【レポート】公共機関における AWS 公開テンプレートの活用 〜Infrastructure as Code の概要と活用〜(AWS-17) #AWSSummit

AWS Summit Online 2022で行われた「公共機関における AWS 公開テンプレートの活用 〜Infrastructure as Code の概要と活用〜(AWS-17)」のセッションレポートです。
2022.05.26

こんにちは!AWS事業本部コンサルティング部のたかくにです。

今回は、2022年5月25 - 26日の2日間で開催されているAWS Summit Online 2022のセッションレポートをしていきます。セッションのサマリーを理解し、興味があるセッションをチェックすることに、ご活用ください。また、セッションのアーカイブも公開されますので、詳細はそちらをチェックしてください。

本記事は、「公共機関における AWS 公開テンプレートの活用 〜Infrastructure as Code の概要と活用〜(AWS-17)」のレポート記事となります。

今回はセッションの中でも「特に私が勉強になった部分」をピックアップしてご紹介します。

※詳細はアーカイブセッションをご覧いただけますと幸いです。

セッション概要

概要

公共機関のお客様のシステムにおいてセキュリティ対策は重要です。そんな中、AWSのセキュリティのベストプラクティスを実装した環境を構築するために Infrastructure as Code (IaC)でシステムやガバナンスのテンプレートを定義し、AWSインフラを管理する取組が増えています。本セッションでは、AWS が公開しているガバナンスベースライン/システムテンプレートである Baseline Environment on AWS (BLEA) を中心にテンプレートの活用方法についてご紹介いたします。

スピーカー

AWS パブリックセクター技術統括本部 ソリューション アーキテクト 椨木 正博 氏

セッションレベル

Level 300: 中級者向け

セッションリンク(AWS Summit Online 2022 への登録が必要です)

※閲覧には、AWS Summit Online 2022の無料登録が必要です。

レポート

Agenda

  • 公共機関におけるクラウド利用の課題
  • クラウド上での統制 – IaC を使ってクラウドをあるべき状態に保つ –
  • テンプレートを使った統制 – Baseline Environment on AWS –

公共機関におけるクラウド利用の課題

公共業界ではよく以下が課題として挙げられます。

  • 多くの部署や関係者によってシステムの運営、更改が行われている
    • 関係者の部署移動や退職でシステムの引き継ぎが難しい
  • 各部署でも複数のシステムを所有してることも多いため
    • 各システムの統制管理が難しい

よって、公共業界では関係者間で「認識齟齬なくやりとりできるドキュメント」が必要になってきます。

セッションでは、ドキュメントの1つとして、「Infrastructure as Code」が挙げられていました。

クラウド上での統制 – IaC を使ってクラウドをあるべき状態に保つ –

  • 「あるべき状態」とは、各関係者間の共通認識を指す。
  • 大規模になりがちなシステムの共通化を「Infrastructure as Code」で担う
  • AWS CloudFormationとAWS CDKがAWSで利用できるIaCサービスの手段としてあげられる
    • AWS CloudFormationの構造をご紹介
    • AWS CDKの構造をご紹介
  • IaCのメリット
    • 手作業では変更履歴の管理が必要(IaCではGitで管理できる)
    • 手作業では作業ミスが発生した場合のロールバック手順も必要(IaCでは自動的にロールバックする)

ロールバックの手順書作成は、各サービスの依存関係を事前に把握する必要があり作成難易度は高いと個人的には思います。

AWS CloudFormationでは、自動的に依存関係を検出してロールバックするため大変素晴らしいなと思いました。

また、本セッションでは手作業とAWS CDKで「手順書作成からデプロイまでどれほどの時間差が発生するのか」についてデモが行われました。

一言で言うと、「AWS CDKは圧巻」でした。

テンプレートを使った統制 – Baseline Environment on AWS –

  • Baseline Environment on AWS (BLEA:ブレア)のご紹介
    • 基本的なセキュリティを設定するサンプルテンプレートの提供
    • AWS のセキュリティベストプラクティスに準拠している
    • OSSで開発されており各システムによってカスタマイズすることもできる

BLEAでは「マルチアカウント」、「シングルアカウント」の2つのアカウント管理パターンで作成されておりどのように導入するかを「選ぶ」形式でした。

セッション内資料では各パターンで「どのような役割をどのアカウントが担うのか」がマトリクス形式でまとめられており大変勉強になりました。

OSSで開発されており、forkしてカスタマイズできる点も大変素晴らしいなと思いました。まずはシングルアカウントから触ってみたいです。

最後に

公共業界でIaCを活用する意義が、構造的にまとめられており大変勉強になるセッションだと思いました。デモも行われ、実際にどのような課題に直面するのか視覚的にもわかりやすかったです。

また、別セッションの「テンプレートによるAWS環境のガバナンス - Baseline Environment on AWS (BLEA) 徹底解説 - (AWS-22)」では、BLEAについてより詳しく取り上げられているとのことで合わせてご覧いただくと幸いです。

セッションレポート

ぜひAWS Summit Onlineに登録して、セッションのアーカイブも確認してみてください!スライド資料も配布されていたので要チェックです。