Slide 1
Slide 1 text
AWS履修者のためのAzure入門
2023年8月25日
株式会社BeeX
半田大樹
Slide 2
Slide 2 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 2
自己紹介
⚫ 名前
半田 大樹(Handa Daiki)
⚫ 所属部署
バリューアッドコンサルティング本部
データインテリジェンス部
Data Management &Engineeringグループ
⚫ 最近の趣味
猫(ラグドール)を可愛がること
DP-900
Slide 3
Slide 3 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 3
アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 4
Slide 4 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 4
アジェンダ
3. 本文(続き)
• AWSとAzureのネットワーク系サービスの違い
• AWSとAzureのネットワークセキュリティ系サービスの違い
Slide 5
Slide 5 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 5
本資料の目的と必要な前提知識
• 本資料はAWSをある程度触ったことがあるエンジニア向けにAzureとの違いを整理した資料になりま
す。
• そのため、最低でもソリューションアーキテクトアソシエイト資格レベルの知識を持っていることを
前提とします。
• また、Azureにおける機能の詳細や利用上の制約などの細かい部分までは記載しておらず、あくまで
AWSと比較することによるAzureの概念理解を目的としています。
Slide 6
Slide 6 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 6
本資料の注意点
• 本資料ではスライド右上にスライド内に記載されているクラウドの名前が書かれたマークを載せており
ます。
• どちらかにしかない機能・仕組みであれば、そのクラウドのマークのみ右上に記載されています。
• また、記載された内容は2023年7-8月時点のものになるため、閲覧する時期によっては最新のものでは
ない内容が含まれている可能性があります。
• 本資料の内容は公式のドキュメントなどを元に整理した内容になりますため、一部解釈が間違っている
可能性があります。必要に応じて公式ドキュメントなども確認しながらご覧ください。
• 詳細な料金やサービスの機能までは詳細に取り上げません。
AWS Azure
Slide 7
Slide 7 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 7
本資料のゴール
1
2
AWS←→Azureのサービスの読み替えができるようになる
Azureの仕組みについて”少し”詳しくなる
Slide 8
Slide 8 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 8
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 9
Slide 9 text
AWSとAzureの利用フローの違い
Slide 10
Slide 10 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 10
AWSとAzureの利用フローの違い
初めて各クラウドを利用する際の開始フローは以下になります。
(Azureは後述する課金方法MOSPを利用する場合)
MSアカウントまたはGitHubアカウントの作成
Azureアカウントのサインアップ
Azureアカウントへのサインイン・ログイン
「従量課金制」へのアップグレード
AWSアカウントのサインアップ
AWSアカウントへのサインイン・ログイン
AWS Azure
Slide 11
Slide 11 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 11
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 12
Slide 12 text
AWSとAzureの課金構成の違い
Slide 13
Slide 13 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 13
AWSとAzureの課金構成の違い
AWSは集約型か個別型、Azureは契約形態によって複数の種類があります。
MS Account
or
GitHub Account
Azure Account
Billing Account
Billing Role
Billing Profile
Subscription Subscription
Invoice
Payment
methods
Invoice
Payment
methods
Invoice
Payment
methods
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
AWS Azure
集約 集約
集約型
個別型
Slide 14
Slide 14 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 14
AWSとAzureの課金構成の違い
Azureは課金アカウントの種類が4種類あり、種類によって請求書や課金データの管理場所が異なります。
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Microsoft Online Services Program Enterprise Agreement
Microsoft 顧客契約 Microsoft Partner Agreement
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
集約 集約
集約型
個別型
Slide 15
Slide 15 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 15
AWSとAzureの課金構成の違い
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Microsoft Online Services Program Enterprise Agreement
Microsoft 顧客契約 Microsoft Partner Agreement
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
個人や小規模組織が利用する場合はこちら
MOSPでは、請求書やその他課金情報はサブスクリプションに紐づけられるようになっています。
集約 集約
集約型
個別型
Slide 16
Slide 16 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 16
AWSとAzureの課金構成の違い
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Microsoft Online Services Program Enterprise Agreement
Microsoft 顧客契約 Microsoft Partner Agreement
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
大規模組織がEAを締結して利用する場合はこちら
※EA:Enterprise Agreement
EAでは、1つ以上の部署やアカウントの課金情報が課金アカウントに紐づけられます。
集約 集約
集約型
個別型
Slide 17
Slide 17 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 17
AWSとAzureの課金構成の違い
顧客契約(MCA)では、課金プロファイルに請求や課金情報が紐づけられ、セクションを作成して課金対象を
まとめることが可能です。また、課金アカウントは1つ以上の課金プロファイルを含みます。
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Microsoft Online Services Program Enterprise Agreement
Microsoft 顧客契約 Microsoft Partner Agreement
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
中小規模組織がCAを締結して利用する場合はこちら
※CA:Customer Agreement
集約 集約
集約型
個別型
Slide 18
Slide 18 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 18
AWSとAzureの課金構成の違い
Account
Management
Account
Account
Invoice
Payment
methods
Account
Invoice
Payment
methods
Azure
Microsoft Online Services Program Enterprise Agreement
Microsoft 顧客契約 Microsoft Partner Agreement
Billing Account
Subscription
Invoice
Payment
methods
Billing Account
Invoice
Payment
methods
Department
Account
Subscription
Billing Account
Billing Profile
Invoice section
Subscription
Invoice
Payment
methods
Billing Account
Billing Profile
Invoice
Payment
methods
Customer
Subscription
MSパートナーがリセールする場合はこちら
MPAでは、MCAと同じく課金プロファイルに請求や課金情報が紐づけられ、セクションではなくリセール
する顧客ごとに課金対象をまとめられます。課金アカウントは1つ以上の課金プロファイルを含みます。
集約 集約
集約型
個別型
Slide 19
Slide 19 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 19
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 20
Slide 20 text
AWSとAzureのセキュリティ概念の違い
Slide 21
Slide 21 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 21
AWSとAzureのセキュリティ概念の違い
クラウドにおけるセキュリティの概念としては、AWSとAzureでそこまで大きい違いはありません。
AWSやAzureがどこまでのセキュリティを担保するかは提供するサービスモデルによって異なります。
AWS Azure
責任共有モデル 共同責任モデル
Slide 22
Slide 22 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 22
AWSとAzureのセキュリティ概念の違い
大まかに分類したサービスモデルごとの責任範囲は以下の通りです。
サービスによっては、1つのレイヤー内で更にユーザーとAWS/Azureで責任範囲を分担しているものもあり
ますが、以下表では割愛します。
レイヤー SaaS PaaS FaaS DaaS DBaaS MLaaS CaaS IaaS
ユーザーデータ ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー
IDとアクセス管理 ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー
