[レポート]既存アカウントへのControl Tower追加が可能になる!大規模なAWSのマネジメントとガバナンス #MGT201 #reinvent

こんにちは、臼田です。

今回はre:Invent2019にて行われた下記セッションについてレポートします。

レポートタイトル: AWS Management and Governance at scale

概要: AWS management and governance services can help your organization become and remain agile while enabling you to maintain control over costs, compliance, and security. Join us to hear AWS service leaders discuss their vision and the latest launches from the AWS management and governance teams, including innovations you can leverage now from Amazon CloudWatch, AWS Config, AWS Organizations, AWS Service Catalog, AWS Control Tower, AWS Systems Manager, and much more. We are joined onstage by current AWS customers who discuss how they use management and governance services today.

翻訳: AWSの管理およびガバナンスサービスは、組織が俊敏性を維持し、コスト、コンプライアンス、セキュリティの管理を維持できるようにします。 AWSのサービスリーダーが、ビジョンとAWS管理およびガバナンスチームからの最新のローンチについて議論するのに参加してください。AmazonCloudWatch、AWS Config、AWS Organizations、AWS Service Catalog、AWS Control Tower、AWS Systems Manager、 などなど。 現在、AWSのお客様がステージで参加しており、今日の管理およびガバナンスサービスの使用方法について議論しています。

発表者: David McCann - VP, Migration, Marketplace & Control Services, Amazon Web Services Bob Wilkinson - GM, Amazon CloudWatch, Amazon Web Services Tristan Baker - Chief Architect, Distinguished Engineer, Intuit Data Platform, Intuit

タイトルの通りControl Towerの新機能についても発表がありました!

また、新機能についても多数紹介があります!

資料

資料はこちら(PDF)

動画もあがっています

レポート

イントロダクション

  • マネジメントとガバナンスのスケールについて話す
  • Intuit(社名)のデータレイクのアーキテクトであるTristan Bakerから実例について紹介する
  • 21世紀になり企業の殆どはソフトウェアを利用してビジネスをしている
  • クラウド運用モデルに移行してビジネスを加速させている
  • これまでのソフトウェアではアジリティとガバナンスはどちらか選択していた
  • AWSではこれが両立できる

  • AWSのマネジメントとガバナンスのサービスの一覧、15のサービスを並べている
  • 大きく下記に分類できる
    • Enable: 準備
    • Provision: 展開
    • Operate: 運用

  • サードパーティのツールとも連携できる

  • マーケットプレイスからプロビジョニングしたりできる

Enable(準備)

  • AWSを利用すると非常に沢山の選択肢がある
  • どのように管理していけばいいか
    • ランディングゾーン(Landing Zone)という考え方がある
    • ガードレールで危ない操作をさせないようにする
    • マルチアカウントに展開する
    • SSOを利用して各アカウントにアクセスする

  • これらを行うためのOrganizationsとControl Towerというサービス
    • Organizationsは組織単位でアカウントを管理
    • SCP(サービスコントロールポリシー)でポリシーを一括展開
    • ControlTowerはアカウントのガバナンスをセットアップできる

  • マルチアカウント展開の一例

  • 直近のアップデート
    • Organizations
      • SCP
      • Tagging
    • Control Tower
      • 既存Organizationsへの新規アカウント払い出し(2020 Q1予定)
      • 既存アカウントへのガードレール適用(2020 Q1予定)

Provision(展開)

  • CloudFormationは様々なAWSリソースを展開できる
  • 新しくCloudFormation registryをリリース
    • サードパーティツールのリソースを作成することが可能

  • 12のパートナーがローンチ時から対応している
  • リソースの作成と同じタイミングでサードパーティの監視を追加したりできる

  • Service Catalogはテンプレートを公開できる
  • 一般ユーザが決められた環境を展開できる
  • APIでJiraと連携してワークフローの中で環境を展開する使い方もできる

  • マーケットプレイスはサードパーティ製品の展開ができる
  • ライセンス持ち込みやインクルードでの利用が可能

Demo

  • Jiraからリクエスト
  • Service Catalogからリソースを展開
  • AWS Configで監視できる状態に
  • CloudFormation registryでサードパーティツールの監視設定も追加される
  • CloudWatch Service Lensで可視化できる

Operate(運用)

  • CloudWatchは欠かせないサービス
    • メトリクスとログの収集
    • イベントやダッシュボードなど
  • パートナーエコシステムとの連携も重要

  • CloudWatchのアップデート
    • Container insights(2019 Q3)
      • コンテナの可視性を提供
    • アノマリ検知(2019 Q4)
      • 機械学習でメトリクスのベースラインを確立して異常値を検知
    • クロスアカウント/クロスリージョンダッシュボード(NEW!)
      • 複数のアカウント/リージョンにまたがったダッシュボードが作成できる
    • Contributor insights(NEW!)
      • パフォーマンスに影響を与えている要因を特定

  • CloudWatch ServiceLens(NEW!)
    • アプリケーションのパフォーマンスを可視化
    • X-Rayと連携
    • CloudWatch Syntheticsを利用してカナリアトラフィックを流してモニタリングできる

  • CloudTrail Insight
    • 異常なイベントを機械学習で自動検知

  • AWS Configのアップデート
    • Config rulesでの自動修復
    • Conformance Packs
      • Config Ruleと自動修復をコードで管理・デプロイ
    • AWS外のリソースをConficで管理

  • AWS Systems Managerのアップデート
    • OpsCenter & Explorer
      • Explorerはリソースを一元的に管理できるダッシュボード
      • OpsCenterはリソースの変化を追跡・調査する
    • AppConfig
      • パラメータなどの設定を含めて迅速にアプリケーションを展開する
    • Playbook Automation
      • PowerShell/Pythonスクリプトでプレイブックを作成して展開

Intuitでのデータレイクの展開とガバナンス管理

  • Intuitのデータレイク
    • 165のAWSアカウントで500のデータレイクユーザが利用
    • データドリブンの文化に変わっている

  • AWSのサービスとサードパーティを組み合わせている

  • Intuitで利用しているAWSのマネジメントとガバナンスサービス

  • データレイクはハブアンドスポーク
  • これをどのように管理しているか

  • 自動的に各リソースをプロビジョニング
  • SageMaker/EMRなどはService Catalogで展開

  • Service CatalogのIaC
    • SageMakerはキーの設定、Splunkにロギング、RPMの導入などを行っている
    • EMRにはS3へのアクセス制御やLDAPへの接続など
    • EC2はスケジューリングする

  • SageMakerクラスターの展開例
    • Service Catalogから展開する
    • CloudFormationからLambdaやSageMaker展開
    • CloudWatchから必要な値を追加

  • インパクト
    • プロビジョニングと監視/制御(セキュリティ)を自動化して両立している
    • ものすごく生産性に貢献していることは言うまでもない

感想

AWSの利用が促進されて規模感が大きくなるとマネジメントとガバナンスの課題はとてつもなく大きくなります。

最近は特にマネジメントとガバナンスに関連するサービスアップデートが盛んで、それらを活用してどのように取り組めばいいかがよくまとまっているセッションだったので非常に面白かったです。

実際にデータレイクとして利用している環境での利用例の話もあり参考になりましたね。

Control Towerはより全体管理が楽になるサービスなので今後のアップデートも注目です!

他の新機能もガンガン使っていきたいですね!