AWS 基礎トレーニング @ LLM 勉強会

Slide 1

Slide 1 text

© 2023, Amazon Web Services, Inc. or its affiliates. © 2024, Amazon Web Services, Inc. or its affiliates. 佐々木啓(Sasaki Kei) アマゾンウェブサービスジャパン合同会社パブリックセクター技術統括本部ソリューションアーキテクト 2023 年 12 月 20 日 AWS基礎トレーニング Basic解説編 LLM勉強会様向け

Slide 2

Slide 2 text

© 2023, Amazon Web Services, Inc. or its affiliates. 内容についての注意点 2 本資料では2023年 12⽉ 14⽇時点のサービス内容および価格についてご説明しています。最新の情報は AWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。資料作成には⼗分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。価格は税抜表記となっています。⽇本居住者のお客様が東京リージョンを使⽤する場合、別途消費税をご請求させていただきます。 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.

Slide 3

Slide 3 text

Slide 4

Slide 4 text

© 2023, Amazon Web Services, Inc. or its affiliates. 本日のハンズオンの目的 • クラウドとは？AWSとは何か？そして、そのメリットは何かを理解いただく • 学習コンテンツの探し方や学習方法を理解いただき、自走できるようになる • AWS上でシステムを構築する上での基本的なサービスについて学び、AWS上でシステム構築を行う方法についてイメージできるようになる

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

© 2023, Amazon Web Services, Inc. or its affiliates. アマゾンについて 1994 ● 創⽴ 1995 ● Amazon.comスタート 1998 ● CDs & DVDs販売開始 2006 ● Amazon Web Services 2007 ● Kindle 2011 ● Video 2012 ● ⽣鮮⾷品販売開始 2014 ● Alexa/Echo 2015 ● 書店開設 2017 ● Amazon Go

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

© 2023, Amazon Web Services, Inc. or its affiliates. 耐障害性と高可用性を実現するインフラストラクチャ AWSが世界規模で展開するグローバルインフラストラクチャは柔軟性、信頼性、拡張性、そしてセキュリティを兼ね備えていますリージョンアベイラビリティーゾーン（AZ）データセンターすべてのリージョンは独⽴し、物理的に離れた場所にある複数のアベイラビリティーゾーンで構成されていますアベイラビリティーゾーンは1つ以上のデータセンターで構成され、互いに低遅延な専⽤線で接続されています複数のアベイラビリティーゾーンでシステムを構成することで、⾼い耐障害性を実現できますマルチAZ構成で⾼い可⽤性を実現 Point of Presence（PoP）世界中に配置されたPoint of Presence からの低レイテンシーな⾼速転送で世界中のユーザーにコンテンツを安全に配信できます物理的に一定距離離れた場所

Slide 16

Slide 16 text

Slide 17

Slide 17 text

© 2023, Amazon Web Services, Inc. or its affiliates. 日本における再生可能エネルギーの活用に向け、大きな一歩 17 ⽇本の⼀般家庭 5,600 世帯分以上の電⼒に相当する年間 23,000 メガワット（MWh）の再⽣可能エネルギー電⼒を供給予定 Amazon と三菱商事、⽇本初の再⽣可能エネルギー購⼊契約を締結コーポレート PPA を活⽤した集約型太陽光発電プロジェクトとしては、⽇本初で最⼤ * *PPA: Power Purchase Agreement (電⼒購⼊契約）

Slide 18

Slide 18 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS の取り組み 18 ウォーター・スチュワードシップ蒸発冷却の使⽤、リサイクル冷却⽔の使⽤、オンサイトのモジュラー⽔処理の設置データセンターに再⽣可能エネルギーを供給低炭素型コンクリートを使⽤した新しいデータセンターの建設 Graviton プロセッサのパフォーマンス向上アマゾン・サステナビリティ・データ・イニシアティブ (ASDI) による、サステナビリティ調査への⽀援データセンター内の電⼒効率と可⽤性を向上

Slide 19

Slide 19 text

© 2023, Amazon Web Services, Inc. or its affiliates. スケールメリットをお客様に還元 AWSは2006年のサービス開始以降、⾮常に速いスピードで提供規模を拡⼤し、実質的に制限のないITリソースを提供していますこのスケールメリットを⽣かし、コスト低下分をお客様に還元することで値下げを実現しています規模の拡⼤とイノベーションコストダウンを推進継続的な値下げによるお客様への還元 129 回以上より多くのお客様資本投資技術投資効率改善値下げ規模の経済

Slide 20

Slide 20 text

© 2023, Amazon Web Services, Inc. or its affiliates. わずか数分でITリソースの⽤意が可能に AWSを利⽤することで、従来、オンプレミスでのITリソース導⼊につきものであった⾼額な初期費⽤、緻密なキャパシティープランニング、稼働までの多くの時間と労⼒などをなくし、わずか数分で必要なITリソースを調達できますオンプレミス AWSのクラウド複雑なプランニングと⻑いリードタイムが求められる新しいインフラストラクチャの構築マネジメントコンソールや CLI*、API経由での操作で初期費⽤なし、わずか数分でITリソースが⽤意可能数ヶ⽉要件定義物理設計論理設計ハードウェア⾒積ハードウェア発注ハードウェア搬⼊設置デプロイ運⽤開始ハードウェア増設/⼊替要件定義 / 利⽤サービス選定コンソールやCLI、API経由でデプロイいつでもリソース拡張 / 利⽤停⽌数分 * CLI = コマンドラインインターフェイス

Slide 21

Slide 21 text

© 2023, Amazon Web Services, Inc. or its affiliates. サイジングからの解放必要な時に必要なだけリソースを使えるように。緻密な需要予測と初期投資は不要ですリソース実需要オンプレミス：常に必要以上の投資余剰キャパシティーリソース実需要オンプレミス：予測できないピークによる機会損失リソース不⾜による機会損失 / 顧客満⾜度低下リソース実需要 AWS：無駄のない投資リソース実需要 AWS：⾃動、⼿動でスケールアウト、スケールインが可能必要な時に必要なだけリソースを⾃動で調達可能ビジネスの成⻑に合わせてリソースを柔軟に調達可能

Slide 22

Slide 22 text

© 2023, Amazon Web Services, Inc. or its affiliates. コストの低減コストはTCO (Total Cost of Ownership)で⽐較することが重要 5年初期投資 0円ランニングコスト AWS 5年初期投資実際にはランニングコストも必要物理サーバ購⼊ • TCOとは総保有コスト、その設備にかかる購⼊から廃棄までに必要な⽀出と時間の合計 • 予算を作成時には、初期投資だけで⽐較することがなく、ランニングコストも含めたTCOで⽐較することが重要 Ø 物理サーバ購⼊の場合には、アプリケーション側に課題がなくても、ハードウェアの保守等の問題で、数年後に再度リプレイスが発⽣ Ø AWSを利⽤することで、ハードウェア保守切れにとも合う定期的な更新作業(調達・⼊替)が不要、アプリケーションなどの保守ために現地⽴会不要、電気代・空調費などの⾒えにくいコストが含まれている ※仮に5年としています AWS 5年分の利⽤料データセンター費⽤、サーバ機器（含む代替機）ネットワーク機器、機器保守費⽤、電源費⽤、 OS費⽤、運⽤⼈件費、バックアップソフトウェア、データ暗号化機能、特権管理機能、リソース監視モジュール物理サーバ 5年利⽤想定での初期投資額電源費⽤データセンター費⽤ OS費⽤運⽤⼈件費ネットワーク機器機器保守費⽤ランニングコスト空調費⽤⾒えにくいコスト

Slide 23

Slide 23 text

© 2023, Amazon Web Services, Inc. or its affiliates. 200 を超える幅広いサービスであらゆるワークロードをサポートコンピューティングアプリケーション統合 ARとVR Game Tech IoT 機械学習モバイル量⼦テクノロジーロボット⼯学カスタマーエンゲージメントビジネスアプリケーションエンドユーザーコンピューティング分析 AWS コスト管理ブロックチェーンデータベース開発者⽤ツールマネジメントとガバナンスメディアサービス移⾏と転送ネットワークとコンテンツ配信⼈⼯衛星セキュリティ、ID、コンプライアンスストレージ AWSの提供する90%のサービスや機能はお客様からの意⾒をもとに開発、残りの10%もお客様の潜在的な要望を汲み取って作られています

