JAWS-UG 初心者支部#12 でAWS Summit 2018を振り返ってきた #jawsug #jawsug_bgnr

大栗です。

2018年６月22日に開催された第12回JAWS-UG 初心者支部に参加してきたのでレポートします。

JAWS-UG 初心者支部#12 AWS Summit 2018 re:Cap!!

AWS Summit Tokyo/Osaka 2018 re:Cap

始めはAWSJのプロダクトマーケティングエバンジェリスト 亀田さんです。

同時にライブ配信を行っていました。

5月30から6月1日の3日でAWS Summit Tokyoを開催しました。 Globalで開催していて3日開催は唯一 22602名が参加

213のセッション、84のパートナーソリューション

Keynote

• Tokyo Day1 長崎さん
• Tokyo Day3 Adrian Cockcroft

初の試みとしてPre-Sessionとして朝に開催。Keynoteをいきなり聞くのは難しいのでその前に説明を開催しました。

ウルトラクイズでは勝ち残った3名がラスベガスで開催するre:Invent 2018のConference Passを贈呈。

例年と異なり、数多くのサービスを発表

発表された新サービス- Tokyo

• Amazon Elastic File System: 7月提供開始予定
• Amazon SageMaker: 6月1日提供開始(Chainerもサポート)
• AWS Fargate: 7月提供開始予定
• Amazon Neptune: 5月30日 提供開始(除く東京)
• Amazon QuickSight: 5月31日 東京提供開始
• Application Load Balancer: 5月31日
  • Open ID Connectプロトコル準拠
• Amazon CloudFront: 6月11日
  • 9番目のエッジロケーション

発表された新サービス- Osaka

• Amazon EKS(除く東京): 6月5日提供開始
• AWS Snowball Import / Export: 6月20日 提供開始(大阪ローカルリージョン)

Day3 Keynoteサマリー

アマゾンウェブサービスのビジネスの現状

• 210億ドル+ 年間収益(1年間の見込みの数字)
• 49% 昨年度比の成長

• 数百万のお客様

• 日本における10万を超えるお客様

• イノベーションのスピード

• ほぼ毎日、機能がリリース
• 2017年は1430回

すぐに使える100以上のサービス

世界に拡大し続けるインフラストラクチャー

バックボーンのネットワークが変わってきている。リージョン間の通信はインターネットに出る前提だったが、リージョン間を内部のネットワークでつなげている

Cloud Journey

12年間 数百万を超えるお客様とのプロジェクトで得た多くの学び

クラスド化へのステップ

ITの進化はビジネスの進化

システムの維持コストの最適化

最適化と共に維持コストは下がる

生産性の向上

多くのプロジェクトで学んだ課題の解決策

クラウドの正しい設計原則

AWS Well-Architected Framework

• 運用姓
• セキュリティ
• 信頼性
• パフォーマンス
• 不要なコストの抑制

AWS Cloud Economics

財務効果＋非財務効果

クラウド知識の集約 - Center of Excellence

トレーニングと資格試験

9個の資格と様々なトレーニング

お客様をサポートするチーム

ソリューションアーキテクトを始めプロフェッショナルサービス、サポート、パートナーなど

AWS Trusted Advisor

• コスト最適化
• パフォーマンス
• セキュリティ
• 耐障害性
• サービスの制限

プロジェクトマネージメントのサポート

MAP（Migration Accelaration Program）

• お客様のビジネスの理解
• アセスメント方針策定
• 移行計画立案
• 移行作業

既存のアーキテクチャに影響を与えない

Amazon Elastic File System

利用量が増えると速度が上がる特性

サポートしているのはNFSv4.1なので現時点ではWindowsをサポートしていない。

クラウドネイティブなアプリケーション開発

従来は計画、開発、実行

クラウドネイティブでは構築、開発、運用監視のサイクル

ビジネスを支えるすべての人にクラウドを

AWS Loft Tokyo 2018年10月オープン予定

目黒駅前にオープン

AWSのアカウントを持っている方は入れる

最適化＆進化

機械学習の今

クラウドによる安価で広大なストレージは従来のデータのあり方を変える

• ビジネス設計
• 製品・サービス設計
• 提供開始
• データ分析

機械学習がさらにそのサイクルを加速させる

クラウドへ接続されるデバイスへの取り組み

• Amazon RTOS
• AWS Greengrass

最後のスライド

BUILD ON あえて意訳すると『やっていこうぜ！』

失敗してもそれはその会社の資産になる。

オンライン セミナー

AWS 認定試験準備ワークショップ

https://pages.awscloud.com/event_JAPAN_certified-sa-associate.html?trk=awseventpage

本来 4 時間 (税別 35,000 円) で提供している内容を約 3 時間 (無料) で提供するセミナーです。

AWS Black Belt Online Seminar

6月のスケジュール( https://pages.awscloud.com/event_JAPAN_BlackBeltOnlineSeminar-201806.html ) 7月のスケジュール( https://pages.awscloud.com/event_JAPAN_BlackBeltOnlineSeminar-201807.html )

