Upgrade to Pro — share decks privately, control downloads, hide ads and more …

自治体職員がパブリッククラウド使わなければならないことになったからとりあえず AWS の無料枠...

自治体職員がパブリッククラウド使わなければならないことになったからとりあえず AWS の無料枠使い倒して勉強したけどやっぱり難しいという話

2024 年 7 月 26 日 TechRAMEN Conference 2024 前夜祭 LT 資料
ガバメントクラウドってご存じでしょうか?今、地方公共団体の基幹業務システムの統一・標準化のため、令和 7 年度までに、全国 1741 ある自治体の基幹情報システムを、政府共通のパブリッククラウドへリフトし、国が作る標準仕様に準拠したシステムへシフトすることになっており、このパブクラのことをガバメントクラウドと呼んでいます。
標準仕様のシステムへシフトするだけでも大変なのに、これまであまり自治体では使われる機会の少なかったパブクラへリフトもしなければならないので、正直大変な状況です。
そんな中、国から発出されるガバメントクラウドの資料も、パブリッククラウドに明るくない自治体職員には正直何を書いているのかすら分からないようなものもあり……。
とはいえ黙っていても仕方ないので、AWS の無料枠を使い倒してパブリッククラウドの勉強をしてみたけど、やっぱり難しかったという話をします。

Hiroki Takeda

July 28, 2024
Tweet

Other Decks in Technology

Transcript

  1. 自己紹介 3 名前 武田 宏樹 仕事 とある地方自治体の情シス部門職員 (情シス歴 10 年)

    年齢 45 歳 経歴 高校卒業まで岩見沢市 → 大学は石川県金沢市 → 旭 川市で現職。高校も大学も文系だが、大学時代に Linux に出会って自宅鯖にハマり、ネットワーク系が少しだけ得 意。趣味で Python を少し書く。 保有資格 情報処理安全確保支援士 (第 026159 号) ネットワークスペシャリスト かわいい シマエナガ
  2. どうしてパブリッククラウドを使わなければならなくなったの? 5 A.「地方公共団体情報システム標準化基本方針」に基づき、地方公共団体の基 幹業務システムを統一・標準化することになっており、クラウド・コンピュー ティング・サービス関連技術を活用した地方公共団体情報システムの利用に 係る事項が定められているからだよ。 地方公共団体情報システム標準化基本方針 (2023 年 9

    月 8 日閣議決定) https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/c58162cb-92e5-4a43-9ad5- 095b7c45100c/f6ea9ca6/20230908_policies_local_governments_outline_03.pdf 地方公共団体情報システムの標準化に関する法律 (令和三年法律第四十号) (クラウド・コンピューティング・サービス関連技術の活用) 第十条 地方公共団体は、デジタル社会形成基本法第二十九条に規定する国による環境の整備に関する措置の状況を踏まえつつ、当該環境においてクラウド・コンピューティング・サービス関連技術を活用して地方公共団体情報システム を利用するよう努めるものとする。
  3. クラウド・コンピューティング・サービス関連技術ってなに? 6 A. 国 (デジタル庁) が整備する政府共通のクラウドサービスの利用環境で、ガバメントクラウ ドと呼ばれているよ。クラウドサービスの利点を最大限に活用することで、迅速、柔軟、かつ セキュアでコスト効率の高いシステムを構築可能とし、利用者にとって利便性の高いサービ スをいち早く提供し改善していくことを目指しているよ。地方公共団体の基幹業務システム の統一化・標準化においては、このガバメントクラウドを活用することが努力義務とされて

    いるよ。 地方公共団体情報システム標準化基本方針 (2023 年 9 月 8 日閣議決定) 2.1 地方公共団体の基幹業務システムの統一・標準化の意義 ガバメントクラウド (デジタル社会形成基本法 令和3年法律第 35 号) 第 29 条に規定する「全ての地方公共団体が官民データ活用推進基本法第二条第四項に規定するクラウド・コンピューティング・サービス関連技術に係るサービスを 利用することができるようにするための国による環境の整備」としてデジタル庁が 4.3.1 に規定するとおり整備するものをいう。 4.3.1 ガバメントクラウドの位置付け ガバメントクラウドは、デジタル庁が調達するものであって、 地方公共団体が標準準拠システム等を利用できるよう、地方公共団体に対し提供するクラウドサービス及びこれに関連するサービス (以下「クラウドサービス等」という。 )であ る。
  4. つまりガバメントクラウドというパブクラを活用しないとってこと? 8 A. そうだよ!パブクラを活用するためにはパブクラを理解しないといけない ね。でも…… (ぼく) じゃあ勉強するか (会社からお金は一銭も出ないけど) 。 とりあえずネットでググったらたくさん出てくる