Slide 24

Slide 24 text

© 2023, Amazon Web Services, Inc. or its affiliates. モノリシックすべての機能が含まれる単⼀のシステムシステム全体に影響するデプロイメントあらかじめ定められた最⼤パフォーマンス関係者全体との調整が求められる困難な変更管理先送りされる新テクノロジーへの対応マイクロサービス単⼀の機能（サービス）の集合体機能ごとのデプロイメント柔軟なスケーリング機能ごとに独⽴した変更管理容易な新テクノロジーへの対応アーキテクチャの⾰新マイクロサービスアーキテクチャの適⽤により、柔軟でスピード感のあるシステム構築を実現することができます AWSでは幅広いラインナップのサービスを⽤意することで、お客様のクラウド活⽤をサポートします

Slide 25

Slide 25 text

© 2023, Amazon Web Services, Inc. or its affiliates. マネージド型サービスの利⽤で価値創造に集中オンプレミス電源・ネットワークラック導⼊管理サーバーメンテナンス OSの導⼊ミドルウェアの導⼊ミドルウェアのパッチバックアップ可⽤性の確保スケーラビリティサービスの利⽤ Amazon EC2 電源・ネットワークラック導⼊管理サーバーメンテナンス OSの導⼊ミドルウェアの導⼊ミドルウェアのパッチバックアップ可⽤性の確保スケーラビリティサービスの利⽤マネージド型サービス電源・ネットワークラック導⼊管理サーバーメンテナンス OSの導⼊ミドルウェアの導⼊ミドルウェアのパッチバックアップ可⽤性の確保スケーラビリティサービスの利⽤ AWSが提供するレイヤーお客様に管理いただくレイヤー AWSにはサーバーレスアプリケーションの構築と実⾏に利⽤可能な⼀連のマネージド型サービスが⽤意されていますマネージド型サービスの活⽤により市場投⼊までの時間を短縮すると同時に、イノベーションに注⼒できます

Slide 26

Slide 26 text

© 2023, Amazon Web Services, Inc. or its affiliates. お客様と AWS が分担/協力して強固なセキュリティを実現する考え方 AWS クラウドのセキュリティに対する責任 SECURITY ‘OF’ THE CLOUD お客様クラウド内のセキュリティに対する責任 SECURITY ‘IN’ THE CLOUD お客様のデータプラットフォーム、アプリケーション、IDとアクセス管理オペレーティングシステム、ネットワークとファイアウォール構成クライアント側データ暗号化データ整合性認証サーバー側暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、アイデンティティ) ハードウェア/AWSグローバルインフラストラクチャーソフトウェアリージョンアベイラビリティゾーンエッジロケーションコンピュートストレージデータベースネットワーキングセキュリティ-責任共有モデル-

Slide 27

Slide 27 text

© 2023, Amazon Web Services, Inc. or its affiliates. データプライバシー AWS はお客様のデータにアクセスできず、データの保存、管理、保護⽅法はお客様が選択します。責任共有モデルにおけるデータの所有権と管理に関して、4つの重要な基本事項があります。 1. お客様は継続してデータを所有します。 2. お客様は、データを保存する地理的な場所を選択します。お客様がデータの移動を選択しない限り、データが移動されることはありません。 3. お客様はいつでもデータをダウンロードまたは削除できます。 4. お客様はデータの機密性を考慮し、転送中や保管時にデータを暗号化するかどうか、および暗号化⽅法を決定します。 • 東京リージョンや⼤阪リージョンを選択すればデータは⽇本国内に置かれます • 住所が⽇本の場合、基本的に第⼀審裁判所は東京地⽅裁判所となります

Slide 28

Slide 28 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS クラウドセキュリティ AWSはクラウドコンピューティングの先駆者として、セキュリティを最優先事項としてお客様のイノベーションに迅速に対応可能なクラウドインフラストラクチャーを創造してきました。セキュリティ機能の実装や厳格なコンプライアンス要件へ対応でお客様は最も柔軟かつセキュアなクラウドコンピューティング環境を実現可能ですクラウドセキュリティのためのサービス AWSの提供するセキュリティ、ID、コンプライアンスのための包括的なサービスと機能を活⽤いただくことでセキュリティとコンプライアンスの要件を満たす能⼒を向上させることができますアイデンティティ & アクセス管理脅威の検出と継続的なモニタリングインフラストラクチャとデータの保護インシデントへの対応コンプライアンス AWS コンプライアンスプログラムセキュリティとコンプライアインスのためにAWSに導⼊されている堅牢な管理は、独⽴した監査⼈によって評価されています。これにより、AWSはお客様のコンプライアンス要件への準拠をサポートしますコンプライアンスプログラムの例 AWS コンプライアンスプログラム https://aws.amazon.com/jp/compliance/programs/ AWSのデータセンター https://aws.amazon.com/jp/compliance/data-center/data-centers/

Slide 29

Slide 29 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Well-Architected Framework(W-A)とは? • AWSのソリューションアーキテクト(SA)、パートナー様、お客様の10年以上にわたる経験から作り上げたもの § W-Aツール § 6 つの柱、設計原則、質問と回答形式でベストプラクティスを用意 • AWS・お客様と共に、W-Aも常に進化し続けるシステム設計・運⽤の”⼤局的な”考え⽅とベストプラクティス集運用上の優秀性セキュリティ信頼性パフォーマンス効率コスト最適化持続可能性

Slide 30

Slide 30 text

© 2023, Amazon Web Services, Inc. or its affiliates. 24時間365日* 日本語によるサポートお客様に安⼼してご利⽤いただくため AWSでは⽇本語による24時間365⽇*のビジネスサポートを提供しますベーシック開発者ビジネスエンタープライズフォーラム課⾦Q&A フォーラム課⾦Q&A 技術 Q&A Webフォーム営業時間対応フォーラム課⾦Q&A 技術 Q&A Webフォーム電話 / チャット 24時間365⽇ Trusted Advisor フォーラム課⾦Q&A 技術 Q&A Webフォーム電話 / チャット 24時間365⽇ Trusted Advisor 専任TAM アップグレード契約プラン開発環境プロダクション環境

Slide 31

Slide 31 text

© 2023, Amazon Web Services, Inc. or its affiliates. 最大規模のコミュニティ AWS は世界中で何百万ものアクティブなお客様によって⽀えられています JAWS-UG は AWS が提供するクラウドコンピューティングを利⽤する⼈々の集まり（コミュニティ）です⼀⼈ではできない学びや交流を⽬的としてボランティアによる勉強会の開催や交流イベントなどが⾏われています AWS User Group ‒ Japan (JAWS-UG) エンドユーザー企業を対象としたクローズドな場として設⽴された AWS をお使いの企業のコミュニティです⾮公開を前提とした場で AWS のクラウド活⽤における課題や取り組みに関するさまざまなディスカッションが進んでいます Enterprise-JAWS

Slide 32

Slide 32 text

© 2023, Amazon Web Services, Inc. or its affiliates. 機械学習の無料お試し環境 https://aws.amazon.com/jp/sagemaker/studio-lab/ • JupyterLab ベース、AWS 上のコンピューティングリソースに無料でアクセスして機械学習の学習と実験をすぐに始められる。 • クレジットカード登録不要。 • ユーザーセッション 1 回あたり12 時間の CPU または 4 時間の GPU のいずれかを選択して利用でき、利用できるユーザーセッションの数は無制限。 • プロジェクトごとに最低 15 GB の永続的ストレージを利用可能。セッションの期限が切れると、SageMaker Studio Lab は環境のスナップショットを取得します。これにより、中断したところからすぐに再開可能。 • GitHub と緊密に統合されており、Git コマンドラインを完全にサポート。

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

© 2023, Amazon Web Services, Inc. or its affiliates. 1.基本的なAWSサービス • 基本的なAWSサービスってなんだろう… • ご紹介するサービス § AWS Identity and Access Management (IAM) ：IDとAWSのサービスおよびリソースへのアクセスを管理 § Amazon VPC ：AWS上に論理的に分離された仮想ネットワークの定義と起動 § Amazon EC2 ：安全でスケーラブルなクラウド上の仮装サーバ § Amazon RDS ：マネージドリレーショナルデータベース § Amazon S3 ：拡張性と耐久性を兼ね揃えたクラウドオブジェクトストレージ 35 この資料では、オンプレミスと近しい形でサーバーベースでシステムを構築する為に必要なサービスと定義

