re:Invent 2022 recap - cloud operations update -

Transcript

1. Japan 2022/12/07

2. © 2022, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. re:Invent 2022 recap - cloud operations update - Amazon Web Services Japan G.K Solutions Architect 津和﨑 美希

3. ⾃⼰紹介 名前︓津和﨑 美希（つわざき みき） 職種︓ソリューションアーキテクト 経歴 ・前職ではSIerにて、オンプレミス・クラウドでの構築/運⽤を担当。 主な業務内容はインフラ設計/構築/試験/運⽤/移⾏/追加構築計画・実作業と幅広く担当し、オンコール対応や 復旧のための調査・データセンターでのオペレーションも経験。 好きなAWSサービス

   Amazon CloudWatch Observability担当

4. Agenda 1. Message from Leadership Session 2. Governance & Control

   3. Observability 4. Operations 5. Infrastructure as Code 6. Well-Architected 7. Cloud Financial Management 8. Others

5. © 2023, Amazon Web Services, Inc. or its affiliates. All

   rights reserved.

6. Leaders Session キーメッセージ • AWSのCloudOperationsサービス群は Amazonの25年以上にわたる運⽤経験を 元に作られている • AWSのCloudOpsで Hard

   days を Good Days へ • プロアクティブコントロールの強化 • アプリケーション単位での オペレーションや管理の強化 • Observabilityに関する要望への対応 Transform with AWS Cloud Operations: From vision to reality (COP224-L) PDF / 動画

7. © 2023, Amazon Web Services, Inc. or its affiliates. All

   rights reserved.

8. AWS Config Rules Proactive Complianceを発表 • CloudFormationテンプレートがAWS Configのルー ルに準拠しているかをチェックするプロアクティ ブモードが利用可能になった

   • これまではプロビジョニング後や変更後にコンプライアンス チェックが実行されていたが、事前に確認可能になった • 従来Config Ruleは発見的統制（事後）が可能だったが、ルール を予防的統制（事前）に利用できるようになる • Infrastructure as a CodeのCI/CDパイプラインに組み込むことで、 非準拠のリソースがデプロイされることを事前に回避できる • AWS Configのルール評価の料金が適用される。従 来のチェックと併用する場合、追加料金は不要 • 全ての商用リージョンで提供準備中 ⼀ 般 利 ⽤ 開 始 AWS CloudFormation Template Stack Bucket Instances AWS Config

9. プロアクティブモードの利用方法 非準拠 のリソースがデプロイされることを事前に回避

10. AWS Organizationsで管理者権限の委任が可能に • AWS Organizationsで管理者権限の委任が できるようになり、Organizationとメン バーアカウントの管理が効率的に • メンバーアカウントを個々の事業部門が保有している ようなケースで、権限委譲により部門ごとのポリシー

    を柔軟に定義できるようになった • 従来どおり権限を委譲せず強い統制を掛けることも引 き続き可能 • バックアップポリシー、タグポリシー、サービスコン トロールポリシー(SCP)などポリシータイプを指定し て、許可するアクションを指定できる • すべてのAWS商用リージョンにて ⼀ 般 利 ⽤ 開 始 AWS Organizations Management account Account Account Account Account Account Account Account Account Account Admin Delegated Admin

11. AWS Control Towerのコントロール管理機能を強化 • コンプライアンスフレームワークに対応する 発見的・予防的コントロールを、Control Tower 管 理下の複数アカウントに対して一括適用可能に •

    従来の「ガードレール」は「コントロール」に名称変更され、 個々のコントロールはフレームワーク、サービス、統制目標にそ れぞれマッピング • 最小権限の適用、ネットワークアクセスの制限、データ暗号化の 適用など、一般的な統制目標を満たすために必要なコントロール の定義、マッピング、管理にかかる時間を短縮できる • コントロールの管理がより容易に • 適用するコントロールに応じて AWS Security Hub 自体、 および個別のコントロールの有効化が可能 • SCPによる予防的統制に加え、プロアクティブコントロールで、 コンプライアンス不適格なリソースのデプロイを未然予防可能に （AWS CloudFormation 使用時のみ） プ レ ビ ュ ー

12. 適用するコントロールに応じて AWS Security Hub 自体、 および個別のコントロールの有効 化が可能

13. AWS Control Towerがアカウントカスタマイズに対応 • AWS Control TowerにAWSアカウントを追加する 際に、追加の設定を実施できるようになった • 従来はVPCなどに限られた定型の設定しかできず、カスタマイズ

