバーズ」 メリット満載のAWS請求代⾏サービス コストダウン 1 確かな技術⼒ 2 3 ⾼品質サポート ⼊会⾦無料 国内最⼤の AWS利⽤費割引 コンサルティングチーム • 定期的なキャンペーン開催 • AWSクラウド保険無償付帯 • 各種⼿続き代⾏ • 経験豊富なAWS専⾨スタッフ • 1000社以上の導⼊実績 • スピーディーに対応 オペレーションチーム • 海外2拠点(バンクーバー、ベルリンを利⽤ して 24時間365⽇の体制で運⽤サポート • 各種セキュリティ基準に準拠 • AWSエンタープライズ相当のサポートを クラスメソッドが提供 5%OFFから AWS全サービス全リージョン 今なら、さらにオトクなキャンペーンも 詳しくは当社営業かWebまで︕

38

39 参考 - CCoE(Cloud Center of Excellence)についてまとめてみた | Developers.IO - https://dev.classmethod.jp/articles/about_ccoe/ - AWS Organizations の⽤語と概念 | AWS - https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_getting-started_concepts.html - AWS マルチアカウント管理を実現するベストプラクティスとは ? | AWS - https://aws.amazon.com/jp/builders-flash/202007/multi-accounts-best-practice/ - 2020/6/26 ウェビナー「AWSへのシステム移⾏の『第⼀歩』を理解する︕成功のポイント解説 〜最適化を⽬指した、AWSへの移⾏計画〜」の Q&A を公開します - https://dev.classmethod.jp/articles/20200626-migration-webinar/