Slide 36

Slide 36 text

Slide 37

Slide 37 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Identity and Access Management (IAM) とは? AWS IAM は、AWS リソースへのアクセスを安全に制御するのに役⽴ちます。 IAM を使⽤して、誰が認証 (サインイン) され、誰がリソースを使⽤する権限を持つ (認可) かを制御できます。 • 無料で利⽤可能 • AWS アカウントへのアクセス共有 • きめ細かな権限制御 • AWS リソースへの安全なアクセス • 多要素認証 (MFA) • IDフェデレーション • 多くの AWS サービスと統合 • ⼀貫性がある

Slide 38

Slide 38 text

© 2023, Amazon Web Services, Inc. or its affiliates. 38 AWSアカウントとrootユーザー、IAMユーザー 38 AWS Cloud AWS account A AWS account B AWSアカウント・課金/環境分割 /サービスクォータ/セキュリティの境界・AWS上のお客様の管理下とする範囲・アカウントIDは自動的に採番される一意の12桁の数字 rootユーザー・AWSアカウント内の最上位権限を持つユーザー・1つのAWSアカウントにつき1ユーザーのみ・アカウント作成時に登録するメールアドレスがユーザー名・初期登録時以外は原則利用しないことを奨励 IAMユーザー・個人またはアプリケーションを表すアイデンティティ・AWSアカウントに5000まで作成可能・IDは作成時に任意の文字列を指定可能 aaaaa@mail.co.jp bbb@mail.co.jp rootユーザー IAMユーザー rootユーザー IAMユーザー

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Slide 41

Slide 41 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS アクセス管理 — アクセスできるか AWS ID およびアクセス管理 (IAM) ID ベースのポリシーリソースベースのポリシー 2 種類の AWS ポリシータイプが⽤意されているポリシーにより権限が定義される特定のアイデンティティが何にアクセスできるか︖ ⼈や役職・役割に応じたアクセスを定義する基本的なポリシー特定のリソースにどのユーザーがアクセスできるか︖ S3 のデータや、KMS の暗号鍵などの重要なリソースへアクセスを定義する際に有効

Slide 42

Slide 42 text

© 2023, Amazon Web Services, Inc. or its affiliates. 42 JSON ポリシー構⽂の例次のIDベースのポリシーにより、暗黙のプリンシパルは example_bucket という名前の単⼀の Amazon S3 バケットをリストできます。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket" } ] }

Slide 43

Slide 43 text

Slide 44

Slide 44 text

© 2023, Amazon Web Services, Inc. or its affiliates. IAMの関係性イメージ 44 IAMポリシー (IDベースポリシー) IAMロール IAMグループ IAMユーザー UserA Instance Lambda function IAMユーザー UserB Bucket IAMポリシー (リソースベースポリシー) アタッチロール引き受けロール引き受け IAMユーザー・最大で１アカウントに5000ユーザー作成可能・IAMポリシーをアタッチできる。・IAMグループに所属可能。グループに所属すると、グループにアタッチされたポリシーが適用される IAMロール・IAMポリシーをアタッチできる。・パスワードを持たず、IAMユーザーやAWSサービスはロールを引き受けることができる・ロールを引き受けると、ロールにアタッチされたポリシーが適用される IAMポリシー(IDベースポリシー) ・誰が、何にアクセスできるか？という権限を記載・作成したポリシーをIAMユーザーやロールにアタッチして作成したポリシーの権限を適用できる・複数のポリシーを適用させることも可能

Slide 45

Slide 45 text

Slide 46

Slide 46 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon Virtual Private Cloud (VPC) VPC ユーザが定義するネットワーク AWS Cloud Amazon EC2 AWS Lambda Amazon RDS Amazon Redshift Amazon Simple Storage Service (S3) Amazon DynamoDB Outside VPC = public IP address • AWS上にプライベートネットワーク空間を構築 • 任意のIPアドレスレンジが利用可能 • 論理的なネットワーク分離が可能 • 必要に応じてネットワーク同士の接続も可能 • ネットワーク環境の各種コントロールが可能 • ルートテーブル、FW、NATなどの機能 • 複数の接続オプションが選択可能 • インターネット経由 • VPN/専用線(Direct Connect) AWS Lambda

Slide 47

Slide 47 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon VPC / Direct Connect クラウド上の仮想プライベート空間と、オンプレミスから閉域でのアクセス § VPC(Virtual Private Cloud)によりクラウド上に隔離されたプライベートネットワークを仮想的に作成可能アドレス空間ブロックサイズを自由に設定可能 § お客様のオンプレミスの環境とVPNや専用線を用いて閉じた環境として接続することで、オンプレミス(既存データセンター)の拡張としてAWSを利用可能 § ファイアーウォール、ルーティングテーブル、NAT等の機能を内蔵 47 お客様サイト AWS Cloud VPC Private subnet Private subnet Availability Zone Public subnet インターネットインターネットVPN (IPSec) 専⽤線 AWS Direct Connect AWS VPN アプリケーションサーバーデータベースサーバー Webサーバー分離したNW領域を作成インターネットゲートウェイ

Slide 48

Slide 48 text

Slide 49

Slide 49 text

© 2023, Amazon Web Services, Inc. or its affiliates. まずは全体のネットワーク空間を VPC として定義 • 通常であればプライベートアドレス（RFC1918）利用 • /16 から /28 のネットマスクを利用 • 作成後は VPC アドレスブロックは変更できないので注意 • 連携予定の別システムがある場合は重複していない方が良い 51 VPC 10.0.0.0 /16

Slide 50

Slide 50 text

Slide 51

Slide 51 text

Slide 52

Slide 52 text

© 2023, Amazon Web Services, Inc. or its affiliates. プライベートサブネットを追加 54 VPC 10.0.1.0/24 パブリックサブネット 10.0.0.0 /16 プライベートサブネット 10.0.2.0/24 Route Table Destination Target 10.0.0.0/16 local インターネットへの経路を持たない Route Table Destination Target 10.0.0.0/16 local 0.0.0.0/0 igw

Slide 53

Slide 53 text

Slide 54

Slide 54 text

Slide 55

Slide 55 text

© 2023, Amazon Web Services, Inc. or its affiliates. 57 Network Access Control List (NACL)、セキュリティグループ VPC Subnet Subnet NACL NACL 適用範囲： Subnet 設定方向： in/out 状態判別：ステートレス(復路も検査) ルール：許可または拒否を指定コンソール：VPC Subnet Security group VPC Subnet 適用範囲：インスタンス設定方向： in/out 状態判別：ステートフル(往路のみ確認) ルール：許可を指定(拒否は設定不可) コンソール：EC2 Security group

Slide 56

Slide 56 text

Slide 57

Slide 57 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon EC2 (Elastic Compute Cloud) 数分で起動、1秒ごとの従量課金※で利用可能な仮想サーバ § 多数のOSをサポート、ライセンス費用込みで従量課金 § 自由にソフトウェアのインストールが可能 (ユーザがroot/Administrator権限) § スケールアップ/ダウン、アウト/インが容易に可能 § ユーザが自由に起動場所(リージョン/AZ)を選択可能 59 電源、ラック等ハイパーバイザー利用したいミドルウェアお客様独自のアプリケーション OS (Windows,Linux) ネットワークボタンを押して数分で、ここまで準備されるアプリ、ミドルウェア、監視ツール等を自由に導入 ※ OSの種類により1時間ごととなるものもあります Amazon Linux Windows RedHat Linux お好きなAZに EC2インスタンスを配置可能 Region Availability Zone B Availability Zone A スケールアップスケールダウン EC2 EC2 EC2 サーバーのスペックを簡単にあげられる当然、スペックを下げコストダウンも可能・仮想CPU数追加、メモリ追加等、スペック変更が容易・過剰なリソースの用意ではなく、その時に最適なリソースでコスト最適化が可能

Slide 58

Slide 58 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon EC2 を用いるメリット 60 Scale Up Scale Down × ¥ ¥ 柔軟な性能調整使用した分だけの従量課金 HW リプレース作業不要 HW 障害から自動復旧 OFF ON DC・HWの管理不要 Host Server Hypervisor Guest 1 Guest 2 Guest n DC AWS が管理・運用オンプレミスの延長先として利用オンプレミス AWS インターネット

Slide 59

Slide 59 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon EC2で選択できる高性能CPU / アクセラレーター INTEL Xeon Scalable (Ice Lake) processor AMD EPYC (Milan) processor AWS Graviton3 Processor A100 / V100 / A10G and T4G Tensor Core GPUs AWS Inferentia FPGAs for custom hardware acceleration Virtex UltraScale+ VU9P Radeon Pro V520 GPU Habana-based Gaudi accelerators AWS Trainium CPU Accelerator H.264,H.265 media transcoding by Alveo U30