    にはCustomization for Control Towerなどの組み合わせが必要 だった • アカウント作成時にService Catalogプロダクトを指定可能に。ア カウントを作成すると同時にプロダクトが自動的にデプロイされ、 アカウントの初期セットアップを実行する • Service CatalogプロダクトはCloudFormationテンプレートで定 義するので柔軟な初期セットアップが可能 • 東京リージョンを始め各リージョンで利用可能に ⼀ 般 利 ⽤ 開 始 AWS Control Tower

14. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

15. Building modern apps: Architecting for observability & resilience (ARC217-L)より

16. What is observability? 検知 調査 修復 Building modern apps: Architecting

    for observability & resilience (ARC217-L)より

17. The cycle of monitoring Building modern apps: Architecting for observability

    & resilience (ARC217-L)より

18. Building modern apps: Architecting for observability & resilience (ARC217-L)より

19. システムの状態把握に必要な3本柱 メトリクス トレース ログ What: 時間間隔で計測さ れたデータの数値表現 Why: 傾向の把握、予測に 役立つ

    What: 関連する一連の分散 イベントの表現で、 エンドツーエンドのリクエ ストフローの記録 Why: : リクエストの流れと、 リクエストの構造の両方を 可視化することで因果関係 の追跡に役立つ What: タイムスタンプが記録された、時 間の経過とともに起こったイベントの記 録 Why: 予測不可能な振る舞いを発見する のに役立つ Amazon CloudWatch Metrics AWS X-Ray Amazon CloudWatch Logs

20. AWS observability options Observability Collectors and SDKs Container insights Lambda

    insights Contributor insights Application insights Synthetics Dashboards Alarms RUM Metrics Logs AWS X-Ray AWS-native services Amazon CloudWatch ServiceLens Open-source managed services Amazon Managed Grafana Do it yourself (DIY) – AWS OSS solutions Amazon OpenSearch Service Amazon Managed Service for Prometheus Jaeger and Zipkin Tracing Insights and ML Instrumentation CloudWatch agent AWS X-Ray agent AWS Distro for OpenTelemetry

21. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

22. Cloud Operations Amazon CloudWatch 1. Amazon CloudWatch Logsのデータ保護機能を発表 2. Amazon

    CloudWatchでアカウント横断の監視が可能に 3. Amazon CloudWatch Internet Monitorを発表（プレビュー） OSS関連 1. Amazon Managed Grafana で Prometheus Alertmanager ルールの可視化と新しい設定 API のサポート 2. Amazon Managed GrafanaがVPC内でホストされているデータソースへの接続をサポート 3. Amazon Managed Service for Prometheusでワークスペースあたり200Mのアクティブメトリクスをサポート

23. Amazon CloudWatch Logsのデータ保護機能を発表 • Amazon CloudWatch Logsでパターンマッチング と機械学習を利用した機密情報の検出・保護機能 を発表 •

    保護ポリシーを定義することで、転送中のログ データに機密情報が含まれることを検知したらそ れをマスクするといった処理が可能に • ログデータの保護はHIPPA、GDPR、PCI-DSS、FedRAMPなどの ルールに準拠する上で有益 • 強い権限を付与したIAMユーザを利用することで、 マスクされていない生データを参照できる • 東京、大阪をはじめ各リージョンで利用可能に ⼀ 般 利 ⽤ 開 始 Amazon CloudWatch Logs Instance Date=20221201 Card#=123456789 Date=20221201 Card#=********* • Amazon CloudWatch Logs を使用して機密データを保護する • https://aws.amazon.com/jp/blogs/aws/protect-sensitive-data-with-amazon-cloudwatch-logs/ • https://aws.amazon.com/jp/blogs/news/protect-sensitive-data-with-amazon-cloudwatch-logs/

24. ۚ༥৘ใɺ݈߁৘ใɺݸਓ৘ใʹ·͕ͨΔҰൠతͳػີσʔ λύλʔϯ͕
    Λ௒͑ΔϚωʔδυσʔλࣝผࢠͱͯ͠ ༻ҙ͞Ε͍ͯΔͨΊɺ͔ͦ͜Βબ୒ͯࣗ͠ಈͰ.BTLJOHɻ ػີσʔλ͕ݕग़͞Εͨͱ͖ʹ௨஌Λड͚औΓ͍ͨ৔߹͸ɺ LogEventsWithFindings ͱ͍͏ϝτϦΫεʹج͍ͮͯΞϥʔ ϜΛ࡞੒Մೳ

25. Amazon CloudWatchでアカウント横断の監視が可能に • Amazon CloudWatchで複数のアカウントを横断的 にモニタリングできるようになった • メトリクス、ログ、AWS X-Rayによるトレースなどの可視化や 分析をアカウント境界を気にせずに一元的に実現