アプリケーション AWS Azure ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー ユーザー
ゲストOS AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザー ユーザー
ネットワーク設定 AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザー ユーザー
仮想ネットワーク AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
仮想マシン AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
物理ホスト AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
データセンター AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure
AWS Azure
Slide 23
Slide 23 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 23
AWSとAzureのセキュリティ概念の違い
参考までに各サービスモデル間の構成と各クラウドでの該当サービス例を以下に記載します。
IaaS
CaaS
PaaS
FaaS DBaaS MLaaS
DaaS
SaaS
EC2
ECS
Beanstalk
Lambda RDS SageMaker
WorkSpaces
WorkDocs
VM
AKS
App Service
Functions SQL Database Machine Learning
Virtual Desktop
OneDrive
抽象度
高
包括関係
AWS Azure
Slide 24
Slide 24 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 24
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 25
Slide 25 text
AWSとAzureの全体構成の違い
Slide 26
Slide 26 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 26
AWSとAzureの全体構成の違い
以下にAWSとAzureの構成について記載します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
Tenant
(MS Entra ID)
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Slide 27
Slide 27 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 27
AWSとAzureの全体構成の違い
請求はAzureのほうがより細かい単位で設定できるようになっています。(MOSPの場合)
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)
Slide 28
Slide 28 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 28
AWSとAzureの全体構成の違い
最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)
Slide 29
Slide 29 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 29
AWSとAzureの全体構成の違い
環境ごとや組織体制に併せてグルーピングするにはAWSはOU、AzureはMGを利用します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)
Slide 30
Slide 30 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 30
AWSとAzureの全体構成の違い
ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
Identity
Center
AWS Azure
Tenant
(MS Entra ID)
Slide 31
Slide 31 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 31
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 32
Slide 32 text
AWSとAzureの権限管理の違い
Slide 33
Slide 33 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 33
AWSとAzureの権限管理
AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。
ユーザー
アクセス
ユーザー
アクセス方法 アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
Subscriptions
Resource
Groups
Resources
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Management
Groups
Slide 34
Slide 34 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 34
AWSとAzureの権限管理
IAM UserからIAMロールのスイッチロールを使用してアカウントにアクセスを行うことも可能です。
ユーザー
アクセス
ユーザー
アクセス方法 アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
Subscriptions
Resource
Groups
Resources
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS
Management
Groups
IAM Role
Slide 35
Slide 35 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 35
AWSとAzureの権限管理
AWSのIAM Policy(Role含む)とAzureのAzure ロールは同じ役割(ユーザーへの権限の付与)を持っています。
ユーザー
アクセス
ユーザー
アクセス方法 アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Subscriptions
Resource
Groups
Resources
Management
Groups
Slide 36
Slide 36 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 36
AWSとAzureの権限管理
AWSのSCP・Permissions boundaryとAzureのAzure Policyは同じ役割(アクセス制限)を持っています。
ユーザー
アクセス
ユーザー
アクセス方法 アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Subscriptions
Resource
Groups
Resources
Management
Groups
Slide 37
Slide 37 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 37
AWSとAzureの権限管理
アクセス制限を行うポリシーは、構成の上にあるリソースから下にあるリソースに対して権限を継承します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS Azure
Slide 38
Slide 38 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 38
AWSとAzureの権限管理
全ての権限をAND条件で判定し、許可された範囲のみ操作を行うことができます。(拒否・除外について)
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
すべて許可
すべて許可
EC2以外拒否
EC2のみ操作可
すべて許可
すべて許可
東京リージョン
のみ可
東京リージョン
のみ操作可
すべて許可
AWS Azure
メモ
許可よりも拒否のほうが上になる
Slide 39
Slide 39 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 39
AWSとAzureの権限管理
AWSはアカウント配下のリソース、Azureは許可したスコープ配下のリソースに対してアクセスを許可します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS Azure
Slide 40
Slide 40 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 40
AWSとAzureの権限管理
AWSとAzureそれぞれで、デフォルトで準備されているポリシーと手動作成ポリシーの2種類があります。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS Azure
Slide 41
Slide 41 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 41
AWSとAzureの権限管理
ユーザーに対して権限を付与するPolicy/ロールにもデフォルトとカスタムがあります。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS管理ポリシー
カスタム管理ポリシー
インラインポリシー
組み込みロール
カスタムロール
AWS Azure
Slide 42
Slide 42 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 42
AWSとAzureの権限管理
AWSは更に追加でUserに1対1で紐づくインラインポリシーというものもあります。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS管理ポリシー
カスタム管理ポリシー
インラインポリシー
組み込みロール
カスタムロール
AWS
Slide 43
Slide 43 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 43
AWSとAzureの権限管理
尚、AWSにはリソースに対してアタッチできるリソースベースポリシーというものも存在します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Azure Policy
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
AWS
Resource base policy
Slide 44
Slide 44 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 44
AWSとAzureの権限管理
そのため、厳密にはAWSのアクセス制限方法は全部で3種類あります。
ユーザー
アクセス
ユーザー
アクセス方法 アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS
Resource base policy
Subscriptions
Resources
Management
Groups
Slide 45
Slide 45 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 45
AWSとAzureの権限管理
AzureにはAzure Policyを1つにまとめることができる、イニシアチブ定義というものが存在します。
SCP
Permissions
boundary