AWS イベントやAWS オンラインセミナーで検索してみて下さい

Organization管理者から見た運用管理の話

石井大河 初心者支部メンバー

某自動車メーカー システム部門

• 仕事: クラウドサービスの検証
• 趣味: クラウドサービスの検証

資料は後で公開します。

AWS Summit Tokyo 2018 運用系セッションが多数開催

• Tech系セッション
• ユーザ系セッション

ユーザとしてはサイバーエージェントさんのセッションが面白い

サイバーエージェントさんのセッション

• パブエリッククラウド管理者は2名
• 自由と責任
• 守るところは守る
• 制限とのバランスが難しい

• Trusted Advisor

• CIS Benchmark

AWS Organizations

• マルチアカウント戦略
• アカウント発行
• 落とし穴

マルチアカウント戦略

• 機能分離
• プロジェクトごとの特性
• そもそも組織が大きいのでマルチアカウント/Organizationsになる

AWS Landing Zone マルチアカウント構成のテンプレート

Organizations運用管理

自由度を与えるならエンドユーザのIAMはPowerUserで良い

• 制約をつけたい箇所はSCPでDeny

メンバーアカウントをコマンドで作成できる

Organizationsの落とし穴

マスターアカウントは変更できない

新マスターアカウントから離脱して、新マスターに追加していく

CloudTrail ≒必須項目

ユーザーのアクションをロギング

全アカウント、全リージョンで有効にすべきもの

ログの活用

CloudWatch Logsと連携してアラート通知を行う。rootログインなど。

Elasticsearch Serviceと連携

AthenaとQuickSightでBIという手もある

Config

リソースの構成変更のログを取得

アグリゲータを用いてマルチアカウントでの一元管理が可能になった

Config Rules

Configの取得値をもとにルールを守っているがチェックする

GuardDuty

CloudTrailやVPC Flow Logs、DNS Logから悪意のあるスキャンや攻撃を検知する

通知したいが面倒

GuardDuty Slack通知テンプレートをgithubでAWSが公開

GuardDuty 脅威検知の集約

マスターアカウントにメンバーアカウントの検知結果を集約可能

Organizationsのマスター/メンバーとは別

面倒

GuardDutyを有効にしてメンバーに参加するスクリプトが公開されている

Trusted Advisor

管理者になったら最初に見るもの

無料サポートではセキュリティの一部とサービス制限が対象

ビジネスサポート以上では全部有効

Trusted Advisor Tools

使用率のEC2を止めたり、バックアップのなおEBSのスナップショットを取ったりする

CIS Benchmark

インターネットセキュリティの標準化団体のCISが定めたベスト・プラクティス

CIS Benchmark クイックスタート

テンプレートがあります。

CIS Benchmark チェックリスト

Total 52項目

Insightwatch

CISベンチマーク準拠で診断できる！無料！¹

ちなみに

運用管理を初めて2ヶ月

ミニマムでやること

• セキュリティ/運用の基準を知る
• ログを取る
• アカウント、権限管理を整理する

さいごに

終わりなき運用管理の世界

ぜひ一緒に勉強していきましょう！

ベストプラクティスに学ぶセキュリティ関連サービス

ビットバンク株式会社 吉田　裕貴

好きなサービス: Redshift, DynamoDB, AWS SO

ベストプラクティスに学ぶとは？

AWS FinTech リファレンス・アーキテクチャー

Summitの2日目に丁寧に解説されていました。

リファレンスガイド

目が痛くなりそうなエクセルのPDF

PCI DSSとか言われたらめっさ役に立つ資料

FinTechリファレンステンプレート

リファレンスガイドで書かれた内容のCloudFormationテンプレート

エクセルのPDFはツラいので、テンプレートを見ることをお勧めします。

AWS Config

構成管理の通知など

テンプレートで定義されているルール

デフォルトで用意されているルール以外にもLambdaを使って評価を実装可能

awslabs/aws-config-rules で色々とルールが公開されているので参考に

Amazon GuardDuty

マネージド型の脅威検出サービス

テンプレートでも有効化されています。

手間がかかるものではないので有効化しましょう

CloudTrail

API呼び出しを記録

難点

ちょっと調査しようと思って見られるものではない

KMS

暗号鍵の作成、管理ができる

サービスによってはデフォルト鍵を指定するとオプションを付けるだけで暗号化できる

SSOの話

IAM

rootアカウントは封印しよう MFAは使ってますか アカウントが複数あったらどうしますか？

ユーザー管理について

私のイチオシ

AWS SSO

ログイン時にOTP認証を追加することが可能

Organizations配下のアカウントなら何でもござれ！

一時的なクレデンシャルの払い出し

60分間有効なクレデンシャルを自動で払い出し可能

OrganizationsのマスターアカウントへはDirectory Serviceの機能でログイン可能

IAMユーザーなど滅ぼしてしまえ！！！

告知

27日にAWSのLT大会やります connpassで募集してます。

https://bitbank.connpass.com/event/89737/

さいごに

久しぶりにJAWS-UGの初心者支部の勉強会に参加してきました。『初心者』と銘打っていますが、実際にAWSを運用するときの問題を真剣に考えつつAWS Summitに参加されている方が多い印象を受けました。初心者に必要なものは運用管理を始めやすくすることなのだと改めて認識できました。