![[レポート] 複数組織、複数アカウントの構成管理について学ぶ Unlocking business insights with AWS Config, featuring Itaú Unibanco #COP32](https://images.ctfassets.net/ct0aopd36mqt/3IQLlbdUkRvu7Q2LupRW2o/edff8982184ea7cc2d5efa2ddd2915f5/reinvent-2024-sessionreport-jp.jpg)
[レポート] 複数組織、複数アカウントの構成管理について学ぶ Unlocking business insights with AWS Config, featuring Itaú Unibanco #COP32
2025.01.11資料
動画
スライド
セッション概要
"Unlocking business insights with AWS Config" とあるように AWS Config の情報をビジネスに活用する方法について事例で説明しています。具体的には複数組織、複数アカウント を持った組織のAWS Config のデータの可視化やデータを用いた意思決定の事例です。
Itaú Unibanco のAWS Config の事例がより発展的な事例であるため、AWSソリューション アーキテクトが AWS Config の網羅的な説明をして、事例をより理解しやすくしていました。
AWS Config とは
セキュリティや統制で役立つサービス です。AWS リソースの構成情報を記録してくれて、カスタムルールやAWSのルールに沿っているかを評価してくれます。
Amazon EventBridge やAWS Systems Manager などと組み合わせれば設定したルールに準拠していないリソースを修正するなどの仕組みを構築できます。
詳しくは以下をご参照ください。
AWS公式の概要
As organizations with a highly distributed technology landscapes scale on AWS, they face challenges such as extracting configuration metadata, versioning, and achieving compliance across thousands of individual pipelines, resources, and services. By using AWS Config as a source of resource metadata, organizations can have compliance monitoring, change tracking, and visibility into resource relationships across accounts and AWS Regions. In this session, Itaú Unibanco showcases how they use AWS Config for metadata centralization to identify the cost inefficiencies, outage causes, back-level technology, and compliance issues of millions of resources in thousands of accounts.
機械翻訳
AWSで高度に分散したテクノロジー環境を持つ組織が規模を拡大するにつれて、構成メタデータの抽出、バージョン管理、数千もの個々のパイプライン、リソース、サービスにわたるコンプライアンスの達成などの課題に直面します。AWS Configをリソースメタデータのソースとして使用することで、組織はアカウントおよびAWSリージョン全体でのコンプライアンス監視、変更追跡、リソース関係の可視化を実現できます。このセッションでは、Itaú Unibancoが、数千のアカウントにある数百万のリソースのコスト非効率性、停止原因、旧式のテクノロジー、コンプライアンス問題を特定するために、メタデータの一元化にAWS Configをどのように使用しているかを紹介します。
スピーカーについて
Guilherme Greco(AWS Principal SA)
Matheus Arrais(AWS Sr. WW CloudOps SA )
Thiago Morais(Itaú Unibanco Head of Cloud Platform)
各セッションパートについて
AWS Config の説明 (Guilherme Greco )
AWS のリソース管理の問題提起
AWSのベストプラクティス に従って、分散型環境と分散アカウントの構成にしています。
経営層から管理しているリソース構成について、統制やコスト効率など、様々な疑問が投げかけられるようになります。
リソース構成は、リソースからデータとメタデータを抽出する方法とします。一方で、さまざまなサービスから異なるAPIがあるため、すべてのサービスをスクレイピングすることは合理的ではありません。異なるAPIをスクレイピングし、異なる応答を処理して、データストアに保存することは合理的ではありません
AWS Config について
AWS Configはサービス内の変更を記録するAWS管理サービスです。
サービスで変更が発生するたびに、AWS ConfigはAWS Configレコーダーを通じてそれをキャプチャします。これにより、変更とリソースにルールを適用し、アーキテクチャパターンと比較して、それらが準拠しているかどうかを確認できます。
独自のルールを使用することも、AWS Configのマネージドルールを利用することもできます。アカウント、リージョン、およびAWS組織全体のリソースの集約ビューを持つことができます。
AWS Configは、SNS、CloudWatch、S3、CloudTrail Lake、EventBridgeなどの他のサービスとも統合されています。
AWS Config ルール、 AWS Config アグリゲーターの説明(Matheus Arrais)
AWS Config ルール とは
AWS のリソース変更について評価・検出する機能。定期実行とリソース変更、二種類のトリガーがあります。
Systems Manager Automationと統合されており、セキュリティグループを元の目的の状態に戻すドキュメントを自動的にトリガーします。
500以上のマネージドルールがガバナンスとコンプライアンスのニーズに合わない場合は、独自のルールを作成できます。
独自のルールを作成する際は CloudFormation Guard を用いることを推奨します。
参考
AWS Config は基盤サービスであるため、Security Hub、Control Tower、Backupなど、他の多くのAWSサービスがAWS Configルールを使用しています。
AWS Config アグリゲーター.