Organizational unit
Account
IAM User SSO User
SCP
IAM Policy IAM Policy
上から下に
継承
Management Groups
Subscriptions
Resource Groups
ID User
SCP
Azure Policy
Azure Policy
Initiative definition
Azure ロール
Organizations
Root
Resources Resources Azure Policy
AWS管理
ポリシー
カスタム管理
ポリシー
組み込み
ポリシー
カスタム
ポリシー
Azure
Resource base policy
Slide 46
Slide 46 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 46
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 47
Slide 47 text
AWSとAzureの権限付与方法の違い
Slide 48
Slide 48 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 48
AWSとAzureの権限付与方法の違い
AWSは特定のアカウントに対して操作を許可し、Azureは特定のスコープに対して役割(ロール)で許可します。
User
User
IAM User
ID User
Account
IAM Policy
Azure Role
Subscriptions
Resource Groups
Resources
アクセス元
アクセス
ユーザー
操作スコープ
許可する操作
AWS管理
ポリシー
カスタム管理
ポリシー
インライン
ポリシー
組み込みロール カスタムロール
AWS Azure
ロール
Account
Resource
Resources
操作対象
Management
Groups
Slide 49
Slide 49 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 49
AWSとAzureの権限付与方法の違い
AWSとAzureのどちらも権限設計時は役割で整理する必要があるため、以下に役割ごとの図を記載します。
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
Azure Role Azure Role
IAM Policy
IAM Policy
AWS Azure
継承
継承
権限許可単位
・・・ ・・・
Slide 50
Slide 50 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 50
AWSとAzureの権限付与方法の違い
AWSとAzureのどちらもユーザーに直接権限を付与する方法とグループを介する方法があります。
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
Azure Role Azure Role
IAM Policy
IAM Policy
AWS Azure
継承
継承
権限許可単位
・・・ ・・・
Slide 51
Slide 51 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 51
AWSとAzureの権限付与方法の違い
AWSはサービス単位の権限設計、Azureはサービスも含めたスコープ単位の権限設計が必要になります。
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
Azure Role Azure Role
IAM Policy
IAM Policy
AWS Azure
継承
継承
権限許可単位
・・・ ・・・
サービスごとの権限設計が必要 スコープごとの権限設計が必要
Slide 52
Slide 52 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 52
AWSとAzureの権限付与方法の違い
AWSのIdentity Centerを利用時、権限の付与はIAMロールに対して行います。(権限セットの説明は割愛)
アクセス元
User User
役割単位
IAM User
IAM Group
IAM User
ID User
ID Group
ID User
権限付与方法
Azure Role Azure Role
IAM Policy
IAM Policy
AWS
継承
継承
権限許可単位
・・・ ・・・
SSO
User/Group
IAM Role
IAM Policy
Slide 53
Slide 53 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 53
AWSとAzureの権限付与方法の違い
操作権限を付与できる対象は決まっており、AWSは3種類、Azureは4種類の付与対象が存在します。
Azure Role
IAM Policy
権限付与方法 権限種類
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM User
IAM Group
IAM Role
ID Group
ID User
Managed ID
Service
Principal
権限付与対象
AWS Azure
Slide 54
Slide 54 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 54
AWSとAzureの権限付与方法の違い
その中でも一部の付与対象はAWSとAzureの各サービスから利用することも可能です。
Azure Role
IAM Policy
権限付与方法 権限種類
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM User
IAM Group
IAM Role
ID Group
ID User
Managed ID
Service
Principal
権限付与対象
AWS Azure
Slide 55
Slide 55 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 55
AWSとAzureの権限付与方法の違い
サービスで利用する場合は、AWSはロールをリソースに直接紐づけ、AzureはEntra IDのIDに紐づけられます。
Azure Role
IAM Policy
権限付与方法 権限種類
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM Role
System
Managed ID
権限付与対象
AWS Azure
・
・
・
・
・
・
アタッチ
アタッチ
User
Managed ID
Service
Principal
Slide 56
Slide 56 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 56
AWSとAzureの権限付与方法の違い
AzureのManaged IDには2種類あり、リソース作成時に自動作成されるものとユーザー作成のものがあります。
Azure Role
IAM Policy
権限付与方法 権限種類
Managed Policy
Custom Policy
Inline Policy
built-in Role
Custom Role
IAM Role
System
Managed ID
権限付与対象
Azure
・
・
・
・
・
・
アタッチ
アタッチ
User
Managed ID
Service
Principal
Slide 57
Slide 57 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 57
AWSとAzureの権限付与方法の違い
サービスから利用する場合の仕組みは以下になります。
IAM Role
EC2
STS
・
・
・
アクセス許可 紐づけリソース アクセス先
認証サービス
AWS Azure
VM
Managed ID
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
紐づけ
Access Token Request
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application
Slide 58
Slide 58 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 58
AWSとAzureの権限付与方法の違い
AWSはSTSサービスが一時認証情報を発行し、AzureではMS Entra IDがAccess Tokenを発行します。
IAM Role
EC2
STS
・
・
・
アクセス許可 紐づけリソース アクセス先
認証サービス
AWS Azure
VM
Managed ID
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
紐づけ
Access Token Request
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application
Slide 59
Slide 59 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 59
AWSとAzureの権限付与方法の違い
Azureのロールの付与は厳密にはManaged IDではなく、Entra ID内のService Principalに対して付与されます。
IAM Role
EC2
STS
・
・
・
アクセス許可 紐づけリソース アクセス先
認証サービス
Azure
VM
Managed ID
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
紐づけ
Access Token Request
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application
Slide 60
Slide 60 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 60
AWSとAzureの権限付与方法の違い
Azureのロールの付与は厳密にはManaged IDではなく、Entra ID内のService Principalに対して付与されます。
IAM Role
EC2
STS
・
・
・
アクセス許可 紐づけリソース アクセス先
認証サービス
Azure
VM
Managed ID
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
紐づけ
Access Token Request
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application
Slide 61
Slide 61 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 61
AWSとAzureの権限付与方法の違い
そのため、アクセス許可を与えているというよりは、認証リクエスト元と呼称するのが適切かもしれません。
IAM Role
EC2
STS
・
・
・
認証リクエスト元 紐づけリソース アクセス先
認証サービス
Azure
VM
Managed ID
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
紐づけ
Access Token Request
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application
Slide 62
Slide 62 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 62
AWSとAzureの権限付与方法の違い
Managed IDを利用しない場合は、Entra IDにService PrincipalとApplicationを登録して利用も可能です。
IAM Role
EC2
STS
・
・
・
紐づけリソース アクセス先