Slide 60

Slide 60 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon EC2 Mac Instances for macOS • iPhoneやMacなどAppleのプラットフォームのアプリ開発者向けに、macOSをネイティブにサポート § Mac miniとAWS Nitro Systemsによって構成される § VPCやEBS、CloudWatchと組み合わせて利⽤可能 • シングルテナントのベアメタルインスタンスとして提供されオンデマンド利⽤は最低24時間から • SSHまたはVNC over SSHでアクセス。⽇常利⽤⽤途ではなく、あくまでもビルド等の開発⽤

Slide 61

Slide 61 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon EC2 (Elastic Compute Cloud) ⼤きく5つのカテゴリに分類されワークロードに応じて様々なインスタンスタイプを選択可能汎⽤コンピューティング最適化ストレージ最適化⾼速コンピューティング (GPU・FPGA・ASIC) メモリ最適化 F P G M H D C X Z I R High Memory Inf EC2インスタンスタイプは右のようなネーミングルールで構成され、⽤途にあったスペックのインスタンスタイプを選択して使⽤するインスタンス世代 m6i.xlarge インスタンスファミリーインスタンスサイズ CPUの種類や機能オプション最新のEC2インスタンスの⼀覧はWebを参照ください→ https://aws.amazon.com/jp/ec2/instance-types/ T

Slide 62

Slide 62 text

Slide 63

Slide 63 text

© 2023, Amazon Web Services, Inc. or its affiliates. 他社の仮想化アーキテクチャ AWSのNitroシステム⾼性能を実現するAWS 仮想サーバーアーキテクチャの進化 • Nitro システムは、Nitroコントローラ、Nitroセキュリティチップ、Nitroハイパーバイザーで構成。ネットワークのアクセス、ストレージのアクセス、インスタンス・ストレージ (ローカルのNVMe) などに対するコントローラを提供し、ホストと協調します。 • 負荷をNitro Cardへオフロードする事によって、ホスト側のプロセッサのリソースを消費する事を防ぎます。 • パフォーマンス⾯、セキュリティ⾯、運⽤管理⾯で多くのメリットを提供。ハイパーバイザーに割り当てたリソースハイパーバイザ⾃社開発のNitro Cardで、仮想レイヤーの負荷をHWへオフロード

Slide 64

Slide 64 text

© 2023, Amazon Web Services, Inc. or its affiliates. Security Group（ファイアーウォール機能） • EC2インスタンスへのトラフィックを制限するファイアウォール機能 • デフォルトでは全トラフィックが閉じた状態 • 必要な受信アクセスに対してアクセスルールを定義する § プロトコル( TCP/UDP) § 宛先ポート § アクセス元IP / Security Group • ルールをひとまとめにしたテンプレートを Security Groupと呼ぶ 66 EC2 インスタンスポート22 (SSH) ポート80 (HTTP) Security Group ポート25 (SMTP)

Slide 65

Slide 65 text

© 2023, Amazon Web Services, Inc. or its affiliates. 仮想サーバ (EC2) に接続するストレージ • Amazon Elastic Block Store (EBS) § EC2インスタンスにネットワーク経由で接続するブロックストレージ § アプリケーションを問わず様々ワークロードで利用可能 67 EBSの1ボリュームサイズ～ 16TB 大きく４つのボリュームタイプがあり性能や得意ワークロードで選択可能 SSD HDD 最大IOPS/ボリューム 256,000 最大スループット/ボリューム 7,500 MB/s (io2 Block Expressのみ64TBまで可能) 仮想サーバ（EC2）ブロックストレージ（EBS）

Slide 66

Slide 66 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon Elastic Block Store (Amazon EBS) Amazon EC2 Amazon EBS インスタンスストアボリューム Amazon EBS NVMe SSD SSD HDD SSD HDD インスタンスストアボリューム Amazon EBS 追加費⽤なし (EC2インスタンス費⽤に含まれる) ディスクタイプ・性能・容量などはインスタンスによって固定インスタンスの停⽌/終了でクリア (リブートではデータを保持) Amazon EBSの費⽤が別途発⽣ボリューム毎にディスクタイプ・性能・容量を選択可能永続的なブロックストレージプロビジョンド IOPS SSD 汎⽤ SSD コールド HDD スループット最適化 HDD Amazon EBS Snapshot (2回⽬以降は増分のみを保持)

Slide 67

Slide 67 text

© 2023, Amazon Web Services, Inc. or its affiliates. AMI (Amazon Machine Image) • AMIはインスタンス起動に必要なOSイメージ § イメージは内部的にS3に保存 • AWS以外にサードパーティもAMIを提供 • 自由に自前のカスタムAMIを作成可能 § 作成したAMIは別アカウントと共有可能 § カスタムAMIから何台でもEC2インスタンスを起動可能 § 別リージョンへのコピーも可能 69 AWS Cloud インスタンス Amazon S3 AMI カスタムAMI カスタムAMIを使ってインスタンスを複数台起動カスタムAMIを作成して共有 Availability zone – 1a Availability zone – 1b AMIからインスタンスを起動

Slide 68

Slide 68 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon EC2 コールド・スタンバイ機は不要 • インスタンスを再起動することで別のハードウェア上で起動するため、ハードウェア故障に備えて従来のようにスタンバイ機を用意する必要はありません • インスタンスのヘルスチェックをして自動で再起動による復旧(Auto Recovery)の構成も可能です Failover アクティブノードスタンバイノード • 普段は利⽤しなくてもスタンバイノードの準備が必要 • スタンバイノードのメンテナンスも必要従来のアクティブスタンバイ構成 AWSでの代替⽅法再起動 • スタンバイノードの準備は不要 • したがってスタンバイノードの費⽤やメンテナンスは不要⼤量のリソースが既に⽤意されている

Slide 69

Slide 69 text

© 2023, Amazon Web Services, Inc. or its affiliates. ロードバランサ + Auto Scaling による水平スケーリング • ルールにしたがってEC2インスタンスを増減させる機能 • CloudWatch, ELBとの連携で自動的なリソース増減 § 例）CPU使用率が80%以上が5分間続いたらサーバを2台増やす § 例）CPU使用率が30%以下が15分間続いたらサーバを1台減らす 71 Amazon EC2 Amazon EC2 Amazon EC2 Amazon EC2 Amazon EC2 Amazon EC2 Auto Scaling Group Auto Scaling Group 監視負荷を通知

Slide 70

Slide 70 text

Slide 71

Slide 71 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon Relational Database Service (RDS) ⼈気のある6つのデータベースエンジンの選択による管理されたリレーショナルデータベースサービス • MySQL / PostgreSQL / Oracle DB / SQL Server に対応したデータベースを数クリックで利⽤可能 • ⾃動バックアップ、⾃動パッチ当て、⾃動フェイルオーバーに対応 • Oracle / SQL Serverのライセンスを時間課⾦モデルで利⽤可能 (ライセンス持ち込みも可能) AZ-a AZ-b プライマリスタンバイリードレプリカ同期データコピー＆⾃動フェイルオーバー⾮同期データコピー http://aws.amazon.com/jp/rds/ • アベイラビリティゾーンをまたいだ構成で可⽤性を向上 § プライマリ・スタンバイ構成(Hot-Standby) § リージョンをまたいたスナップショト

Slide 72

Slide 72 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon Aurora 74 • クラウド向けに再設計されたMySQL, PostgreSQLと互換性のあるRDBMS • コマーシャルデータベースの性能と可⽤性を1/10のコストでフルマネージドハードウェアのプロビジョニング、ソフトウェアのパッチ適⽤、セットアップ、構成、バックアップといった管理タスクからの解放⾼い安全性ネットワーク分離、保管時/通信の暗号化優れた性能と拡張性標準的なMySQLや PostgreSQLと⽐べて⾼いパフォーマンスを実現; リードレプリカを最⼤ 15 個追加してスケールアウト可能耐障害性、⾃⼰修復機能を兼ね備えたストレージ; 3つのAZにわたり、6 個のコピーを保持; Amazon S3 への継続的なバックアップ⾼可⽤性と耐久性