AWS Config アグリゲーターは、多くのリージョンとアカウントにまたがってConfigによって収集されたデータ(構成項目やコンプライアンス情報など)の読み取り専用ビューで
す。
アカウントとリージョンでConfigが有効になっています。そのデータはConfigによって収集され、集約ビューがあるアグリゲーターに送信されます。非常にシンプルで簡単です。基本的なConfigアグリゲーターは無料です。必要なだけアグリゲーターを作成でき、個々のアカウントタイプや組織アグリゲータータイプなど、さまざまなタイプのアグリゲーターを持つことができます。
アグリゲーターから得た情報からインサイトを得るために高度なクエリを使用できます
Configの高度なクエリ機能を使用すると、アグリゲーター上でSQLステートメントを使用してアドホッククエリを実行できます。
私たちが話しているアグリゲーターの部分は、SQLステートメントを使用できる高度なクエリです。クリックして使用できる58個のすぐに使えるクエリがあります。
参考
新しいものを作成したい場合は、アグリゲーターを選択し、ここにSQLステートメントを作成できます。SQLステートメントに慣れていない場合は、プレビュー中の生成AIを使用できます。
Itaú Unibanco の事例 (Thiago Morais)
自己紹介
taúでクラウドプラットフォームチームを率いています。
企業概要
Itaúは100年の歴史を持つユニバーサルバンクです。ラテンアメリカ最大の金融機関であり、ブラジルおよび海外に96,000人以上の従業員を擁しています。
組織について
私たちのはチーム、他のチームを成功に導くための重要な役割を担っています
他のチームが私たちの上に構築できるように、プラットフォームを構築します。
CIOのチームは、顧客向けのソリューション、顧客が使用する製品、および当社のプラットフォーム上にソリューションを構築することに重点を置いています。当社はクラウドガバナンスがモダナイゼーションおよびテクノロジー戦略にとって非常に重要です。
クラウドガバナンスは、テクノロジー戦略を検討する際のCTOとCIOの間の接着剤です。モダナイゼーションロードマップ、AWSベストプラクティス、FinOps、情報トレーニング、および認定を提供し、すべてを1つの中央ビューに集約して、当社の戦略の分散実行のためにCIOに提供します。
AWSの利用状況について
数千のアカウント、9,000を超えるアカウント、5つのAWS組織、および組織全体に分散された4,000万の構成項目があります。さらに、毎日このインフラストラクチャを運用しているチームがいくつかあります。
AWS Config の利用背景
組織またはプラットフォームにデプロイされたすべてのリソースの可視性を取得し、この情報を1つのビューに集約するため
1. 初期段階
データアカウントにログインし、多数のクエリを入力し、データをプルアウトし、CSVまたはExcelファイルを作成
2.AWS Config導入
AWS Configを使用してリソース全体の情報を集約した委任アカウントを作成。
複数組織アカウントを跨いだ、単一ビューを取得するために、手動でクエリを実行し、データを入力およびエクスポートしていました。
3.AWS Config + データパイプライン戦略を追加
誰かが手動でデータをプルする代わりに、AWS Glueジョブを追加してデータを抽出し、データパイプラインを介してプッシュし、データをクリーンアップして、すべてのリソースの集中ビューを作成しました。
エンジニアが手動でクエリを入力する必要はなく、Amazon QuickSightにすべての情報を集約可能になりました。
4.ビジネスに関連するコンテキストを追加
CMDB を用いてアカウントの所有者と関連付け、組織のトポロジと組み合わせます。
ビジネスユニットチームは、トポロジまたはチーム構造の各レイヤーに接続されたリソースを確認できるようになり、FinOpsなどの戦略を理解できるようになりました。
AWS Config についてまとめ(Matheus Arrais)
AWS Configは、主にコンプライアンスツールとして考えられていますが、リソースインベントリ管理にも使用できます。
Thiagoのプレゼンテーションで見たように、Itaúは多くの価値をもたらすためにそれを活用しています。
リソース紹介
Getting Started with AWS Config
Track Configuration Changes at Scale Using AWS Config | Amazon Web Services
Set up an organization-wide aggregator in AWS Config using a delegated administrator account
まとめと感想
本セッションの事例部分では ビジネスサイドが判断しやすくするようにAWS Configの情報をどのように扱って、どのようにビジネスサイドに共有するかを中心に説明していました。
実現するため、データパイプラインを作って、AWS Configのデータだけではなく、製品チームから共有されているデータやCMDBのデータも結合してQuickSight に表示されるという一つの部門では収まらず複数の関係者が交わる大掛かりなものでした。
一方で、Lambdaのランタイムや旧世代EC2の情報を把握し、アップグレードを計画したり、コスト削減の機会を特定したりといったビジネスインサイトが、ビジネスサイドがQuickSightを見てプロアクティブに判断できたのだとすれば、それは効果のある施策であると感じました。
AWS Config を統制だけのツールとしてだけでなく、ビジネス判断の情報としても扱っているItaú Unibanco の事例は AWS Config の活用の幅が広くがものであると考えました。
![[アップデート] AWS Config がサービスリンクレコーダーのサポートを開始しました #AWSreInvent](https://images.ctfassets.net/ct0aopd36mqt/3nibOl2sZ0LKJueI0FHFi5/14de7bd294f7916a28b789105c60d450/reinvent-2024-newservice-jp.jpg)
![AWS Security Hub [Config.1] カスタムロールの検出をAWS CLIで一括抑制する](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