認証サービス
Azure
User
信頼関係確立
AssumeRole
一時的な認証情報発行
一時的な認証情報でアクセス
・
・
・
Access Token Request
(ID/Secrets/証明書付加)
Access Token
Access Tokenでアクセス
Entra ID
Service
Principal
Application
Onpre
Application
Azure CLI
Application
認証リクエスト元
Slide 63
Slide 63 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 63
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 64
Slide 64 text
AWSとAzureのユーザー管理の違い
Slide 65
Slide 65 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 65
[再掲]AWSとAzureの全体構成の違い
ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
Identity
Center
AWS Azure
Tenant
(MS Entra ID)
Slide 66
Slide 66 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 66
[再掲]AWSとAzureの権限管理
AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。
ユーザー
アクセス
ユーザー
アクセス方法 アクセス許可先
User
IAM User
SSO User
User ID User
IAM Role Account
Resouce
Account
Resouce
IAM Policy
IAM Policy
権限付与方法
Azure Role
Subscriptions
Resource
Groups
Resources
アクセス制限
SCP
Azure Policy
Permissions
boundary
AWS Azure
Management
Groups
Slide 67
Slide 67 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 67
AWSとAzureのユーザー管理の違い
AWSはAccount内のIAM UserかIdentity Center(SSO)で管理され、AzureはMS Entra IDで一括管理されます。
ユーザー
User
User
Management
Console login
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
認証情報入力 ログインユーザー
ユーザ管理 ログイン方法 操作対象
許可されている
アカウント内リソース
IAM Userがある
アカウント内リソース
許可されている
スコープ内リソース
AWS Azure
Slide 68
Slide 68 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 68
AWSとAzureのユーザー管理の違い
AWSのIAM Userは特定Accountに対してのみログインでき、それ以外のAccountにはログインができません。
※IAMロールのスイッチロールを利用する場合を除く
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
認証情報入力 ログインユーザー
ユーザ管理 ログイン方法 操作対象
許可されている
アカウント内リソース
IAM Userがある
アカウント内リソース
許可されている
スコープ内リソース
AWS
Management
Console login
Slide 69
Slide 69 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 69
AWSとAzureのユーザー管理の違い
AWSのIdentity Centerは複数のAWS Accountに対してIAMロールのスイッチロールでログインができます。
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
認証情報入力 ログインユーザー
ユーザ管理 ログイン方法 操作対象
許可されている
アカウント内リソース
IAM Userがある
アカウント内リソース
許可されている
スコープ内リソース
AWS
Management
Console login
Slide 70
Slide 70 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 70
AWSとAzureのユーザー管理の違い
AzureはEntra IDでユーザー管理され、ログイン後の操作対象は付与された権限で制御されます。
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
認証情報入力 ログインユーザー
ユーザ管理 ログイン方法 操作対象
許可されている
アカウント内リソース
IAM Userがある
アカウント内リソース
許可されている
スコープ内リソース
Management
Console login
Azure
Slide 71
Slide 71 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 71
AWSとAzureのユーザー管理の違い
MS Entra IDはAzure専用のサービスではないため、M365へのログイン等でも利用されます。
ユーザー
User
User
Identity Center
login
Microsoft Azure
login
Account
Identity
Center
MS Entra ID
IAM User
SSO User
ID User
Management
Console
Management
Console
Azure Portal
認証情報入力 ログインユーザー
ユーザ管理 ログイン方法 操作対象
許可されている
アカウント内リソース
IAM Userがある
アカウント内リソース
許可されている
スコープ内リソース
Azure
Microsoft 365 オンプレミス
システム
Management
Console login
Slide 72
Slide 72 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 72
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 73
Slide 73 text
AWSとAzureのリソース管理の違い
Slide 74
Slide 74 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 74
[再掲]AWSとAzureの全体構成の違い
最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。
Organizations
Root
Organizational unit
Account
Subscriptions
Root
Management
Groups
Resource Groups
Azure
Account
MS Account
or
GitHub Account
Root
User
Root
User
1
N N
N
1
N N N
1
Management
Account
1
1
1
1
Management
Groups
N
1
N
N N
1 1
N
1
N N N
1
AWS Azure
Tenant
(MS Entra ID)
Slide 75
Slide 75 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 75
AWSとAzureのリソース管理の違い
AWSは課金とリソース管理が纏められており、Azureは課金単位とリソース管理単位が別々になっています。
AWS Azure
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・ ・・・ ・・・ ・・・
Aシステム Bシステム Cシステム PoC
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
Slide 76
Slide 76 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 76
AWSとAzureのリソース管理の違い
Azureではリソースグループを削除すると、紐づくすべてのリソースが同時に削除されます。
Azure
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・ ・・・ ・・・ ・・・
Aシステム Bシステム Cシステム PoC
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
Slide 77
Slide 77 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 77
AWSとAzureのリソース管理の違い
AWSではアカウントを削除しても全てのリソースが自動的に削除されるわけではありません。
AWS
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・ ・・・ ・・・ ・・・
Aシステム Bシステム Cシステム PoC
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
Slide 78
Slide 78 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 78
AWSとAzureのリソース管理の違い
AWSにはCloudFormation等の関連リソースを一括作成・削除・管理できる仕組みが別途存在します。
AWS
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・ ・・・ ・・・ ・・・
Aシステム Bシステム Cシステム PoC
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
CloudFormation CloudFormation CloudFormation
Slide 79
Slide 79 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 79
AWSとAzureのリソース管理の違い
CloudFormationを削除することで、アカウントを削除せずにリソースをまとめて削除することができます。
AWS
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・ ・・・ ・・・ ・・・
Aシステム Bシステム Cシステム PoC
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
CloudFormation CloudFormation CloudFormation
Slide 80
Slide 80 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 80
AWSとAzureのリソース管理の違い
Azureにも別途CloudFormationに相当する仕組みがあり、ARM Templateを使用すると同様のことが可能です。
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・
Aシステム
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
CloudFormation CloudFormation CloudFormation
ARM
Template
・・・
Bシステム
ARM
Template
・・・
Cシステ
ム
ARM
Template
・・・
PoC
ARM
Template
Azure
Slide 81