Slide 73

Slide 73 text

© 2023, Amazon Web Services, Inc. or its affiliates. データベース管理のフルマネージド化による運⽤負荷の軽減 RDS/Aurora アプリケーション最適化拡張性⾼可⽤性 DB バックアップ DB パッチ適⽤ DB インストール/構築 OS パッチ適⽤ OS インストールサーバーメンテナンスハードウェア資産管理電源/ネットワーク/空調 EC2 アプリケーション最適化拡張性⾼可⽤性 DB バックアップ DB パッチ適⽤ DB インストール/構築 OS パッチ適⽤ OS インストールサーバーメンテナンスハードウェア資産管理電源/ネットワーク/空調アプリケーション最適化拡張性⾼可⽤性 DB バックアップ DB パッチ適⽤ DB インストール/構築 OS パッチ適⽤ OS インストールサーバーメンテナンスハードウェア資産管理電源/ネットワーク/空調セルフマネージ AWSマネージオンプレミス

Slide 74

Slide 74 text

© 2023, Amazon Web Services, Inc. or its affiliates. どちらを選ぶべきか︖ • Aurora MySQL/PostgreSQL を選ぶ理由 • 可⽤性・パフォーマンス・運⽤性を重視したい • クローンなど Aurora 独⾃の機能を利⽤し、快適に運⽤・開発をしたい • RDS for MySQL/PostgreSQL を選ぶ理由 • インスタンスタイプ・サイズの選択肢が多い • Aurora で使えない機能を使いたい • 最新のバージョンおよびそれに付随する機能を使いたい

Slide 75

Slide 75 text

RDS/AURORAの基本 © 2024, Amazon Web Services, Inc. or its affiliates. データ(ストレージ)の冗⻑化(RDSとAuroraの違い) Availability Zone #1 リージョン Availability Zone #1 リージョン Availability Zone #2 Availability Zone #3 ノードストレージ (EBS) ノード Auroraストレージ Amazon RDS Amazon Aurora Availability Zone #2 77 ノードノードストレージ (EBS)

Slide 76

Slide 76 text

© 2023, Amazon Web Services, Inc. or its affiliates. 通常のレプリカとAuroraのリードレプリカの違い 78 Aurora独⾃アーキテクチャーでの物理レプリケーションレプリカに書き込みは発⽣しない共有ストレージ MySQL Primary 30% Read 70% Write MySQL Replica 30% New Reads 70% Write Single-threaded Binlog apply Data volume Data volume MySQL/PostgreSQL read scaling Page cache update Aurora Primary 30% Read 70% Write Aurora Replica 100% New Reads Shared Multi-AZ storage Amazon Aurora read scaling データベースレイヤーでの物理レプリケーションマスターと同等の書き込みワークロード独⽴したストレージ

Slide 77

Slide 77 text

© 2023, Amazon Web Services, Inc. or its affiliates. 高度な監視 - Performance Insightsの活用 81 データベースのロード • 平均アクティブセッション数(AAS) • CPU時間と待機イベント内訳ボトルネックの分析軸 • ボトルネックの原因の待機 • ボトルネックとなっているSQL • 性能影響の⾼いホスト、ユーザーデータベースやアプリケーション • CloudWatchメトリクスや拡張モニタリング、データベース内の各種メトリクスの簡易ダッシュボード

Slide 78

Slide 78 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Purpose-Builtデータベース様々なワークロードに応じたデータベース Relational 参照整合性、ACID トランザクション、 schema-on-write リフト&シフト、ERP、 CRM、⾦融 Key-value ⾼スループット、低レイテンシーの読み込みと書き込み、無限のスケールリアルタイム⼊札、ショッピングカート、ソーシャル、製品カタログ、顧客の好み Document ドキュメントを保存し、任意の属性にクエリーですばやくアクセスコンテンツ管理、パーソナライゼーション、モバイル In-memory マイクロ秒のレイテンシーでキーによるクエリーリーダーボード、リアルタイム分析、キャッシュ Graph すばやく簡単にデータ間の関係作成しナビゲート不正検知、ソーシャルネットワーキング、レコメンデーションエンジン Time-series データを時系列に収集、格納、処理 IoTアプリケーション、イベントトラッキング Ledger アプリケーションデータへのすべての変更に対する完全で不変で検証可能な履歴 SoR(Systems of record)、サプライチェーン、ヘルスケア、届出、財務 DynamoDB Neptune Amazon RDS Auror a Commercial Communit y Timestream QLDB ElastiCache DocumentDB

Slide 79

Slide 79 text

Slide 80

Slide 80 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWSストレージサービスデータの格納 Amazon S3 and S3 Glacier オブジェクト Amazon EBS ブロック Amazon EFS ファイルシステム Amazon FSx for Windows File Server Amazon FSx for Lustre データ管理 AWS Backup バックアップデータの移動オンラインオフライン AWS Storage Gateway AWS DataSync AWS Transfer Family AWS Snowball Edge AWS Snowcone Amazon FSx For NetApp ONTAP Amazon FSx for OpenZFS

Slide 81

Slide 81 text

© 2023, Amazon Web Services, Inc. or its affiliates. 85 Amazon S3をデータレイクとして活⽤ Amazon S3 データ分析 Amazon EMR Amazon Athena Amazon Redshift データアーカイブ Amazon S3 Glacier IoT AWS IoT Core Amazon Kinesis ETL AWS Glue AWS Lambda コンテンツ配信 Amazon CloudFront 可視化・BI Amazon QuickSight Amazon Elasticsearch Service データ転送・バックアップ AWS Snowball AWS Storage Gateway AWS Backup 機械学習・AIサービス Amazon SageMaker Amazon Comprehend Amazon Forecast Amazon Rekognition Amazon Personalize Amazon Textract データカタログ AWS Glue Amazon RDS オンプレミス Amazon S3 を中⼼に様々なデータ活⽤のサービスと連携

Slide 82

Slide 82 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon S3 ストレージクラスの整理 86 S3 Intelligent- Tiering S3 Standard (S3 標準) S3 Standard-IA (S3 標準-IA) S3 Glacier Instant Retrieval S3 Glacier Flexible Retrieval S3 Glacier Deep Archive S3 One Zone-IA (S3 1 ゾーン-IA) AWSグローバルインフラストラクチャ複数のアベイラビリティゾーン (AZ) 1つの AZ 想定されるデータタイプアクセスパターンが想定できない/ 変化するデータ頻繁にアクセスされるアクティブデータアクセス頻度が低いデータ即時取り出しが必要なアーカイブデータほとんどアクセスされないアーカイブデータ⻑期保存のアーカイブデータ再⽣可能でアクセス頻度が低いデータオブジェクトの耐久性 99.999999999% 99.999999999% 99.999999999% 99.999999999% 99.999999999% 99.999999999% 99.999999999% データの可⽤性 99.9% 99.99% 99.9% 99.9% 99.99% 99.99% 99.5% レイテンシーミリ秒単位のアクセスミリ秒単位のアクセスミリ秒単位のアクセスミリ秒単位のアクセス分から時間単位の復元 (数分〜12時間) 時間単位の復元 (12〜48時間) ミリ秒単位のアクセス取り出し料⾦なしなし GB あたり GB あたり GB あたり GB あたり GB あたり最⼩ストレージ期間 (最低保存期間) －－ 30 ⽇ 90 ⽇ 90 ⽇ 180 ⽇ 30 ⽇最⼩オブジェクトサイズ－－ 128 KB 128 KB 40 KB 40 KB 128 KB ストレージ価格 * 0.025 〜 0.002 USD/GB ⽉ 0.025 〜 0.023 USD/GB ⽉ 0.0138 USD/GB ⽉ 0.005 USD/GB ⽉ 0.0045 USD/GB ⽉ 0.002 USD/GB ⽉ 0.011 USD/GB ⽉ * 2023年4⽉東京リージョンの容量価格（各ストレージクラスで、リクエストや管理の料⾦があります）

Slide 83

Slide 83 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon S3 ライフサイクルルールの活用オブジェクト作成または更新⽇に基づくストレージクラスの移動 87 PUT GET S3 Standard S3 Glacier Instant Retrieval 90⽇経過 365⽇経過⼀度、S3 Standard に Restore で戻してからアクセスする S3 Glacier Deep Archive （S3 Standard に滞在する⽇数を指定する) 初めは Standardへ S3 Glacier Instant Retrieval はミリ秒単位でアクセスできる