    • 例えばアカウントを跨ってAWS Lambdaを介して連携するアプ リケーションのエンドツーエンドでのトレースが容易に • 単一リージョンで展開される複数アカウント環境の監視と障害 対応を支援 • メトリクスとログは追加料金なし、トレースは1つ の監視アカウントでの利用は追加料金なしで提供 • 全商用リージョンで利用可能 ⼀ 般 利 ⽤ 開 始 AWS account AWS account AWS account Amazon CloudWatch Instances Amazon RDS instance 新着 – Amazon CloudWatch のクロスアカウントオブザーバビリティ https://aws.amazon.com/jp/blogs/aws/new-amazon-cloudwatch-cross-account-observability/ https://aws.amazon.com/jp/blogs/news/new-amazon-cloudwatch-cross-account-observability/
26. None
27. None

28. Amazon CloudWatch Internet Monitorを発表 • AWS上のアプリケーションに対してインターネッ トからアクセスした際の可用性とパフォーマンス メトリクスをCloudWatchで可視化可能に • ユーザから見た場合の可用性と性能をチェックできる

    • AWSのグローバルネットワークから取得した接続データに基づ きモニタリング。問題がある場合はその影響や場所、プロバイ ダーなどを可視化し、改善アクションを起こしやすくする • 例えば「概ね正常だがラスベガスからアクセスしているユーザ はパフォーマンスが落ちている」といった状況が検出できる • VPC FlowLogやCloudFrontログの有効化は不要 • 東京リージョンを含む20のリージョンでプレ ビューとして利用可能 プ レ ビ ュ ー Amazon CloudWatch Internet Monitor Preview • https://aws.amazon.com/jp/blogs/aws/cloudwatch-internet-monitor-end-to-end-visibility-into-internet-performance-for-your-applications/ • https://aws.amazon.com/jp/blogs/news/cloudwatch-internet-monitor-end-to-end-visibility-into-internet-performance-for-your-applications/ ސ٬͕ར༻͢ΔΞϓϦέʔγϣϯΛ ϗετ͢Δɺ71$
    ͱ $MPVE'SPOU
    σΟετϦϏϡʔγϣϯΛબ୒

29. Amazon CloudWatch Internet Monitorの活用例 ݱࡏ &$
    ʹΑͬͯ෼ࢄ͞Ε͍ͯΔτϥϑΟοΫΛ $MPVE'SPOU
    ʹ ෼ࢄͤ͞ɺ·ͨɺVTFBTU
    ʹՃ͑ͯ VTFBTU
    ͷ &$
    Πϯελ

    ϯεʹΑͬͯ௥ՃͷτϥϑΟοΫΛॲཧͰ͖ΔΑ͏ʹ͢Δ͜ͱ͕ɺ *OUFSOFU
    .POJUPS
    ʹΑΓਪ঑͞Ε͍ͯ·͢ɻ Traffic Insight Overview ϞχλϦϯά͍ͯ͠Δ͢΂ͯͷ৔ॴʹ͓͚Δɺશମత ͳΠϕϯτͷεςʔλε͕දࣔ͞Ε·͢ɻ ࠷େͰաڈ 
    ͔݄͜ͷಛఆͷΫϥΠΞϯτϩέʔγϣϯͱ ωοτϫʔΫϓϩόΠμʔͰ͸ɺաڈ਺͔݄ؒʹ໰୊͕ෳ਺ճ ൃੜͨ͜͠ͱ͕Θ͔Δɻ Historical Explorer

30. Amazon Managed GrafanaがPrometheus Alertmanagerルールの可視化に対応し、 新たな設定APIが登場 • AMGでPrometheus Alertmanagerルールの可視化、新し い設定API、追加の可視化プラグインをサポート •

    PrometheusのWeb UIでなく、AMGで直接Alertmanager ルール、アラート状態、サイレンサー、コンタクトポイ ントを可視化および分析することが可能に • AMPだとそもそもWeb UIは使えなかった • DescribeWorkspaceConfiguration API、 UpdateWorkspaceConfiguration APIの登場と CreateWorkspace APIの更新（ワークスペース作成中に Grafanaアラートを有効化できるように） • また、Sankey、Plotly、Scatterのプラグインをサポート 30 Wat’s New：https://aws.amazon.com/jp/about-aws/whats-new/2022/11/amazon-managed-grafana-visualizing-prometheus-alertmanager-rules-configuration-apis/ Blog：https://aws.amazon.com/jp/blogs/mt/announcing-prometheus-alertmanager-rules-in-amazon-managed-grafana/

31. Amazon Managed GrafanaがVPC内でホストされているデータソースへの接続を サポート • パブリックIPを使用、インターネット経由でなく、VPC内 にあるデータソースに接続することが可能に • OpenSearch、RDS、セルフマネージドPrometheusなどの データソースは、パブリックに面したエンドポイントを持っ

