Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ガバメントクラウドでAWS CloudShellを使いたい

Avatar for Ryoma Shirakawa Ryoma Shirakawa
July 07, 2025
0
250

ガバメントクラウドでAWS CloudShellを使いたい

Avatar for Ryoma Shirakawa

Ryoma Shirakawa

July 07, 2025
Tweet

More Decks by Ryoma Shirakawa

See All by Ryoma Shirakawa
しくじり職員 俺のようになるな!〜ネットワーク運用管理補助者の調達〜
Avatar for Ryoma Shirakawa srkw
0
250
世界の中央省庁に学ぶAWS活用最前線:海外5事例ピックアップ
Avatar for Ryoma Shirakawa srkw
0
250
今さら聞けないT系インスタンス
Avatar for Ryoma Shirakawa srkw
0
240
GCASアップデート(202504-202506)
Avatar for Ryoma Shirakawa srkw
0
410

Featured

See All Featured
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.8k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
43
7.5k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
110
20k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
330
21k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
490
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
126
53k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
460k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.5k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
2
600
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
570
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4k

Transcript

  1. ガバメントクラウドで AWS CloudShellを使いたい 2025/6/17 Gov-JAWS#2 #GOV_JAWS

  2. 自己紹介 日本コンピューター株式会社 嶋田 忠相(しまだ ただすけ) ガバメントクラウド歴4年目 所属 氏名 経歴 好きなAWS

    Amazon VPC Reachability Analyzer ※本内容は個人の見解であり、所属組織を代表する ものではありません。 ※2025年6月現在の情報に基づいています。

  3. ガバメントクラウドでAWS CloudShellを利用していい? いきなりですが

  4. 2025年2月 条件付きで利用可能に https://guide.gcas.cloud.go.jp/aws/description-of-preventive-controls/

  5. 2025年2月 条件付きで利用可能に https://guide.gcas.cloud.go.jp/aws/description-of-preventive-controls/ 禁止→利用可ということはメリットがあるということ。 正しく活用して効果的な運用ができないか調べてきました

  6. 本日のお話 • AWS CloudShellのこと • AWS CloudShell VPC environmentのこと •

    AWS CloudShell VPC environmentを使ってできること • AWS CloudShell VPC environmentをガバメントクラウドで使う場合 の留意事項

  7. • ブラウザベースの事前認証済みシェル。 • AWS Management Consoleから直接起動。 • AWS Management Consoleの認証情報で自動的に認証。

    • AWSリージョンごとに1GBの永続的なストレージが無料。 • AWS CLIやpythonなどがプリインストール。 • ファイルのアップロード、ダウンロードが可能。 • AWSが管理する専用のVPC内で実行。インターネットアクセス可能。 AWS CloudShellとは AWS CloudShell https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/welcome.html

  8. AWS CloudShell VPC environmentとは AWS CloudShell • ブラウザベースの事前認証済みシェル。 • AWS

    Management Consoleから直接起動。 • AWS Management Consoleの認証情報で自動的に認証。 • 永続的なストレージはなく、セッション終了時に削除。 • AWS CLIやpythonなどがプリインストール。 • ファイルのアップロード、ダウンロードが可能。 • ユーザーが管理するVPC内で実行。 https://docs.aws.amazon.com/ja_jp/cloudshell/latest/userguide/using-cshell-in-vpc.html

  9. VPC内のEC2にCLIで操作が可能。 VPC内のAWS CloudShellでできること AWS Cloud Virtual private cloud (VPC) Private

    subnet Instance Instance Instance Instance AWS CloudShell ping応答の確認 IISの応答を確認

  10. 専用のVPCに配置してEndpoint経由でAWS リソースを一括操作が可能。 VPC内のAWS CloudShellでできること Virtual private cloud (VPC) Private subnet

    AWS CloudShell Endpoints AWS Security Hub AWS Cloud Amazon EC2 夜間シャットダウンのタグを確認する ※EC2サービスにアクセスするため、VPC外も対象

  11. 専用のVPCに配置してEndpoint経由でAWS リソースを一括操作が可能。 VPC内のAWS CloudShellでできること Findingを抽出する 確認後、問題ないFindingを抑制する Virtual private cloud (VPC)

    Private subnet AWS CloudShell Endpoints AWS Security Hub AWS Cloud Amazon EC2

  12. △EC2を直接操作する VPC内のAWS CloudShellの配置案 AWS Cloud アプリケーションVPC AWS CLI用VPC Private subnet

    Private subnet Instance Instance Instance Instance AWS CloudShell AWS CloudShell Endpoints ◯AWSリソースを操作する アプリケーションとは別に専用のVPCの方を一時的に作成して一括操作が 終わったら削除する、という方法が良さそうです。

  13. ガバメントクラウドで使う場合の留意事項 https://guide.gcas.cloud.go.jp/aws/how-to-operate-cloud-service/ ガバメントクラウドで利用する場合の留意事項はGCASに記載されています。 ※パブリックサブネット及びインターネット接続は原則しない方が安全です。

  14. (1)プライベートサブネットを選択 VPC内に作成する サブネットやセキュリティグループを設定

  15. (2)データ授受方法については適切 • 通常のAWS CloudShellと異なりファイル操作は利用不可。 • 代替として、S3を経由したアーキテクチャが必要。 AWS Cloud AWS CLI用VPC

    Private subnet AWS CloudShell Endpoints S3 Standard

  16. (3)ログの管理 ログイン履歴は CloudTrail • AWS CloudShellをいつ誰が利用したかが記録される。 • ガバメントクラウドでは有効。追加の作業は不要。 通信ログは VPCフローログ

    • VPCフローログの出力を設定し、S3に保存する。 AWS CLIの 履歴もCloudTrail • AWS CLIで実行した処理はAPIイベントが記録。 (☓:aws s3 ls ◯:ListBuckets • OS上のコマンド(pingなど)は記録されないため、注意。

  17. (まとめ) ガバメントクラウドでAWS CloudShellを利用したい • ガバメントクラウドでAWS CloudShellは利用は可能。 • AWSリソースの一括操作などで運用負荷を軽減できる可能性あり。 • IaCを利用して再利用可能にするとなお効果的。

    • ただし、用法・要領を守って適切に。※詳細はGCASガイド参照 • GovCloudLgDataRegidencyを適用している場合、ポリシーの 修正が必要。 • ガバメントクラウドの運用は随時見直されているため、必要に応じて 運用の見直しなどが必要。 AWS CloudShell on Environment

  18. (まとめ) ガバメントクラウドでAWS CloudShellを利用したい • ガバメントクラウドでAWS CloudShellは利用は可能。 • AWSリソースの一括操作などで運用負荷を軽減できる可能性あり。 • ただし、用法・要領を守って適切に。※詳細はGCASガイド参照

    • GovCloudLgDataRegidencyを適用している場合、ポリシーの 修正が必要。 • ガバメントクラウドの運用は随時見直されているため、必要に応じて 運用の見直しなどが必要。 AWS CloudShell on Environment 初期の構築や定常業務で一括操作には効果的。 GCASの留意事項を遵守し、セキュアな運用を。

  19. おわりに AWS CloudShell on Environment ガバメントクラウドの運用は変更されることがあります。 GCASを確認し、定期的な見直しを。