[レポート]既存アカウントへのControl Tower追加が可能になる！大規模なAWSのマネジメントとガバナンス #MGT201 #reinvent

Control Towerを既存環境に適用できるアップデートの話がありました。マネジメントとガバナンスのサービスの新機能紹介と事例を盛り込んだよくばりセットなセッションです。

AWS re:Invent 2019

臼田佳祐

2020.01.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

今回はre:Invent2019にて行われた下記セッションについてレポートします。

レポートタイトル: AWS Management and Governance at scale

概要: AWS management and governance services can help your organization become and remain agile while enabling you to maintain control over costs, compliance, and security. Join us to hear AWS service leaders discuss their vision and the latest launches from the AWS management and governance teams, including innovations you can leverage now from Amazon CloudWatch, AWS Config, AWS Organizations, AWS Service Catalog, AWS Control Tower, AWS Systems Manager, and much more. We are joined onstage by current AWS customers who discuss how they use management and governance services today.

翻訳: AWSの管理およびガバナンスサービスは、組織が俊敏性を維持し、コスト、コンプライアンス、セキュリティの管理を維持できるようにします。 AWSのサービスリーダーが、ビジョンとAWS管理およびガバナンスチームからの最新のローンチについて議論するのに参加してください。AmazonCloudWatch、AWS Config、AWS Organizations、AWS Service Catalog、AWS Control Tower、AWS Systems Manager、などなど。現在、AWSのお客様がステージで参加しており、今日の管理およびガバナンスサービスの使用方法について議論しています。

発表者: David McCann - VP, Migration, Marketplace & Control Services, Amazon Web Services Bob Wilkinson - GM, Amazon CloudWatch, Amazon Web Services Tristan Baker - Chief Architect, Distinguished Engineer, Intuit Data Platform, Intuit

タイトルの通りControl Towerの新機能についても発表がありました！

また、新機能についても多数紹介があります！

資料

資料はこちら(PDF)

動画もあがっています

レポート

イントロダクション

マネジメントとガバナンスのスケールについて話す
Intuit(社名)のデータレイクのアーキテクトであるTristan Bakerから実例について紹介する
21世紀になり企業の殆どはソフトウェアを利用してビジネスをしている
クラウド運用モデルに移行してビジネスを加速させている
これまでのソフトウェアではアジリティとガバナンスはどちらか選択していた
AWSではこれが両立できる

AWSのマネジメントとガバナンスのサービスの一覧、15のサービスを並べている
大きく下記に分類できる
- Enable: 準備
- Provision: 展開
- Operate: 運用

サードパーティのツールとも連携できる

マーケットプレイスからプロビジョニングしたりできる

Enable(準備)

AWSを利用すると非常に沢山の選択肢がある
どのように管理していけばいいか
- ランディングゾーン(Landing Zone)という考え方がある
- ガードレールで危ない操作をさせないようにする
- マルチアカウントに展開する
- SSOを利用して各アカウントにアクセスする

これらを行うためのOrganizationsとControl Towerというサービス
- Organizationsは組織単位でアカウントを管理
- SCP(サービスコントロールポリシー)でポリシーを一括展開
- ControlTowerはアカウントのガバナンスをセットアップできる

マルチアカウント展開の一例

直近のアップデート
- Organizations
  - SCP
  - Tagging
- Control Tower
  - 既存Organizationsへの新規アカウント払い出し(2020 Q1予定)
  - 既存アカウントへのガードレール適用(2020 Q1予定)

Provision(展開)

CloudFormationは様々なAWSリソースを展開できる
新しくCloudFormation registryをリリース
- サードパーティツールのリソースを作成することが可能

12のパートナーがローンチ時から対応している
リソースの作成と同じタイミングでサードパーティの監視を追加したりできる

Service Catalogはテンプレートを公開できる
一般ユーザが決められた環境を展開できる
APIでJiraと連携してワークフローの中で環境を展開する使い方もできる

マーケットプレイスはサードパーティ製品の展開ができる
ライセンス持ち込みやインクルードでの利用が可能

Demo

Jiraからリクエスト
Service Catalogからリソースを展開
AWS Configで監視できる状態に
CloudFormation registryでサードパーティツールの監視設定も追加される
CloudWatch Service Lensで可視化できる

Operate(運用)

CloudWatchは欠かせないサービス
- メトリクスとログの収集
- イベントやダッシュボードなど
パートナーエコシステムとの連携も重要

CloudWatchのアップデート
- Container insights(2019 Q3)
  - コンテナの可視性を提供
- アノマリ検知(2019 Q4)
  - 機械学習でメトリクスのベースラインを確立して異常値を検知
- クロスアカウント/クロスリージョンダッシュボード(NEW!)
  - 複数のアカウント/リージョンにまたがったダッシュボードが作成できる
- Contributor insights(NEW!)
  - パフォーマンスに影響を与えている要因を特定

CloudWatch ServiceLens(NEW!)
- アプリケーションのパフォーマンスを可視化
- X-Rayと連携
- CloudWatch Syntheticsを利用してカナリアトラフィックを流してモニタリングできる

CloudTrail Insight
- 異常なイベントを機械学習で自動検知

AWS Configのアップデート
- Config rulesでの自動修復
- Conformance Packs
  - Config Ruleと自動修復をコードで管理・デプロイ
- AWS外のリソースをConficで管理

AWS Systems Managerのアップデート
- OpsCenter & Explorer
  - Explorerはリソースを一元的に管理できるダッシュボード
  - OpsCenterはリソースの変化を追跡・調査する
- AppConfig
  - パラメータなどの設定を含めて迅速にアプリケーションを展開する
- Playbook Automation
  - PowerShell/Pythonスクリプトでプレイブックを作成して展開