    ていないことが多いのが実態 • これまではパブリックネットワーク経由でVPCホストされた データソースに接続しなければいけないためAMGの導入がブ ロッカーになっていた • これからはVPC内のデータソースに対してクエリ、可視化、 アラートを行うことが可能 • また、VPC PeeringやAWS Transit Gatewayを使用して、 Grafanaワークスペースを複数のVPCに接続することも可 能 • オハイオ、バージニア北部、オレゴン、アイルランド、フ ランクフルト、シドニー、東京で利用可能 31 Wat’s New：https://aws.amazon.com/jp/about-aws/whats-new/2022/11/amazon-managed-grafana-connection-data-sources-hosted-virtual-private-cloud/ Blog：https://aws.amazon.com/jp/blogs/mt/announcing-private-vpc-data-source-support-for-amazon-managed-grafana/

32. Amazon Managed Service for Prometheusでワークスペースあたり200Mの アクティブメトリクスをサポート • Amazon Managed Service

    for Prometheusは、 フルマネージドのPrometheus対応モニタリング サービス • コンテナは短命で自動スケーリングが可能なた め、コンテナ環境を監視するために取り込んで 分析する必要のあるメトリクスは、すぐに数千 万個に達してしまう • 今回のリリースで、上限引き上げの申請後、1 つのワークスペースに最大200Mのアクティブ メトリクスを送信することができ、アカウント ごとに多数のワークスペースを作成できるため、 数十億のPrometheusメトリクスの保存と分析が 可能に • どのメトリクスを破棄するかという優先順位を付ける 必要がなくなった 32 Wat’s New：https://aws.amazon.com/about-aws/whats-new/2022/11/amazon-managed-service-prometheus-200m-active-metrics-workspace/ Blog：https://aws.amazon.com/jp/blogs/mt/amazon-managed-service-for-prometheus-adds-support-for-200m-active-metrics/

33. Update一覧 Nov 8 Amazon CloudWatch Logs が SSE-KMS で暗号化された S3

    バケットへのエクスポート のサポートを開始 Nov 9 Amazon QuickSight は Amazon CloudWatch にメトリクスを送信して SPICE 消費量を モニタリングできるように Nov 10 AWS Lambda が Telemetry API を導入したことで Lambda 拡張機能のモニタリングと オブザーバビリティがさらに向上 Nov 17 Amazon CloudWatch RUM でトラブルシューティングとアプリケーションの個別モニ タリングを強化するカスタムイベントのサポートを開始 Nov 18 Amazon CloudWatch Application Insights で SAP NetWeaver アプリケーションを監 視およびモニタリング Nov 18 Amazon AppFlow が Amazon CloudWatch メトリクスを使用したモニタリングを開始 Nov 21 AWS X-Ray では、Amazon SQS と AWS Lambda に基づいて構築されたイベント駆動 型アプリケーションにトレースリンクを追加 Nov 23 Amazon Managed Grafana で Prometheus Alertmanager ルールの可視化 と新しい設定 API のサポートを開始 Nov 23 Amazon Managed Grafana では、Amazon Virtual Private Cloud でホスト されているデータソースへの接続サポートを開始 Nov 27 Amazon CloudWatch launches cross-account observability across multiple AWS accounts Nov 27 Announcing data protection in Amazon CloudWatch Logs, helping you detect, and protect sensitive data-in-transit Nov 27 Announcing Amazon CloudWatch Internet Monitor Preview Nov 28 AWS Compute Optimizer now supports external metrics from observability partners

34. Pickup!：AWS X-RayのAmazon SQSとAWS Lambdaのトレースリンク AWS X-Ray では、Amazon SQS と AWS

    Lambda に基づいて構築されたイベント駆動型アプリケーションにトレースリンクを追加

35. Pickup! Amazon CloudWatch RUMでカスタムイベントのサポート Amazon CloudWatch RUM でトラブルシューティングとアプリケーションの個別モニタリングを強化するカスタムイベントのサポートを開始

36. セッション一覧 Observability全体系 • Building modern apps: Architecting for observability &

    resilience (ARC217-L) ※アーキテクチャのリーダーシップセッション https://youtu.be/GamnNc6ZMew?t=1701 • Leadership panel discussion: Monitoring and observability on AWS (COP212) https://youtu.be/vjVgAvr1O0g • Observability the open-source way (COP301-R) https://youtu.be/2IJPpdp9xU0 • Observability best practices at Amazon (COP343) https://youtu.be/zZPzXEBW4P8 CloudWatchのアカウント横断について • How to monitor applications across multiple accounts (COP316) https://youtu.be/kFGOkywu-rw その他 • How Discovery increased operational efficiency with AWS observability (COP201) https://youtu.be/zm30JNYmxlY • FINRA: Democratize data and solve issues faster with Grafana (COP210) https://youtu.be/uJQxOMZeZRM • Cloud cost optimization: Only paying for what you need (COP207) https://youtu.be/GFakkHD9aQY https://aws.amazon.com/jp/blogs/mt/know-before-you-go-aws-reinvent-2022-monitoring-observability/