Slide 81 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 81
AWSとAzureのリソース管理の違い
AWSはAccountで課金単位とリソース管理単位を兼ねているため、リソースのみの扱いが若干複雑ですが、
AzureはResource Groupで管理単位が分離されているため、リソース管理がしやすい構成となっています。
Root
Management
Groups
工場部門 情シス部門
本番用 本番用 開発用
・・・
Aシステム
Organizations
Root
Resource Sandbox
工場部門
本番用
Aシステム
・・・
工場部門
本番用
Bシステム
・・・
情シス部門
PoC
・・・
CloudFormation CloudFormation CloudFormation
ARM
Template
・・・
Bシステム
ARM
Template
・・・
Cシステ
ム
ARM
Template
・・・
PoC
ARM
Template
Azure
AWS
Slide 82
Slide 82 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 82
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 83
Slide 83 text
AWSとAzureのリソース操作方法の違い
Slide 84
Slide 84 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 84
AWSとAzureのリソース操作方法の違い
AWSとAzureのどちらも、ブラウザでのGUI・CUI操作とローカルPC等からのコマンド操作に対応しています。
Azure Portal
Azure Cloud Shell
Azure PowerShell / Azure CLI
AWS Management
Console
AWS CloudShell
AWS Command Line
Interface (AWS CLI)
ブラウザでのGUI操作対応
ブラウザでのCUI操作対応
場所を限定しない
コマンド操作対応
AWS Azure
Slide 85
Slide 85 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 85
AWSとAzureのリソース操作方法の違い
リソースの操作方法で分類すると以下のようになります。
API操作はJsonファイルやプログラム言語などでAPIを直接操作するものを対象として記載しています。
GUI操作
コマンド操作
API操作
Azure Portal
Azure Cloud Shell
AWS Management
Console
AWS CloudShell Azure PowerShell / Azure CLI
AWS Command Line
Interface (AWS CLI)
AWS Tools
and SDKs
AWS CloudFormation Azure SDK Azure Resource
Manager Template
AWS Azure
Slide 86
Slide 86 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 86
[再掲]アジェンダ
1. 本資料の目的と必要な前提知識
2. 本資料の注意点
3. 本文
• AWSとAzureの開始フローの違い
• AWSとAzureの課金構成の違い
• AWSとAzureのセキュリティ概念の違い
• AWSとAzureの全体構成の違い
• AWSとAzureの権限管理の違い
• AWSとAzureの権限付与方法の違い
• AWSとAzureのユーザー管理の違い
• AWSとAzureのリソース管理の違い
• AWSとAzureのリソース操作方法の違い
• AWSとAzureのグローバルインフラの違い
Slide 87
Slide 87 text
AWSとAzureのグローバルインフラの違い
Slide 88
Slide 88 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 88
AWSとAzureのグローバルインフラの違い
AWSとAzureは世界中にあるDCとそれを結ぶネットワークで構成されています。
DCはリージョンとAZという概念で論理的にまとめられており、物理的に冗長化されています。
AWS Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 89
Slide 89 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 89
AWSとAzureのグローバルインフラの違い
AWSとAzureともに1つのリージョンには1つ以上のAZが含まれるように構成されており、
AZを使用してリソースの冗長化を行うことができます。
AWS Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 90
Slide 90 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 90
AWSとAzureのグローバルインフラの違い
Azureで特定のAZを指定してリソースを構築する場合、最低でもリージョンに3つのAZが存在する必要があるた
め、2023年7月時点では西日本リージョンでAZを指定することができません。(Availability Setは利用可能)
Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 91
Slide 91 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 91
AWSとAzureのグローバルインフラの違い
また、 AWSとAzure共にAZの冗長化以外にもリージョンを跨いで冗長化を行うことも可能です。
AWS Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 92
Slide 92 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 92
AWSとAzureのグローバルインフラの違い
Azureは地域ごとにリージョンがペアで構成されており、1つのリージョンに別のリージョンがペアとして登録
されています。リージョンペア間であれば、低遅延の通信や自動レプリケーションを行うことができます。
Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 93
Slide 93 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 93
AWSとAzureのグローバルインフラの違い
AzureではAvailability Setという、DC内のサーバーラックを分散できる機能があり、
これを使用すると1つのDCのサーバーラック単位でリソースを冗長化させることができます。
Azure
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 94
Slide 94 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 94
AWSとAzureのグローバルインフラの違い
AWSでは異なるサーバーラックでのリソース構築やリージョンペアのような概念はないため、
AZ単位での冗長や各サービスを組み合わせたリージョン間同期パイプラインを別途構築する必要があります。
AWS
AWS Cloud
Tokyo Region Osaka Region
Availability Zone A
Availability Zone C
Availability Zone D
Availability Zone A
Availability Zone B
Availability Zone C
Azure
Eastern Japan Region Western Japan Region
Availability Zone 1
Availability Zone 2
Availability Zone 3
Availability Zone 1
Availability Zone 2
Slide 95
Slide 95 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 95
[再掲]アジェンダ
3. 本文(続き)
• AWSとAzureのネットワーク系サービスの違い
• AWSとAzureのネットワークセキュリティ系サービスの違い
Slide 96
Slide 96 text
ネットワーク系サービスの違い
Slide 97
Slide 97 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 97
ネットワーク系サービスの違い
AWSはVPCとSubnetを利用してAWS上に仮想ネットワークを構築するようになっており、
AzureはVNetとSubnetを利用してAzure上に仮想ネットワークを構築するようになっています。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
AWS Azure
Slide 98
Slide 98 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 98
ネットワーク系サービスの違い
AWSでは明示的にPublicなSubnetとPrivateなSubnetが定義されていますが、Azureは明示的にPublicと
Privateの定義がされていないため、Subnet内に構築されているリソースでの判断が必要です。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
AWS Azure
Slide 99
Slide 99 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 99
ネットワーク系サービスの違い
具体的には、AWSはIGWの有無によってInternetとの通信の有無を制御しますが、Azureは標準でInternetへ
の外部送信が可能で、Public IPの有無によって受信側の通信制御を行います。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
※IPv4を前提として記載しています
Slide 100
Slide 100 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 100
ネットワーク系サービスの違い
Public IPアドレスには静的に設定できるものと動的に設定されるものがあり、AWSとAzure共に静的と動的
のどちらも設定が可能となっています。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
静的 動的
静的 動的
※IPv4を前提として記載しています
Slide 101
Slide 101 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 101
ネットワーク系サービスの違い
AWSは動的なPublic IPアドレスであれば無料で利用できますが、Azureは動的Public IPアドレスであっても
有料で利用するようになっています。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
静的 動的
静的 動的
EC2作成時に自動割当可能
無料で利用可能
VM作成時に自動割当可能
有料で利用可能
※IPv4を前提として記載しています
Slide 102
Slide 102 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 102
ネットワーク系サービスの違い
ただ、現在ではAzureの動的IPアドレスは利用不可になっており、2025年9月30日に動的IPアドレスは完全
に廃止される計画が立てられています。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