Slide 84

Slide 84 text

© 2023, Amazon Web Services, Inc. or its affiliates. S3 Object Lock 機能⼀定期間改竄できない I M M U T A B L E な状態を提供 88 Immutable な状態でデータ保存が可能な状態 • Object Lock の有効化はバケット単位(新規バケットのみ)、またはオブジェクト単位 Bucketのデフォルト設定 Objectをアップロードしたらデフォルトの保持期間を自動設定 Object単位の設定 Object毎に個別に設定 • 2種類の保持モード (Retention Mode) ガバナンスモード特定のIAMアクセス許可を持つユーザは、上書き・削除が可能コンプライアンスモード保持期間中は、rootユーザを含むどの権限のユーザも、上書き・削除はできない ! × • 保持期間を設定 (Retention Period) 日もしくは年単位で設定可能 • 加えてリーガルホールド (Legal Hold) の設定が可能 Object Lockの実行状態に関わらず設定が可能保持期限の設定はなく、ON/OFFで制御 IAMでリーガルホールドの権限を付与されたユーザのみ操作可能 • S3のバージョニング機能が⾃動で適⽤される事で、⾒た⽬上は削除や上書きの処理に影響は無し

Slide 85

Slide 85 text

Slide 86

Slide 86 text

© 2023, Amazon Web Services, Inc. or its affiliates. 運用において留意いただきたいこと 90 https://pages.awscloud.com/JAPAN-event-OE-At-least-10-security-2023-reg-event.html 1. Amazon CloudWatch : システムをモニタリング・ログを収集する 2. AWS CloudTrail : AWS で起きた事実を記録する 3. AWS Budget, AWS Cost Explore : コスト面で「安心」を確保する 4. AWS GuardDuty : セキュリティ脅威検知を行う 5. AWS Security Hub : AWS環境のセキュリティの状態を一元的に管理する

Slide 87

Slide 87 text

© 2023, Amazon Web Services, Inc. or its affiliates. 91 Amazon CloudWatch 91 EventBrige (CloudWatch Events) CloudWatch Metrics CloudWatch Logs CloudWatch Logs Insights CloudWatch Dashboards CloudWatch はモニタリングに関する様々な機能を提供 time-base event-base メトリクスを送信ログを送信メトリクスに応じたアクションの実⾏ログの可視化イベントに応じたターゲットによる処理メトリクスを送信 AWSサービスお客様システム CloudWatch Alarms

Slide 88

Slide 88 text

© 2023, Amazon Web Services, Inc. or its affiliates. CloudWatchができること 1. 各AWSサービスのメトリクス監視 § メトリクス = 監視項⽬（例︓CPU使⽤率） § メトリクスはあらかじめ定義され、構成済み – サービス開始時から監視開始 – EC2ではハイパーバイザーから監視できる項⽬ § メトリクスを追加定義も可能 (Agent/API経由) – カスタムメトリクス – お客様⾃⾝のアプリケーション、スクリプト、サービスで⽣成されたデータをモニタリング可能 § メトリクス値を時系列にグラフ表⽰ 2. 各メトリクスに対してアラームを作成可能 § しきい値を設定（例︓CPU使⽤率60%以上） § メトリクス値がしきい値を越えたら起こすアクションを定義（例︓メールで通知） 3. EC2上のログ監視・・・Amazon CloudWatch Logs § メトリクスとアラームも作成可能

Slide 89

Slide 89 text

Slide 90

Slide 90 text

Slide 91

Slide 91 text

© 2023, Amazon Web Services, Inc. or its affiliates. 監査やモニタリング、⾃動化につながる可視性 AWS の操作は API 経由で実施され、そして記録される 95 SDK AWS SDK (プログラム) C:¥ AWS CLI (コマンドラインツール) AWS マネジメントコンソールそのほかの AWS のサービス (サービス同⼠の連携) AWS のサービスの API エンドポイント誰? どこ? いつ? 何?

Slide 92

Slide 92 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS CloudTrail が記録する操作履歴を見る過去 90 日間のイベント（操作履歴）を無料で参照、ダウンロード可能※ 単一キーの簡易フィルタリング機能で平時の運用にも役立つ ※AWS の主要な操作履歴である管理イベントのみ。他のイベントについてはこちらを参照。 EC2 インスタンス起動リソース関連情報

Slide 93

Slide 93 text

© 2023, Amazon Web Services, Inc. or its affiliates. コスト管理運⽤うっかりミスの例 • ⼤きな EC2 インスタンスタイプの • 検証環境を⽴ち上げて放置不具合作り込みの例 • Lambda 関数で無限ループ発⽣意図しないアクセスの例 • 公開リポジトリにアクセスキーをコミット、第三者に利⽤され、仮想通貨のマイニング⽤インスタンスを⼤量に作成されたコストの急増は、請求されるまで気づけないことも（安⼼を確保できていない）コストが急増する要因はさまざま

Slide 94

Slide 94 text

Slide 95

Slide 95 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Budgets 予算アラートコストが高額になる兆候を知らせてくれる • 実績/予測コストが、予算に対する「しきい値」を超えると警告メール • 予算の監視とアラート通知の受信は無料 1. AWS Budgets コンソールで「予算を作成する」ボタンを押下 2.予算タイプの選択と、予算、対象サービスなどを選択 3. 予算に対するしきい値を指定、アラートを作成し登録 ※ AWS Budgets の料⾦詳細はこちらを参照。 ※ 同様のコストに関するアラートとして、機械学習を⽤いた AWS Cost Anomaly Detection はこちら

Slide 96

Slide 96 text

Slide 97

Slide 97 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Cost Anomaly Detection による検知機械学習で普段と異なるコストの振る舞いを検知するため、コスト影響金額のしきい値を設定するだけでよく、予算アラートと合わせて活用するとよい 1. コストモニターを作成する 2.アラートサブスクリプションを作成しメール通知先を指定 3. 検出履歴に異常なコストの検出状況が表⽰されていれば設定完了 Billing and Cost Management à Cost Analysis à Cost Anomaly Detection

Slide 98

Slide 98 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Cost Explorer でコスト内訳を把握し、セキュリティ事象に関連するリソースを特定リージョン単位分析 (例︓未使⽤リージョンのコスト急増から影響範囲を推測) サービス単位分析 (例︓EC2 のコスト急増から意図しないインスタンスの所在把握) コンソールから「有効化」して利⽤データ⽣成に 24 時間程度かかります • 最⼤過去 13ヶ⽉まで遡ってグラフで可視化 • フィルターやグルーピングでドリルダウン • コスト最適化提案の推奨 • 今後 3ヶ⽉間のコスト予想

Slide 99

Slide 99 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon GuardDuty 大規模に AWS を運用する上位 2,000 社の 90% が利用 • 機械学習と豊富な脅威情報に基づいた脅威検知で、お客様の AWS 環境を保護 • AWS が管理する基盤で動作し、導⼊時の構成変更不要 & 性能影響なし • 脅威検知⼿法は AWS が継続的に改善 Amazon GuardDuty

Slide 100

Slide 100 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon GuardDuty の検出結果例 104 偵察インスタンスの侵害アカウントの侵害通常と異なる API アクティビティ悪意のある既知の IP 通常と異なるポートポートスキャン通常と異なるトラフィック量通常と異なるインスタンスまたはインフラストラクチャの起動匿名化プロキシ窃取された認証情報の悪⽤ビットコインアクティビティ DNSを⽤いた不正通信 CloudTrail の無効化 RDP/SSH ブルートフォース

Slide 101

Slide 101 text

© 2023, Amazon Web Services, Inc. or its affiliates. お客様・専門家に代わり、継続的かつ高度な脅威検知を実施 HIGH MEDIUM LOW Amazon Detective AWS Security Hub Amazon EventBridge アラート・対応⾃動化、パートナーソリューション連携 VPC Flow logs DNS Logs CloudTrail Events S3 Data Plane Events EKS control plane logs & runtime activities RDS Login events EBS volumes 「既知の脅威」検知脅威インテリジェンス (情報収集活動)に基づく検知「未知の脅威」検知機械学習による普段と異なる振る舞い検知検出結果データソース⾼度な脅威検知統合・対応・⾃動化「継続的」改善脅威インテリジェンスや機械学習、検出結果タイプ⾒直し

Slide 102

Slide 102 text

Slide 103

Slide 103 text

© 2023, Amazon Web Services, Inc. or its affiliates. セキュリティの状態管理を一元的に把握し、対応・改善 AWS Security Hub • 組織内の様々なセキュリティデータを集約、⼀元的に可視化してリスクを評価 • AWS における CSPM (Cloud Security Posture Management) • すぐに利⽤できるセキュリティ基準 • AWS のセキュリティベストプラクティス • CIS AWS Foundation Benchmark • PCI DSS • NIST SP800-53