37. Next Action • One Observability WorkshopでAWS Observabilityのすべてを知る One Observability Workshop

    は、アプリケーションのパフォーマンスと正常性を監視して洞察を得るのに役立つ AWS サービ スに関する幅広い実践的な経験を提供します。ロギング、メトリクス、コンテナのモニタリング、およびトレースのテクニッ クについて学びます。 • AWS Observability Best PracticesでBestPlacticeを学ぶ この入門guideには、オブザーバビリティのベスト プラクティスが含まれています。ガイドのほとんどはベンダーにとらわれ ず、優れた可観測性ソリューションがもたらすものを表しています。 • Amazon EKS Observability AcceleratorでEKSのオブザーバビリティを深める EKS Observability Accelerator は、Terraform モジュールを使用して特定のワークロード用に Amazon EKS クラスターに専用 のオブザーバビリティ ソリューションを構成およびデプロイするために使用されます。このソリューションを使用すると、１ つのコマンドを実行してアプリケーションの監視を開始することで、Amazon Managed Service for Prometheus、AWS Distro for OpenTelemetry、および Amazon Managed Grafana を開始できます。 • What’s new in AWS Observability at re:Invent 2022で新機能をおさらい • https://aws.amazon.com/blogs/mt/whats-new-in-aws-observability-at-reinvent-2022/

38. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

39. Leadership Session より ɾ"NB[PO
    $MPVE8BUDI
    "QQMJDBUJPO
    *OTJHIUT
    ͷ "84
    4FSWJDF
    $BUBMPH
    "QQ3FHJTUSZ ͱͷ౷߹ ʔʼ4FSWJDF
    $BUBMPHʹొ࿥ࡁΈͷ "84
    ΞϓϦέʔγϣ ϯΛબ୒ͨ͠Γɺ"QQMJDBUJPO
    *OTJHIUT
    ͔Β௚઀

    "QQ3FHJTUSZ ʹ৽͍͠ΞϓϦέʔγϣϯΛొ࿥ͨ͠Γ͢ Δ͜ͱ͕؆୯ʹͰ͖ɺΞϓϦέʔγϣϯͷ؂ࢹ͕ࣗಈతʹ ηοτΞοϓՄೳʹ ・Systems ManagerとAWS Resilience HubのIntegration ・Systems ManagerとSecret ManagerのIntegration ・Systems ManagerとCloudTrail LakeのIntegration

40. AWS Systems Manager ハイブリッドクラウド環境のための安全なエンドツーエンドの管理ソリューション Patch Inventory Remote access Application Manage-ment

    Configur- ation Manage- ment Change control Incident manage- ment Problem manage- ment AWS Config Configuration history Amazon EventBridge Notification and remediation AWS CloudTrail Audited actions AWS Identity and Access Management (IAM) Role-based access control Cloud On-premises Edge AWS の他のサービスや 3rd Party のツールと統合された 管理ソリューションを提供

41. 運⽤管理 アプリケーション管理 変更管理 ノード管理 Explorer OpsCenter Application Manager AppConfig Parameter

    Store Change Manager Automation Change Calendar Fleet Manager Inventory Run Command Patch Manager Distributor State Manager Session Manager Incident Manager Quick Setup AWS Systems Manager の機能 Maintenance Windows

42. Incident Manager 事前に準備された対応計画、ランブック、分析による改善 アラームへの対応計画を指定し、 適切な連絡先に⾃動通知、Runbookを⾃動起動し、 迅速な対応が可能になる。 インシデント後の分析ができ、将来の再発を防⽌ できる。 チームはチャットで共同作業を⾏いながら問題を 解決できる。

    Remediate Issues Incident Manager についての詳細はこちら。

43. インシデント n分後 n分後 対応プラン 誰に連絡する︖ どのRunbookを 動かす︖ メール SMS 電話

    使⽤する Chatチャネルは︖ Stage:1 Stage:2 Stage:3 ! AWS Chatbot Amazon Chime Slack コラボレー ション Automation ⾃動実⾏ インシデントへ の迅速な対処 適切な⼈に迅 速に通知 分析 問 題 解 決 後 タイムライン 改善のための質問 アクションアイテム メトリクス 改善のための 取り組み Incident Manager Amazon EventBridge (ルールターゲット) 対応プラン 開始 メトリクス アラーム Amazon CloudWatch (Alarmアクション) Incident Manager についての詳細はこちら Remediate Issues Incident Manager 事前に準備された対応計画、ランブック、分析による改善