Azure
静的 動的
静的 動的
EC2作成時に自動割当可能
無料で利用可能
VM作成時に自動割当可能
有料で利用可能
※IPv4を前提として記載しています
Slide 103
Slide 103 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 103
ネットワーク系サービスの違い
AWSの静的Public IPアドレスはEC2作成後のみ割り当てができるようになっており、AzureはVM作成時に割
り当てができます。コスト的にはAWS・Azureで同じ料金設定となっています。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS Azure
静的 動的
静的 動的
EC2作成後に割当可能
1つあたり$0.005/h
VM作成時に割当可能
1つあたり$0.005/h
※IPv4を前提として記載しています
Slide 104
Slide 104 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 104
ネットワーク系サービスの違い
AWSではこれまで利用中の静的なIPに対しては料金が発生しません(EC2のセカンダリIPは除く)でしたが、
2024/2/1より有料で提供されるように変更になると2023年7月に発表がありました。
VPC
Private subnet Public subnet
AWS Cloud Azure
VNet
Subnet Subnet
Internet gateway
Public
IPアドレス
Public
IPアドレス
暗黙的NAT
Public
IPアドレス
Public
IPアドレス
AWS
静的 動的
静的 動的
EC2作成後に割当可能
1つあたり$0.005/h
VM作成時に割当可能
1つあたり$0.005/h
※IPv4を前提として記載しています
Slide 105
Slide 105 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 105
ネットワーク系サービスの違い
仮想ネットワーク間の通信を行う場合の構成例を以下に記載します。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
AWS Azure
Slide 106
Slide 106 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 106
ネットワーク系サービスの違い
仮想ネットワーク間の通信を行いたい場合、AWSであればVPC Peeringを利用すると相互に通信でき、
Azureであれば仮想ネットワークピアリングを利用することでVnet間の通信を行うことができます。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
AWS Azure
Slide 107
Slide 107 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 107
ネットワーク系サービスの違い
AWSとAzure共に、仮想ネットワーク同士のPeeringはアカウント/サブスクリプション跨ぎ、リージョン跨
ぎなどのケースにも対応しているため、インターネットを経由せずにネットワーク間通信が可能です。
AWS Account A Azure Subscription A
VPC VNet VNet
VPC
Peering
AWS Azure
AWSAccount B
VPC
VPC
Peering
Eastern Japan Region
Tokyo Region Osaka Region Western Japan Region
Azure Subscription B
Virtual
network
Peering
Slide 108
Slide 108 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 108
ネットワーク系サービスの違い
AWSではリージョンを跨いだPeeringの場合でも同リージョン間と同じVPC Peeringが可能ですが、
Azureでリージョン跨ぎでPeeringするためにはGlobal Vnet Peeringを使用する必要があります。
AWS Account A Azure Subscription A
VPC VNet VNet
VPC
Peering
Azure
AWSAccount B
VPC
VPC
Peering
Eastern Japan Region
Tokyo Region Osaka Region Western Japan Region
Azure Subscription B
Virtual
network
Peering
Slide 109
Slide 109 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 109
ネットワーク系サービスの違い
Peeringの共通制約として、直接Peeringした仮想ネットワーク同士であれば通信が可能ですが、直接
Peeringしていない仮想ネットワークに対してはネットワークを跨いで通信をすることはできません。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
AWS Azure
Slide 110
Slide 110 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 110
ネットワーク系サービスの違い
Azureの場合は、VNet Peeringの設定でRemote Gateway Tiransitを有効にすることで、直接Peeringしてい
ないVNet間でもVPN Gateway経由でトラフィックが転送され、通信が可能となります。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPC
Peering
VPC
Peering
VPC
Peering
VPC
Peering
Virtual
network
Peering
Virtual
network
Peering
Azure
Slide 111
Slide 111 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 111
ネットワーク系サービスの違い
AWSでVPCを跨いだ通信を行う方法として、Transit VPCオプションを利用する方法があります。この場合、
ハブとなるVPCにCisco CSR等の仮想ルーターをデプロイし、VGWとの接続を確立する必要があります。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
VPN
Gateway
VPN
Gateway
Virtual
network
Peering
Virtual
network
Peering
AWS
VPN VPN
Slide 112
Slide 112 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 112
ネットワーク系サービスの違い
接続するネットワークが増加した場合、個別のPeeringやVPN接続の方法だと管理できなくなります。
そのため、大規模ネットワークに対応したサービスのTransit GatewayやWANを利用する方法があります。
AWS Cloud Azure
VPC VNet
VPC
VPC VNet
VNet
TGW
Attachment
AWS Azure
WAN
TGW
Attachment
TGW
Attachment
Transit Gateway
Slide 113
Slide 113 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 113
AWS Cloud
AWS Direct Connect Location
ネットワーク系サービスの違い
オンプレネットワークとクラウドネットワークを接続する構成を以下に記載します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure
Slide 114
Slide 114 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 114
AWS Cloud
AWS Direct Connect Location
ネットワーク系サービスの違い
オンプレネットワークと各クラウド間を接続するには、Site to Site VPNを使用する方法と各クラウドネット
ワークとオンプレネットワークを直接接続する方法の2つがあります。
※Point to Site VPNはクライアントネットワークからの接続になるため、説明を割愛します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure
Slide 115
Slide 115 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 115
AWS Cloud
AWS Direct Connect Location
ネットワーク系サービスの違い
Site to Site VPNを使用する方法の場合は、AzureはAzure VPN Gateway、AWSはAWS Site-to-Site VPNを
利用します。どちらの場合もIPSecトンネルを使用して安全な接続を確立します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure
Slide 116
Slide 116 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 116
AWS Cloud
AWS Direct Connect Location
ネットワーク系サービスの違い
各クラウドネットワークとオンプレネットワークを直接接続する方法の場合は、AzureはExpressRoute、
AWSはDirect Connectを利用し、どちらの場合も指定されたパートナーネットワークを介して閉域接続を確
立します。
On-Premis
Azure
VNet
Partner
edge
Microsoft
edge
ExpressRoute回線
Subnet
Local Network
Gateway
VPN
Gateway
VPN
Gateway
Express
Route
IPsec/IKE VPN
ExpressRoute
Gateway
VPC
Private
subnet
BGP
Router
Virtual Private
Gateway
Customer
Gateway
VPN Connection
Transit
Gateway
Virtual Private
Gateway
Partner
Cage
AWS
Cage
Customer
Gateway
AWS Azure
Slide 117
Slide 117 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 117
ネットワーク系サービスの違い
各クラウドのロードバランサ―サービス例を以下に記載します。AWSのCLBやGLBについては後方互換性の
ためや、セキュリティアプライアンスとの通信を行うために利用されるので、今回は割愛します。
VPC
AWS Cloud Azure
VNet
Private subnet Public subnet Subnet Subnet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP AWS Azure
PIP
Slide 118
Slide 118 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 118
ネットワーク系サービスの違い
AWSでロードバランサ―と名の付くサービスはALB/NLB/GLB/CLBの4種類がありますが、AzureではAzure
Load Balancerの1種類しかありません。AzureのロードバランサーはL4レイヤーでの振り分けを行います。
VPC
AWS Cloud Azure
VNet