    AWS でいいのかな? ⚫ 自治体の業務システムはオンプレミスやプライベートクラウド環境で運用することが一般的。 ⚫ 自治体職員にパブリッククラウドを活用するノウハウがないことが多い。
  5. はじめに AWS 無料利用枠についての注意事項 10 ⚫ 2024 年 1 月以降、グローバル IPv4

    アドレスの使用が有料となったため、ELB や EC2 でグローバル IPv4 アドレスを使う場合、費用がかかるようになっています。 ⚫ そのため、以降に紹介する内容は、当時ほぼ最初の 1 年の無料利用枠の範囲内で収まって いましたが、同じ構成で今やるとグローバル IPv4 アドレスの費用がかかってしまいます。 ⚫ グローバル IPv6 アドレスのみで運用すれば回避できますが、AWS Systems Manager が IPv6 アドレスに対応していないなど嵌りどころがあるので注意が必要です。
  6. 12 AWS Cloud Tokyo Region Availability Zone Public subnet Virtual

    private cloud (VPC) Availability Zone Amazon Route 53 Public subnet Private subnet Private subnet Multi AZ Session Manager AWS Certificate Manager (ACM) Amazon Relational Database Service (Amazon RDS) Amazon Elastic Compute Cloud (Amazon EC2) Application Load Balancer AWS Security Hub Amazon GuardDuty AWS Config Internet gateway Python の Web フレーム ワーク Flask を EC2 で実行。 バックエンドは RDS で PostgreSQL を実行。 ALB では Certificate Manager の証 明書を使って HTTPS を終端。 EC2 には直接 SSH せず、 Session Manager を経 由して SSH する。 別途取得してい る独自ドメインの サブドメインを R53 で管理。 Security Hub で基礎セキュリ ティのベストプラ クティスのみでも 少し費用がかか るので注意。
  7. とりあえず EC2 と RDS で SoR なシステムを動かす基礎はつかんだ 13 ⚫ EC2

    で Application Server を動かし、RDS で RDB を動かす、一般 的な SoR (System of Record) システムを動かす基礎は分かった。 ⚫ VPC のルートテーブル、ネットワーク ACL、セキュリティグループ、ELB を 触って、AWS のネットワークの基礎も学べた。 ⚫ だけどエンタープライズなシステムを AWS で運用するには全然足りていな い気がする……。
  8. アソシエイトレベルの AWS 認定資格でサービスの全体像は分かってきた 15 ⚫ 独学だけだと触っていない AWS のサービスを理解するのが難しかった。 ⚫ Solutions

    Architect Associate (SAA-C03) を受けてみようと思い立つ。 ⚫ AWS 認定試験は問題文が長くて辛いと聞くが、文系出身の自分には全然苦じゃなかった。 むしろ各サービスの使いどころを体系立てて知れて面白かった。 資格は無事ゲット
  9. AWS Well-Architected フレームワークを知る 16 ⚫ はじめて AWS Well-Architected フレームワークなるものの存在を知る。→ベストプラ クティスでやってみたくなる。

    ⚫ どれどれ早速……。「アカウントは開発用と管理用で分けましょう」「IAM ユーザーは使わず、 IAM Identity Center でシングルサインオン認証しましょう」 ⚫ ん? AWS アカウントの管理と分離 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/aws-account-management-and-separation.html 一元化された ID プロバイダーを利用する https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html
  10. AWS アカウント管理を初手から間違えていた 17 ⚫ AWS はアカウントという概念がとても重要。 ⚫ 個人用途なら一アカウントで運用しても問題ないと思われるが、エンタープライズではス ケールすることを考えなければならない。 ⚫

    スケールすればするほど IAM ユーザーの管理はどんどん辛くなっていく。 AWS アカウント管理の定石は Organizations と IAM Identity Center (IdC) を使うことだった。
  11. AWS Organizations とは? 19 ⚫ 全ての AWS アカウントの一元管理 (今回のように開発用と管理用とアカウントを分けて運 用するには最適)