44. Incident Manager が Jira Service Management Data Center および Jira

    Service Management Cloud と統合 • Incident Manager であがったインシデントを JSM に連携できるようになったため、すでに JSM を 利用している場合、AWS側で発生したインシデントも JSM で一元管理が可能 • JSM Data Center については、Systems Manager の Automation とも統合されているため、 Incident Manager からあがったインシデントに対するアクションとして定義された Automation を JSM Data Center から実行することも可能 • JSM 側で AWS と連携するための Connector をインストールすることで利用可能 AWS Systems Manager Incident Manager Jira Service Management https://aws.amazon.com/jp/about-aws/whats-new/2022/10/incident-manager-aws-systems-manager-streamlines-response-jira-service-management-jsm-incidents/ https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-systems-manager-responses-jira-cloud-service-management-connector/ 0DU
    
    
    ൃද

45. Leadership Session より

46. AWS Resource Explorer使い方

47. AWS Resource Explorer使い方

48. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

49. IaC アップデート • StackSets が 3 つのサービスクォータで制限を引き上げ • スタックセットあたりのスタック数 2,000→100,000

    • スタックセットの数 100→1,000 • スタックインスタンス同時操作 3,500→10,000 /region • CloudFormationが AWS Organizations をサポート • アカウント、OU、ポリシーの管理が可能に • StackSetsでスタックインスタンスの詳細情報が取得可能に • AWS CloudFormation が 2 つの読み取り可能なスタンバイを備えた Amazon RDS Multi-AZ 配置のサポート

50. AWS Application Composerを発表 • ブラウザベースのGUIでAWSサービスを組み込んだ サーバレスアプリケーションを簡単に構築可能に • デプロイ可能なIaCコードを出力し、開発者がアプリケーション開 発に注力できるように •

    サーバレスアプリケーションの開発時、不慣れな開発者もスムー スに開発に着手できる • 新規構築だけでなく、既存環境にも対応。 CloudFormationやAWS SAMのテンプレートをイン ポートして、修正・改良を行える • 東京をはじめ6つのリージョンでプレビューを開始 プ レ ビ ュ ー

51. AWS BackupでCloudFormationスタックの保護が可能に • AWS BackupがCloudFormationスタック単位の バックアップとリストアをサポート • スタックとして管理されるシステム全体をまとめてバックアッ プ・リストアすることが可能になった •

    バックアップを実行すると、CloudFormationテンプレートと、 スタックに含まれており、AWS Backupがサポートする全ての リソースのrecovery pointが生成される • AWS Backup Vault Lockを併用することでシステ ム全体にわたって、変更不可能なバックアップを 自動的に取得できる • 東京、大阪を始め各リージョンで利用可能に AWS Backup ⼀ 般 利 ⽤ 開 始

52. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

53. AWS Well-Architected Framework (W-A) とは? ・AWS のソリューションアーキテクト (SA)、 パートナー様、お客様の 10

    年以上にわたる 経験から作り上げたもの ・AWS とお客様と共に、 W-A も常に進化し続ける システム設計・運用の”大局的な”考え方と ベストプラクティス集 End User AWS Partner AWS SA https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/welcome.html Well-Architected started 2012 Questions across four pillars 2014 Operational excellence Pillar 2016 APN partners Self-service Tool, 2018 AWS SA reviews 2013 Published framework 2015 Well-Architected Lenses Released 2017 Regional Launches Globally 2019 2020 Framework Update, Additional Lenses, API Released Sustainability Pillar + Lenses 2021

54. 柱 AWS Well-Architected フレームワークは 6 本のアーキテクチャの柱によってベストプラクティスが定義されている 運用上の優秀性 セキュリティ パフォーマンス 効率

    信頼性 コスト最適化 持続可能性 54 設計原則 各柱には、アーキテクチャの決定をガイドする主要な設計原則が用意されている 質問 各柱には，ベストプラクティスに照らし合わせてワークロードを測定するために役立つ一連の質問が準備されている AWS Well-Architected Framework (W-A) とは? https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/welcome.html