Private subnet Public subnet Subnet Subnet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP Azure
PIP
Slide 119
Slide 119 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 119
ネットワーク系サービスの違い
AWSのApplication Load Balancerと同じ役割を持つAzureのサービスはApplication Gatewayが該当します。
ALBはIPの固定化はできませんが、AGWはIPの固定化を行うことが可能です。
VPC
AWS Cloud Azure
VNet
Private subnet Public subnet Subnet Subnet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP AWS Azure
PIP
Slide 120
Slide 120 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 120
ネットワーク系サービスの違い
Azure Load Balancerと同じような役割を持つAWSのサービスはNetwork Load Balancerが該当します。
AWSのNLBはALBの前段に置けますが、Azure LBはApplication Gatewayの前段に置けません。
VPC
AWS Cloud Azure
VNet
Private subnet Public subnet Subnet Subnet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP AWS Azure
PIP
Slide 121
Slide 121 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 121
ネットワーク系サービスの違い
Azure Load BarancerもApplication Gatewayと同じようにIPを固定化することができます。
Azure NAT Gatewayがリリースされるまでは、NAT GWの代わりとして利用することもあったようです。
VPC
AWS Cloud Azure
VNet
Private subnet Public subnet Subnet Subnet
Internet gateway
Application Load
Balancer
Network Load
Balancer
Load
Balancer
Application
Gateway
Auto Scaling group
EC2 EC2 VM
VM Scale Sets
VM
PIP
PIP : Public IP Azure
PIP
PIP
Slide 122
Slide 122 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 122
ネットワーク系サービスの違い
各クラウドのエンドポイントサービスを以下に記載します。
AWSとAzure共に2種類のエンドポイントサービスが存在し、用途に合わせて使い分けることが可能です。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure
Slide 123
Slide 123 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 123
ネットワーク系サービスの違い
PaaS等の各クラウド上で稼働するサービスに対して、インターネットを経由せずクラウドのグローバルネッ
トワークを経由する方法として、AWSはVPC Endpoint、AzureはService Endpointがあります。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure
Slide 124
Slide 124 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 124
ネットワーク系サービスの違い
AWSのVPC EndpointはVPCコンソール画面から作成する必要があるのに対して、AzureのService Endpoint
は各サービスのポータル画面で設定することで自動的に作成されます。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure
Slide 125
Slide 125 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 125
ネットワーク系サービスの違い
AWSのVPC EndpointにはInterface型とGateway型の2種類があり、Interface型の場合はSubnet内にENIが作
成され、エンドポイントとENIが1対1で紐づきます。Gateway型の場合はVPCに直接紐づけられます。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS
Slide 126
Slide 126 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 126
ネットワーク系サービスの違い
AzureのService Endpointは(AWSで言うところの)Gateway型しかありませんが、Firewall機能も統合されて
いるため、アクセス元の制限等が可能です。ただ、Subnet経由で別のネットワークからの利用はできません。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
Azure
Slide 127
Slide 127 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 127
ネットワーク系サービスの違い
ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネットワーク経由で提
供したい場合、Private Linkを利用します。こちらはAWSとAzureで同じ名前となっています。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS Azure
Slide 128
Slide 128 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 128
ネットワーク系サービスの違い
AWSの場合は、ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネット
ワーク経由で提供したい場合のみに利用します。EndpointへのアクセスはSGで制御が可能です。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
AWS
Slide 129
Slide 129 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 129
ネットワーク系サービスの違い
AzureのPrivate Linkはユーザー構築アプリケーション以外に、Azureサービスに対しても設定することが可
能です。ただし、Endpoint経由の通信をNSGやFirewallで制御できないため注意が必要です。
VPC
AWS Cloud Azure
VNet
Private subnet Subnet
VPC VNet
Private subnet Subnet
EC2
VPC Endpoint
(Interface/Gateway)
Network Load
Balancer
EC2
Private Link
VPC Endpoint
(Interface)
VPC Endpoint
Service
S3 DynamoDB KMS Storage Cosmos DB Key Vault
Service Endpoint
(Gateway)
VM
Load
Balancer
VM
Storage
Private
Link
Private
Endpoint
(Interface)
Private Link
Service
Azure
Slide 130
Slide 130 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 130
[再掲]アジェンダ
3. 本文(続き)
• AWSとAzureのネットワーク系サービスの違い
• AWSとAzureのネットワークセキュリティ系サービスの違い
Slide 131
Slide 131 text
ネットワークセキュリティ系サービスの違い
Slide 132
Slide 132 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 132
ネットワークセキュリティ系サービスの違い
使用するネットワークの数が増えてくると、それに伴ってネットワークセキュリティについても考慮が必要
です。以下にAWSとAzureで提供されているサービス例を記載します。
AWS WAF
AWS
Network
Firewall
VPC
Network
ACL
Azure
Firewall
Azure
WAF
Azure
Network
Security
Group
アプリケーション向け
ネットワーク内部向け
インターネットとの境界向け
AWS Azure
Slide 133
Slide 133 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 133
ネットワークセキュリティ系サービスの違い
AWSとAzureのどちらも安全な通信を担保するための仕組み・サービスがいくつか存在します。
ざっくり大別すると以下のようになります。FirewallはL7とL4のどちらでも対応可能です。
AWS WAF
AWS
Network
Firewall
VPC
Network
ACL
Azure
Firewall
Azure
WAF
Azure
Network
Security
Group
アプリケーション向け
ネットワーク内部向け
インターネットとの境界向け
AWS Azure
Slide 134
Slide 134 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 134
ネットワークセキュリティ系サービスの違い
アプリケーションレイヤーのみのセキュリティにはWAFを利用します。
WAFは特定のサービスに対して設定することができ、対象のサービスはAWSとAzureで若干異なります。
AWS WAF Azure WAF
アプリケーション向け
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
regional regional global
global
global
Amazon
API Gateway
regional
Azure API
Management
regional
対象外
AWS Azure
L7ロードバランサ―
コンテンツ配信ネットワーク
API管理サービス
Slide 135
Slide 135 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 135
ネットワークセキュリティ系サービスの違い
WAFがアタッチ可能なL7ロードバランサ―の役割を持つサービスはAWSが1つ、Azureが2つあります。
Azureはリージョン内で利用されるサービスとグローバルで利用されるサービスの2種類存在しています。
AWS WAF Azure WAF
アプリケーション向け
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
regional regional global
global
global
Amazon
API Gateway
regional
Azure API
Management
regional
対象外
AWS Azure
L7ロードバランサ―
コンテンツ配信ネットワーク
API管理サービス
Slide 136
Slide 136 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 136