Slide 104

Slide 104 text

© 2023, Amazon Web Services, Inc. or its affiliates. すぐに活用できるセキュリティ基準（ベースライン）で「何をどのような重要度に基づき対処するか」判断していく • ベストプラクティスに基づき 200 以上の観点による継続評価 • AWS 基礎セキュリティのベストプラクティス • CIS AWS Foundation Benchmark • PCI DSS • NIST SP800-53 • 検出結果はダッシュボードに集約 • 対策のためのプラクティス情報の参照

Slide 105

Slide 105 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS セキュリティサービスをはじめ多数のソースのセキュリティ検出結果を一元化し、アクションに繋げていくその他、AWS パートナーソリューションその他、AWS サービス検出結果検出結果セキュリティチェック・コンプライアンス調査修正アクション検出結果検出結果対応パートナーその他、AWS パートナーソリューション検出結果その他、AWS セキュリティサービス Amazon Detective AWS Security Hub Amazon EventBridge 検出結果のソース検出結果を起点としたアクション・深堀

Slide 106

Slide 106 text

Slide 107

Slide 107 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS Cloud9 nブラウザだけでコードを記述、実⾏及びデバッグできるクラウドベースの統合開発環境（IDE） nJavaScript、Python、PHPなどのよく使⽤されるプログラム⾔語の主要ツールを同梱 nオフィス、⾃宅、その他どこでもインターネットに接続されたマシンを使⽤してプロジェクトで作業可能 nサーバーレスアプリケーション開発⽤のシームレスなエクスペリアンスを提供 n開発環境をチームで共有しペアプログラミングが可能 nAWS CodeStarから環境構築可能 nLinux環境、SSH踏み台環境として https://aws.amazon.com/jp/about-aws/whats-new/2017/11/introducing-aws-cloud9/

Slide 108

Slide 108 text

© 2023, Amazon Web Services, Inc. or its affiliates. Amazon CodeWhisperer • 機械学習を⽤いたコード推奨⽣成サービス Amazon CodeWhisperer が新機能を追加 • シングルサインオンに対応し、組織としてのユーザ管理が容易に • AWS Builder IDの仕組みを介して、AWSアカウントがなくともEメールアドレスを使って数分でサインアップが可能に • C#, TypeScriptを新たにサポート。従来のPython, Java, JavaScriptとあわせて5つの⾔語で利⽤可能に • VS Code, JetBrains, AWS Cloud9といったIDEの拡張機能として利⽤可能⼀般利⽤開始

Slide 109

Slide 109 text

CI/CD に関連する AWS サービス M O N I T O R D E P L O Y T E S T B U I L D S O U R C E / A R T I F A C T C O D I N G AWS CodePipeline AWS Cloud9 AWS IDE Toolkits AWS CodeCommit + AWS CodeArtifact AWS CodeBuild AWS CodeBuild + Third Party AWS CodeDeploy AWS X-Ray Amazon CloudWatch AWS CloudFormation AWS SAM AWS Cloud Development Kit M O D E L AWS CodeStar Amazon CodeGuru Reviewer Amazon CodeGuru Profiler

Slide 110

Slide 110 text

AWS CodeCommit § セキュアでスケーラブルなマネージドGit互換ソース管理 § 標準的な Git ツールが利⽤可能 § Amazon S3 のスケーラビリティ、可⽤性、堅牢なストレージ § リポジトリサイズの上限なし § コンテンツの直接編集をサポート § プルリクエスト機能に対応

Slide 111

Slide 111 text

リポジトリのコンテンツ参照

Slide 112

Slide 112 text

コミット履歴の表⽰ § ブランチを切り替えて表⽰可能 § 直前のコミットとの差分を⽐較できる

Slide 113

Slide 113 text

プルリクエストの作成 § リポジトリのユーザに対する作業内容の通知 § プルリクエストを起点として、議論やコミュニケーションの機会を提供 § コードレビューや変更箇所の精査ができ、品質改善に繋がる

Slide 114

Slide 114 text

構成例: Amazon ECS での CI/CD パイプライン 2. ソースアーティファクトを格納 Source XXX CodeCommit Build XXX CodeBuild Deploy XXX Amazon ECS ソースアーティファクトビルドアーティファクト 4. ソースアーティファクトを取得 1. 変更を取得 5. ビルドアーティファクトを格納 3. ビルドを実⾏ 6. 成功を通知 7. CodePipelineでイメージを更新 MyApplication AWS CodeCommit Amazon ECS Amazon ECR AWS CodeBuild Amazon S3 8. ビルドアーティファクトを取得

Slide 115

Slide 115 text

AWS Hands-on for Beginners https://aws.amazon.com/jp/aws-jp-introduction/aws-jp-webinar-hands-on/

Slide 116

Slide 116 text

Slide 117

Slide 117 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS上でシステムを構築するまでの大まかな流れ 1. メールアドレスを用意し、AWSアカウントを作成する →同じメールアドレスを複数のAWSアカウントで使い回しはできません 2. rootユーザーでログインし、操作用のIAMユーザーを作る →rootユーザーにはMFAキーを設定し、以後は基本利用しないようにしましょう 3. 作成したIAMユーザーでログインし、AWSのリソースを作成する →AWSのAPIを操作してリソースの作成や設定を行います。 4. 作成したAWSのリソースにアクセスし、(手元にあれば)ミドルウェアなどの設定を行なった上で資源をデプロイし稼働させる 127

Slide 118

Slide 118 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWSのAPI〜APIの仕組みと利用方法〜 128 AWSのAPIとは？ AWSのサービスを操作する為のインターフェースは全てAPIとなっており、そのAPIを操作することで AWS上で必要なリソースを作成や設定を行います。 APIはどこで提供されるの？ APIではサービスを提供している地点を「エンドポイント」と呼びます。AWSでは、サービスごとにエンドポイントが定義・提供されており、これを「サービスエンドポイント」と呼びます。 APIでどうやって指示を出すの？ APIで利用できる操作はActionsとして一覧化されています。操作したい内容のアクションを呼び出すことでAWS上のリソースに対する操作ができます。 [ブログ]AWSのAPIを理解しよう：https://aws.amazon.com/jp/builders-flash/202209/way-to-operate-api/?awsf.filter-name=*all

Slide 119

Slide 119 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWSのAPI〜APIの仕組みと利用方法〜 AWS Management Console AWS CLI AWS Cloudformation 129 ブラウザからGUIで操作する方法最もお手軽で、ブラウザで操作を行うとAWSのAPIが実行される形コマンドラインツールとしてAPI を実行する方法 jsonまたはyaml形式でリソースをコードで定義して展開できるサービス。また、Cloudformationを生成する AWS SDKsやサードパーティの製品も存在する。本番環境ではIaCとしてコードで管理・API実行ができる方法を選択する事をおすすめします。

Slide 120

Slide 120 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWSのリソース作成と操作の経路イメージ 130 VPC AWS Cloud AWS account Corporate data center AWS Management Console Internet https:443 システム開発/管理者 Amazon EC2 Instance AWS Site-to-Site VPN Internet ssh:21 VPN ssh:21 ① APIを発行(マネジメントコンソール)で VPCやEC2など各AWSサービスのリソースを作成する。 ② 作成したリソースに各プロトコルで接続。例えば、EC2でLinuxOSのサーバを立ち上げた場合、インターネット経由または VPN経由でsshで接続を行うことが出来る。 ① ② Application Load Balancer エンドユーザー Internet https:443 ③ エンドユーザーはサービス用に設定した接続経路でアクセス ③

Slide 121

Slide 121 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWSの学習の進め方(1) AWS 初学者向けの勉強方法 6 ステップ！公開資料 AWSサービスの詳細を学びたいときは？ • BlackBeltシリーズ • サービス別の「よくある質問」 131 https://aws.amazon.com/jp/blogs/news/2022-aws-beginner-learning/ https://aws.amazon.com/jp/events/aws-event-resource/?cards.sort- by=item.additionalFields.SortDate&cards.sort-order=desc https://aws.amazon.com/jp/events/aws-event-resource/archive/?cards.sort- by=item.additionalFields.SortDate&cards.sort-order=desc&awsf.tech-category=*all