55. 柱 運用上の優秀性 セキュリティ パフォーマンス 効率 信頼性 コスト最適化 持続可能性 開発をサポートし、 ワークロードを効率

    的に実行し、運用に 関するインサイトを 得て、ビジネス価値 をもたらすためのサ ポートプロセスと手 順を継続的に改善す る能力. データ、システム、 資産を保護して、ク ラウドテクノロジー を活用してセキュリ ティを強化する能力. システムの要件を満 たすためにコン ピューティングリ ソースを効率的に使 用し、要求の変化と テクノロジーの進化 に対してその効率性 を維持する能力. 意図した機能を期待 どおりに正しく一貫 して実行するワーク ロードの能力. これには、ワーク ロードのライフサイ クル全体を通じて ワークロードを運用 およびテストする能 力が含まれる. コストを考慮した ワークロードの構築 と運用により、ビジ ネス成果を達成しな がら、コストを最小 限に抑え、組織の投 資収益率を最大化す る 使用されるサービス の影響を理解し、 ワークロードのライ フサイクル全体を通 して影響を定量化し、 設計原則とベスト プ ラクティスを適用し てこれらの影響を軽 減する AWS Well-Architected Framework の 6 本の柱 https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/welcome.html

56. AWS Well-Architected フレームワークの活用 • Well-Architected レビュー Ø AWS Well-Architected フレームワークにおける

    各柱ごとの質問にワークロードを照らし合わせる作業のこと Ø 現在 (As is) のベストプラクティスの 適⽤状況を理解し、将来 (To be) のアーキテクチャーを検討する Ø 設計、構築、運⽤等、ワークロードの特性が 変わるタイミングで定期的に実施することを推奨 • AWS Well-Architected Tool Ø Well-Architected レビュー時に活⽤できる AWS のサービス Ø 各質問毎にベストプラクティスの適⽤状況を記録できる Ø レビューした結果をレポートとして出⼒でき、リスクレベルが可視化される AWS Well-Architected Tool

57. AWS Well-Architected レンズとは何ですか ? フレームワークの 専⾨分野バージョン 既存のフレーム ワークに対する 追加の質問と回答 14

    のレンズ : • Serverless Applications • HPC • IoT • Machine Learning • Data Analytics • Finantial Services Industry • SaaS • FTR (Foundational Technical Review) • Management and Governance • SAP • Streaming Media • Game Industry • Hybrid Networking • Container Build Access the lenses and whitepapers: https://aws.amazon.com/architecture/well-architected/

58. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

59. re:Invent 2022 W-A 関連セッション一覧 W-A 関連セッション • Cloud optimization with

    Trusted Advisor and AWS Well-Architected Tool (SUP307) https://youtu.be/xOQzhagC9hA • AWS re:Invent 2022 - The well-architected way (ARC210) https://youtu.be/nOKvA8HykW8 • Improving resiliency with the correction of error process (ARC308) https://youtu.be/Prd2VvSo_p8 • Sustainable machine learning for protecting natural resources (SUS301) https://youtu.be/1j-PrbcOkpU https://portal.awsevents.com/events/reInvent2022/sessions

60. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

61. re:Invent 2022 直前アップデート (W-A) • AWS Well-Architected Tool、カスタムレンズに複数の機能強化を追加 Ø https://aws.amazon.com/jp/about-aws/whats-new/2022/06/aws-well-architected-tool-adds-

    enhancements-custom-lenses/ • AWS Well-Architected Tool が AWS Organizations と統合 Ø https://aws.amazon.com/jp/about-aws/whats-new/2022/06/aws-well-architected-tool-organizations-integration/ • Announcing updates to the AWS Well-Architected Framework Ø https://aws.amazon.com/jp/blogs/architecture/announcing-updates-to-the-aws-well-architected-framework/ • AWS Well-Architected Tool の ワークロード検出とレビュースピードが向上 Ø https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-well-architected-tool-workload-discovery- speeds-reviews/

62. https://aws.amazon.com/about-aws/whats-new/2022/06/aws-well-architected-tool-adds-enhancements-custom-lenses/ カスタムレンズのプレビュー AWS Well-Architected Tool、カスタムレンズに複数の機能強化を追加 • 特徴 – カスタムレンズ向けの新機能を追加 •

    アップロードした JSON ファイルをもとに⽣成され たコンテンツを公開前にプレビュー可能に • 役⽴つリソースや改善計画の URL を追加可能に • AWS タグを使ってメタデータを割り当て可能に • 注意点 – 東京を含む、AWS Well-Architected Tool の提供リージョンで利⽤可能 （⼤阪は未提供）

63. https://aws.amazon.com/about-aws/whats-new/2022/06/aws-well-architected-tool-organizations-integration/ Well-Architected Tool カスタムレンズ AWS Well-Architected Tool が AWS Organizations