ネットワークセキュリティ系サービスの違い
次にWAFがアタッチ可能なAPI管理サービスの役割を持つサービスはAWSのみ存在します。
Azureにも同様の役割を持つサービスがありますが、WAFのアタッチはできません。
AWS WAF Azure WAF
アプリケーション向け
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
regional regional global
global
global
Amazon
API Gateway
regional
Azure API
Management
regional
対象外
AWS Azure
「L7ロードバランサ
―」と組み合わせて
利用することでWAF
を間接的に適用する
L7ロードバランサ―
コンテンツ配信ネットワーク
API管理サービス
Slide 137
Slide 137 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 137
ネットワークセキュリティ系サービスの違い
WAFがアタッチ可能なコンテンツ配信ネットワークの役割を持つサービスはAWSとAzureともに1つずつあり
ます。共にエッジネットワークで提供されるサービスのため、WAFもエッジネットワークで有効化されます。
AWS WAF Azure WAF
アプリケーション向け
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
L7ロードバランサ―
regional regional global
global
global コンテンツ配信ネットワーク
Amazon
API Gateway
regional API管理サービス
Azure API
Management
regional
対象外
AWS Azure
Azure CDNにWAFを
アタッチさせる仕組
みはパブリックプレ
ビューで提供され、
現在は新規設定がで
きない
Slide 138
Slide 138 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 138
ネットワークセキュリティ系サービスの違い
Azure Front Doorはカテゴリ上はコンテンツ配信ネットワークに含まれますが、ここでは敢えてL7ロードバ
ランサ―として位置づけしています。(バランサー機能以外にコンテンツキャッシュ等の機能もあります)
AWS WAF Azure WAF
アプリケーション向け
Azure Application
Gateway
Azure Front
Door
Azure Content
Delivery Network
Application
Load Balancer
Amazon
CloudFront
L7ロードバランサ―
regional regional global
global
global コンテンツ配信ネットワーク
Amazon
API Gateway
regional API管理サービス
Azure API
Management
regional
対象外
AWS Azure
Slide 139
Slide 139 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 139
ネットワークセキュリティ系サービスの違い
各クラウドの内部ネットワークとインターネットの境界でのセキュリティとしてはFirewallを利用します。
AWSのFirewallは提供されているプランが1種類なのに対して、Azureは全部で3種類のプランがあります。※
AWS Network
Firewall
Azure Firewall
インターネットとの境界向け
AWS Azure
提供プラン Standard Premium
Only one Basic
制御方式
ステートレス or ステートフル
ルール種類
スループット
ステートフル
NATルール
ネットワークルール
アプリケーションルール
送信用
受信用
送信用
(L3~L4)
(L3~L4)
(L7)
ステートフルルール
ステートフルルール
送信用 受信用
送信用 受信用
(L3~L4、L7)
(L3~L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超
※記載していないプランごとの細かな違いは割愛
Slide 140
Slide 140 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 140
ネットワークセキュリティ系サービスの違い
Azureはステートフルルールしか設定できませんが、AWSはステートレスルールも設定が可能です。
AWS Network
Firewall
Azure Firewall
インターネットとの境界向け
AWS Azure
提供プラン Standard Premium
Only one Basic
制御方式
ステートレス or ステートフル
ルール種類
スループット
ステートフル
NATルール
ネットワークルール
アプリケーションルール
送信用
受信用
送信用
(L3~L4)
(L3~L4)
(L7)
ステートフルルール
ステートフルルール
送信用 受信用
送信用 受信用
(L3~L4、L7)
(L3~L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超
※記載していないプランごとの細かな違いは割愛
Slide 141
Slide 141 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 141
ネットワークセキュリティ系サービスの違い
Azureのルールは受信用と送信用で3種類あるのに対して、AWSは送信用と受信用が分けられていません。
Azureはレイヤーごとにルールが分けられていますが、AWSはレイヤーもまとめられています。
AWS Network
Firewall
Azure Firewall
インターネットとの境界向け
AWS Azure
提供プラン Standard Premium
Only one Basic
制御方式
ステートレス or ステートフル
ルール種類
スループット
ステートフル
NATルール
ネットワークルール
アプリケーションルール
送信用
受信用
送信用
(L3~L4)
(L3~L4)
(L7)
ステートフルルール
ステートフルルール
送信用 受信用
送信用 受信用
(L3~L4、L7)
(L3~L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超
※記載していないプランごとの細かな違いは割愛
Slide 142
Slide 142 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 142
ネットワークセキュリティ系サービスの違い
Azureのプランについては記載している以外にも使用できる機能などの違いもありますが、AWSと比較した
ときに判断しやすいスループットのみ記載しています。Azureはスループット要件でプランを選択できます。
AWS Network
Firewall
Azure Firewall
インターネットとの境界向け
AWS Azure
提供プラン Standard Premium
Only one Basic
制御方式
ステートレス or ステートフル
ルール種類
スループット
ステートフル
NATルール
ネットワークルール
アプリケーションルール
送信用
受信用
送信用
(L3~L4)
(L3~L4)
(L7)
ステートフルルール
ステートフルルール
送信用 受信用
送信用 受信用
(L3~L4、L7)
(L3~L4、L7)
最大
250Mbps
最大
30Gbps
最大
100Gbps
45Gbps超
※記載していないプランごとの細かな違いは割愛
Slide 143
Slide 143 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 143
ネットワークセキュリティ系サービスの違い
各クラウドのネットワーク内部向けのセキュリティとして、AWSはNACLとSG、AzureはNSGがあります。
AzureのNSGはSubnetとVM(NIC)にアタッチでき、AWSはアタッチ対象ごとに分かれています。
VPC
Network ACL
Azure Network
Security Group
ネットワーク内部向け
AWS Azure
アタッチ対象
制御方式
デフォルトルール
ルール種類
Subnet
Azure VM
(NIC)
Subnet
Amazon EC2
(NIC)
Private
subnet
Public
subnet
ステートレス ステートフル
ステートフル
インバウンドルール
アウトバウンドルール
インバウンドルール
アウトバウンドルール
受信セキュリティ規則
送信セキュリティ規則
送信
受信 許可なし
全て許可
送信
受信
優先度1: 全て許可
優先度2: 全て拒否
送信
受信
優先度1: VMのvNetからの着信を許可
優先度2: ALBからの監視信号を許可
優先度3: 全ての着信を拒否
優先度1: 全て許可
優先度2: 全て拒否
優先度1: VMのvNetからの発信を許可
優先度2: インターネットからの発信を許可
優先度3: 全ての発信を拒否
Slide 144
Slide 144 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 144
ネットワークセキュリティ系サービスの違い
AWSのNACLでは優先順位に従って通信の許可拒否が評価されますが、SGは許可のみなので通信の許可の有
無で評価されます。AzureのNSGはNACLと同じく優先順位に従って許可または拒否が評価されます。
VPC
Network ACL
Azure Network
Security Group
ネットワーク内部向け
AWS Azure
アタッチ対象
制御方式
デフォルトルール
ルール種類
Subnet
Azure VM
(NIC)
Subnet
Amazon EC2
(NIC)
Private
subnet
Public
subnet
ステートレス ステートフル
ステートフル
インバウンドルール
アウトバウンドルール
インバウンドルール
アウトバウンドルール
受信セキュリティ規則
送信セキュリティ規則
送信
受信 許可なし
全て許可
送信
受信
優先度1: 全て許可
優先度2: 全て拒否
送信
受信
優先度1: VMのvNetからの着信を許可
優先度2: ALBからの監視信号を許可
優先度3: 全ての着信を拒否
優先度1: 全て許可
優先度2: 全て拒否
優先度1: VMのvNetからの発信を許可
優先度2: インターネットからの発信を許可
優先度3: 全ての発信を拒否
Slide 145
Slide 145 text
Copyright © 2023 BeeX Inc. All Rights Reserved. 145
ネットワークセキュリティ系サービスの違い
注意が必要な点として、仮想マシンを作成時にセキュリティグループを指定しない場合、AWSは通信ができ
ない状態で作成されますが、Azureはインターネットから通信ができる状態で作成されます。(RDP等)
VPC
Network ACL
Azure Network
Security Group
ネットワーク内部向け
AWS Azure
アタッチ対象
制御方式
デフォルトルール
ルール種類
Subnet
Azure VM
(NIC)
Subnet
Amazon EC2
(NIC)
Private
subnet
Public
subnet
ステートレス ステートフル
ステートフル
インバウンドルール
アウトバウンドルール
インバウンドルール
アウトバウンドルール
受信セキュリティ規則
送信セキュリティ規則
送信
受信 許可なし
全て許可
送信
受信
優先度1: 全て許可
優先度2: 全て拒否
送信
受信
優先度1: VMのvNetからの着信を許可
優先度2: ALBからの監視信号を許可
優先度3: 全ての着信を拒否
優先度1: 全て許可
優先度2: 全て拒否
優先度1: VMのvNetからの発信を許可
優先度2: インターネットからの発信を許可
優先度3: 全ての発信を拒否
Slide 146
Slide 146 text
No content