Slide 122

Slide 122 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWSの学習の進め方(2) AWS認定 Cloud Practitioner https://aws.amazon.com/jp/certification/certified-cloud-practitioner/ Solutions Architect Associate https://aws.amazon.com/jp/certification/certified-solutions-architect-associate/ Developer Associate https://aws.amazon.com/jp/certification/certified-developer-associate/ 132

Slide 123

Slide 123 text

© 2023, Amazon Web Services, Inc. or its affiliates. AWS学習コンテンツ AWSでは初級レベルから上級レベルまで様々な学習コンテンツをご⽤意しております。本⽇は「AWSハンズオン」と「AWSトレーニング」をご紹介します。プロフェッショナル上級レベルアソシエイト中級レベルベーシック初級レベル AWS ハンズオン資料* ハンズオンチュートリアル* ハンズオンウェビナーイベントドキュメント・資料集 AWS ドキュメント AWS ホワイトペーパーとガイド AWS ソリューション実装よくある質問 * AWS無料利⽤枠を超えると費⽤が発⽣します AWS クラウドサービス活⽤資料集 AWS Webinar • AWS Black Belt Online Seminar • 初⼼者向けセミナー • AWSome Day Online AWS Summit ※ ボックスをクリックすると該当のWebページが開きます AWS Innovate AWS トレーニング AWS トレーニング

Slide 124

Slide 124 text

Slide 125

Slide 125 text

Slide 126

Slide 126 text

© 2023, Amazon Web Services, Inc. or its affiliates. クラウドとは？ • クラウドとは、自分たちでハードウェアや設備を購入、準備することなく、ネットワーク経由でコンピューティング、データベース、ストレージ、ソフトウェアといったさまざまな IT リソースをオンデマンドで利用することができるサービスの総称 • 利用までにかかる時間の圧倒的短縮、需要の縮⼩/拡張にあわせたリソースの利用、利用した分だけの支払いという従量課金制、IT 資産の固定費から変動費への転換といった特徴がある利⽤までにかかる時間の圧倒的短縮需要の縮⼩/拡張にあわせたリソースの利⽤利⽤した分だけの⽀払いとなる従量課⾦制 IT 資産の固定費から変動費への転換参考．NIST（アメリカ国⽴標準技術研究所）によるクラウドコンピューティングの定義 https://www.ipa.go.jp/files/000025366.pdf 136

Slide 127

Slide 127 text

© 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集 1/4 Ø クラウドサービスの運⽤詳細は公開されておらずブラックボックスとなっていますか︖ ü AWSの場合、サービスの運⽤状況やコンプライアンスレポートなどについて公開しています。 l Service Health Dashboardでの公開 (https://status.aws.amazon.com/) l お客様に影響するAWSイベントが発⽣した場合には、Personal Health Dashboardで通知が利⽤可能 l 各種コンプライアンスレポートに関してはAWS Artifactから直接ダウンロード可能 Ø 様々な利⽤形態がありますが、責任分界点は︖ ü AWSの場合には責任共有モデルをとっています。クラウド⾃体のセキュリティについてはAWS、クラウド内の利⽤に関する責任はお客様にあります。 Ø オンプレミスとクラウドサービスの併⽤、マルチクラウドはどどうなのですか︖ ü クラウドへの移⾏のために、オンプレミスとクラウドを接続することは多く⾏われています。またレイテンシーが⾮常に重要な場合や、法令・規約により移動できないシステムとの接続の場合にもオンプレミスと接続され、併⽤されることがあります。 ü マルチクラウドを考える前にマルチAZ(アベイラビリティゾーン)の利⽤をお勧めしています。マルチクラウドの場合には、サービスレベルを低い⽅に合わせなくてはならない点、複数の環境を覚えて扱う必要がある点、環境間のネットワークレイテンシーなど様々な課題が増えてきます。そのためまずは、可⽤性を⾼めるにはマルチAZ、マルチリージョンなどの検討をお勧めしています。 137

Slide 128

Slide 128 text

© 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集 2/4 Ø 他の利⽤者の影響が⼼配︖ ü AWSにはVPC(Virtual Private Cloud)の仕組みがあり、閉じたネットワーク構成が作成でき、その中にインスタンスを配置可能です。VPCは複数作成できますので、それぞれ独⽴した環境でシステムを構成可能です。 Ø クラウド事業者のリソース不⾜は︖ ü いつでも開始していただけるようリソースを⽤意しております。空いているリソースはスポットという料⾦体系で提供もしています。 ü ⼤規模計算⽤途の場合には他のリージョンもご利⽤いただくとさらに多くのリソースが利⽤可能です。東京に⽐べ、時間あたりのコストが安いリージョンもあります。 ü 勝⼿に海外のリソースにデータが置かれてしまうことは︖ ü AWSの場合 : お客様は、データを保存する地理的な場所を選択します。お客様がデータの移動を選択しない限り、データが移動されることはありません。東京リージョンを選択すればデータは⽇本国内に置かれます。 Ø 国内法は適⽤される︖ ü 登録住所が⽇本の場合には第⼀審裁判所は東京地⽅裁判所になります。 138

Slide 129

Slide 129 text

© 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集 3/4 Ø データの扱いは︖ ü AWS はお客様のデータにアクセスできず、データの保存、管理、保護⽅法はお客様が選択します。責任共有モデルにおけるデータの所有権と管理に関して、4つの重要な基本事項があります。 • お客様は継続してデータを所有します。 • お客様は、データを保存する地理的な場所を選択します。お客様がデータの移動を選択しない限り、データが移動されることはありません。 • お客様はいつでもデータをダウンロードまたは削除できます。 • お客様はデータの機密性を考慮し、転送中や保管時にデータを暗号化するかどうか、および暗号化⽅法を決定します。 Ø クラウド⾃体のセキュリティ、リスク対策はどのようになっている︖ ü クラウドセキュリティは AWS の最優先事項です。AWS のお客様は、セキュリティを最も重視する組織の要件を満たすよう構築されたデータセンターとネットワークアーキテクチャを利⽤できます。 (https://aws.amazon.com/jp/security/) ü 各種コンプライアンスレポートはAWS Artifactから直接ダウンロードして確認いただくことが可能です。 ü 参考資料「 AWSにおけるクラウドコンプライアンスの実践」 (https://pages.awscloud.com/rs/112-TZM- 766/images/D2-06.pdf) 139

Slide 130

Slide 130 text

© 2023, Amazon Web Services, Inc. or its affiliates. よくあるクラウド一般にまつわる質問集 4/4 Ø クラウドに持って⾏けないデータがある︖ ü AWSの場合、お客様のデータをAWSが⾒ることはありません。データを置く場所も暗号化の⽅式もお客様が決定できます。 ü 機関内に「物理的に」置かなくてはならないと「漠然と」考えている場合には、本当にそうなのかを確認いただくことが重要です。実際にはデータの保管場所について機関のポリシーで物理的な位置が指定されていることは希です。 ü AWSを利⽤頂くことで、セキュリティや耐久性を⾼めた形でデータを保管いただくことが可能と考えられます。 Ø クラウドでは障害が発⽣しやすい/発⽣しない︖ ü It depends. ü AWSでは、様々なレベルでシステムを冗⻑化できるサービスを提供。基幹システムなど利⽤を想定しデータセンターレベルでの冗⻑化が標準で⾏われている。 ü AWS上で構築するお客様システムの可⽤性は、アーキテクチャやネットワーク、運⽤、ソフトウェア品質等の要因によって決まる。適切なアーキテクチャを実装することで、可⽤性の⾼いシステムを構築する事が可能。 140

Slide 131

Slide 131 text

Slide 132

Slide 132 text

Slide 133

Slide 133 text

© 2023, Amazon Web Services, Inc. or its affiliates. クラウドジャーニーにおけるステージ FOUNDATION PROJECT MIGRATION REINVENTION 限られたヒトが多くの経験を積む •特定要件のために利用 •効果的な選択肢か検証 •社内で有識者が認知基礎を固めながら小さな成功を積み重ねる全社的に利用しビジネス効果を享受クラウドを最大活用しビジネス効果を最大化 •推進組織が立ち上がる •ガイドラインや環境が整備 •徐々に本番稼働 •既存データセンターと接続 •デフォルトの選択肢となる •“なぜクラウドなのか”から “なぜクラウドでないのか” に変わる •アーキテクチャー、運用、組織が最適化 •IT戦略におけるクラウドの位置づけが明確になる •多くのシステムが移行 •推進組織が確立 •充分な実績やナレッジが蓄積される •データセンターの縮小