    ⚫ 全ての AWS アカウントの一括請求 (エンタープライズでは必須) ⚫ 組織単位 (OU) によるアカウントの階層的な管理 (サービスコントロールポリシーで統制が できる) ⚫ Security Hub など Organizations で連携して一元管理できるサービスもある。 ⚫ Organizations を使うだけなら無料。
  12. AWS IAM Identity Center (IdC) とは? 21 ⚫ Organizations で管理している複数

    AWS アカウントにシングルサインオン (SSO) できる。 ⚫ IdC ユーザーから各 AWS アカウントの IAM ロールにスイッチロールできる。→各 AWS アカウント で IAM ユーザーを作らなくても良くなる。 ⚫ Entra ID など外部 Identity Provider (IdP) と連携すればユーザー・グループ管理は外部 IdP で一元管理できる。 ⚫ IdC 自体は無料なので、費用は IdP の分のみ (プライベートで契約している Microsoft 365 Business Premium には Entra ID P1 ライセンスが付いているので、自分はこれを IdP として 使っている) 。
  13. AWS IAM Identity Center のアカウントの管理 22 Entra ID と連 携し、特定のグ

    ループとユーザー を自動的に IdC へプロビジョニン グ。 Organizations の OU に所属す る AWS アカウン ト。 IdC のユーザー は割り当てられた 許可セットの IAM ロールへス イッチロールでき る。
  14. 23 AWS Cloud OU 1 AWS Organizations AWS IAM Identity

    Center (IdC) Entra ID Entra ID Users, Groups AWS account 1 Admin Role Dev Role IdC User 1 IdC Group 1 IdC User 2 IdC Group 2 OU 2 AWS account 2 Admin Role Dev Role 外部 IdP で管理 するユーザーとグ ループを IdC へ 連携する。 ユーザーごとにど のアカウントの ロールにスイッチ ロールできるか 設定できる (許可 セット) 。 外部 IdP のユー ザーでシングルサ インオンができる。
  15. だいぶ AWS を分かってきたのでガバメントクラウド推奨構成を読んでみる 25 ⚫ ここまでの積み重ねでだいぶ AWS のことが分かってきた気がする。 ⚫ いよいよデジタル庁が出しているガバメントクラウドの推奨アーキテクチャ

    のドキュメントであるガバメントクラウド利用における推奨構成を読んでみ ることにした。 ガバメントクラウド先行事業(市町村の基幹業務システム等)の中間報告を掲載しました https://www.digital.go.jp/news/ZYzU5DYY/
  16. 26

  17. AWS のネットワーク全然分からない…… 27 ⚫ 当然だけど地方自治体の基幹業務システムなので、複数アカウント、複数 VPC が複雑に連携するアー キテクチャとなっている (Transit Gateway

    とか Private Link って何……) 。 ⚫ 個人では使うことのない専用線接続 (Direct Connect) で AWS へアクセスしなければならない。 ⚫ オンプレのネットワークとも連携しなければならない (ハイブリット構成が基本) 。 AWS のネットワークを理解しないと太刀打ちできない。
  18. Specialty レベルの AWS 認定資格とったるわ! 28 ⚫ ここまで来たら Advanced Networking Specialty

    (高度なネットワーキング専門知 識) も取ることにした。 ⚫ オンプレおじさん的には AWS のネットワークも中々面白かった (好きなサービスは Route 53 ですくらいは言えるようになった) 。 ⚫ ようやくガバメントクラウド推奨構成に何が書いてあるのかくらいは分かるようになった。 こちらもなんとか資格をゲット
  19. クラウドジャーニーはまだ続く…… 30 ⚫ 実際に大変なのはこれから (2025 年度末までに移行完了しなければならない) 。 ⚫ ガバメントクラウドへ移行することが目的じゃなくて、基幹業務システムを安定的に、そして 経済的に運用できるようにすることが目的。

    ⚫ 正直、いち自治体職員にはパブリッククラウドは難しい。 ⚫ その代わり、オープンな技術ではあるので、こういった勉強会などで知見を得ることはむし ろしやすい。 ⚫ 良いまちづくりのためにも、パブリッククラウドの活用方法を学んでいきたい。 ⚫ ご清聴ありがとうございました!