    と統合 • 特徴 – 今回のリリースで、ワークロードと カスタムレンズを AWS Organizations の 組織全体でより広く共有可能に – AWS Well-Architected カスタムレンズは、 業界、運⽤計画、内部プロセスに基づく、 独⾃のベストプラクティスを導⼊可能にす る機能 – 組織内の異なるサブセット間でワーク ロードやカスタムレンズを共有することで、 チーム間のコラボレーションが促進され、 時間の節約やより多くのユーザーに迅速に 拡張可能に • 注意点 – 東京を含む、AWS Well-Architected Tool の提供リージョンで利⽤可能 （⼤阪は未提供）

64. AWS Well-Architected フレーム ワークのアップデート https://aws.amazon.com/jp/blogs/architecture/announcing-updates-to-the-aws-well-architected-framework/ best practice descriptions

65. AWS Well-Architected Tool のワークロード検出と レビュースピードが向上 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-well-architected-tool-workload-discovery-speeds-reviews/

66. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Cloud Financial Management (CFM)

67. CFMはお客様⾃らが継続的なコストの削減を⾏うことを⽬的に、AWS環境を可視化しコスト構造を 分析・削減評価したうえで、今後の費⽤⽀出の計画・予測を⽀援します。これらを通してクラウド 利⽤における財務管理を強化します。 Cloud Financial Management (CFM) 可視化 最適化 計画・予測

    FinOps(*1)の 実践 ü アカウント・タグ付け戦略 ü タグ設定のガバナンス ü CCoE (*2)の組成/⽂化の醸成 ü 持続的最適化のためのプロセスの確⽴ ü クラウド使⽤量予測 ü 予算策定 ü クイックウィン最適化 ü アーキテクチャ最適化 (*1) FinOps: Financial Operationsの略。財務と技術部⾨との密な連携による持続的コスト最適化を推進すること。 (*2) Cloud Center of Excellenceの略。組織を横断してクラウド推進の役割を担う組織。

68. Compute Optimizerが外部からのメトリクスに対応 • AWS Compute Optimizerが提供するサイジングの推奨事項を計算する際 に、パートナーソリューションで取得したメトリクスを活用可能に • メモリメトリクスをこれまでのCloudWatchに加えてDatadog、Dynatrace、Instana、New Relicから取得可能になった

    • CPU等その他の要素と合わせてよりコスト最適な提案が可能に • 東京を含む16のリージョンで利用可能に ⼀ 般 利 ⽤ 開 始

69. © 2023, Amazon Web Services, Inc. or its affiliates. All

    rights reserved.

70. 周辺領域について • Service Catalog • ControlTower の Account Factory Customizations

    で Service Catalog が利⽤できるようになり、管理された環 境の払い出しやパートナーソリューション展開のために活⽤される流れ • CFnだけでなく CDKによるプロダクトの定義も可能（ただし合成後のCFnテンプレが⼀枚で済む場合のみ） • Policy as Code の活⽤が進む • 従来の発⾒的統制に加えて、デプロイ前に環境を検証して違反があれば⽌める仕組みが強化されつつある • テンプレート開発(CFn Guard)、デプロイ前(Config Rules プロアクティブルール）、デプロイ時(ControlTower プロアクティブコントロール）、利⽤中（Config Rules 発⾒的ルール） • AWS Managed Service • チケットやAPIのリクエストにより、AWS環境の定型運⽤作業を代⾏するサービス （中⾝はAWSのネイティブサービス群をベースに⾃動化の仕組みを作っている） • 英語でよければ⽇本でも利⽤可能 • Service Management Connector • ServiceNowやJira等の構成管理、チケッティングシステムとの連携が進む（Service Catalog, Config等）

71. re:Invent 2022 CloudOperations セッション • re: Invent 2022 で注⽬すべきセッション –

    AWS Cloud Operations （クラウド での運⽤） • Know Before You Go – AWS re:Invent 2022 モニタリングとオブザーバビリ ティ • Know Before You Go – AWS re:Invent 2022 コンプライアンスと監査 • Know Before You Go – AWS re:Invent 2022 クラウドガバナンス • Know Before You Go – AWS re:Invent 2022 ⼀元化された運⽤管理 • AWS re:Invent 2022 Cloud Financial Management （クラウド財務管理）に関 するご案内 • Attendee guide: SysOps • Attendee guide: Cloud infrastructure automation

72. re:Invent 2022 セッション資料 • AWS Events YouTubeチャネル (セッション動画) • CloudOperationsプレイリスト

    • AWS Events Content (セッション資料のPDF) • Event Seriesに”re:Invent”を指定して検索（現在Leadership Sessionのみ公開）

73. Thank you! © 2023, Amazon Web Services, Inc. or its

    affiliates. All rights reserved.