SlideShare une entreprise Scribd logo
1  sur  45
Télécharger pour lire hors ligne
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS の Management & Governance
サービスアップデート (2021/01-07)
アマゾン ウェブ サービス ジャパン 株式会社
シニアソリューションアーキテクト
大村 幸敬
2021年07月26日
© 2021, Amazon Web Services, Inc. or its Affiliates.
アジェンダ
1.はじめに
2.AWS Management and Governance サービス
・Set up Governance
・Enable compliance
・Provision & orchestrate
・Monitor & observe
・Centralize operations
3.まとめ
4.NEXT STEPS
2
© 2021, Amazon Web Services, Inc. or its Affiliates.
1.はじめに
3
© 2021, Amazon Web Services, Inc. or its Affiliates.
ビルダーとIT管理部門の要求におけるバランス
ビルダー
開発速度の向上
AWSがもたらす
スピード
IT管理部門
ガバナンス確立
大規模な一元管理
4
© 2021, Amazon Web Services, Inc. or its Affiliates.
アジリティ
セルフサービス
迅速な実験
修復の自働化
変化への迅速な対応
アジリティとガバナンスのコントロール
ガバナンス
セキュリティ
コンプライアンス
運用管理
5
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Management and Governance サービス
Enable
compliance
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
AWS
License Manager
AWS
Config
AWS
CloudTrail
AWS Distro
for OpenTelemetry
NEW!
Amazon Managed
Service for Grafana
NEW!
AWS
Service Catalog
AWS
Marketplace
Amazon
CloudWatch
AWS
X-Ray
AWS Systems
Manager
AWS
CloudFormation
AWS
Control Tower
AWS
Organizations
AWS
Budgets
AWS Well-
Architected Tool
AWS
Proton
NEW!
AWS
Managed Services
AWS
Cost Explorer
Amazon Managed
Service for
Prometheus
NEW!
AWS Cost and
Usage Report
AWS
Audit Manager
NEW!
6
© 2021, Amazon Web Services, Inc. or its Affiliates.
2.AWS Management and Governance サービス
1. Set up Governance
2. Enable compliance
3. Provision & orchestrate
4. Monitor & observe
5. Centralize operations
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Organizations
AWS リソースの増加に合わせて、環境を一元的に管理し、統制
・権限制御 Service Control Policy(SCP)
・一括請求 コンソリデーティッドビリング
Enable
compliance
Management and Governance サービス
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
AWS Control Tower
セキュアで事前設定済みのAWSアカウントを提供する仕組み
・ガードレール設置、アカウント発行機能、ダッシュボード
AWS Security Hub
セキュリティアラートの一元的な表示およ
び管理を行い、セキュリティチェックを自
動化
Amazon GuardDuty
インテリジェントな脅威検出と継続的な
モニタリングで AWS のアカウント、
ワークロード、データを保護
AWS
Control Tower
AWS
Organizations
Amazon
GuardDuty
AWS
Security Hub
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Organizations
AWS リソースの増加に合わせて、環境を一元的に管理し、統制
・権限制御 Service Control Policy(SCP)
・一括請求 コンソリデーティッドビリング
Enable
compliance
Management and Governance サービス
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
AWS Control Tower
セキュアで事前設定済みのAWSアカウントを提供する仕組み
・アカウント発行機能、ガードレール設置、ダッシュボード
AWS Security Hub
セキュリティアラートの一元的な表示およ
び管理を行い、セキュリティチェックを自
動化
Amazon GuardDuty
インテリジェントな脅威検出と継続的な
モニタリングで AWS のアカウント、
ワークロード、データを保護
AWS
Control Tower
AWS
Organizations
Amazon
GuardDuty
AWS
Security Hub
ガードレール 大事な概念なのでもう一度・・・
• 実施してはいけない操作の禁止、危険な設定の監視を自動的に行うしくみ
• 審査プロセスにより立ち止まり検査するのではなく、ルールを逸脱する行為をリアルタイムで
チェックする仕組みを設けることにより、セキュリティとアジリティを両立する考え方
© 2021, Amazon Web Services, Inc. or its Affiliates.
ControlTowerも含めたマルチアカウント管理の最新情報
ControlTowerの新機能
• 東京リージョン対応
• 管理対象リージョンの指定
• Customization for
ControlTower
SecurityHubの新機能
• AWS Foundational Security
Best Practiceは5月と6月で計41
のコントロールを追加
https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online
© 2021, Amazon Web Services, Inc. or its Affiliates.
Management and Governance サービス
AWS
Config
AWS
CloudTrail
AWS CloudTrail
アカウントアクティビティをログに記録し、継続的に監視
AWS Config
AWS リソースの構成情報や設定を継続的にモニタリングおよび記録し、評価を自動的に実行
AWS Audit Manager
AWS の使用状況を継続的に監査して、従来手動で行われていた証跡収集作業を削減
Enable
compliance
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
(2020/12-)
AWS Audit
Manager
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Config
AWS リソースの構成情報や設定を継続的にモニタリングおよび記録し、評価を自動的に実行
・AWSリソースの構成情報、変更履歴を記録 [New: コンテナサービスをサポート]
・構成情報を定期的にスナップショットとして保存
・必要に応じAmazon SNS(Simple Notification Service)を使った通知も可能
【Config Rules】
・構成情報を元に、現在のシステムがあるべき状態になっているか評価できる
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Config 適合パック (Conformance Pack)
設定管理のための共通コンプライアンスフレームワーク
• 複数の Config Rules と修復アクションをまとめて用途に応じてパッケージ化
• 単一AWSアカウント、AWS Organizations の組織全体に対して適用可能
• 不変性(immutable)
サンプルテンプレート
• テンプレートを使用すると、
FedRAMP、HIPAA、PCI DSS など、
AWS のベストプラクティスおよび規
制基準に適合した適合パックをすば
やく使い始められる
• 2021年7月時点で50以上のサンプル
テンプレートが利用可能
適合パック
用途に応じてパッケージ化
© 2021, Amazon Web Services, Inc. or its Affiliates.
【お客様のメリット】
・監査証跡の収集を手作業で行う手間を削減し、監査対応のレポートを短時間で生成できる
【監査人のメリット】
・監査証跡の収集を手作業で行う手間を削減
・監査証跡の真正性が Audit Manager により担保される
・リアルタイムに近い形で最新の証跡を取得できる
AWS Audit Manager
AWS の使用状況を継続的に監査して、従来手動で行われていた証跡収集作業を削減
・AWSの使用状況を継続的に監査することにより
リスクアセスメントや規制、
業界標準への準拠確認をサポート
・CIS AWS Foundations BenchmarkやGDPR、
PCI DSSについて事前定義フレームワークを
提供し、AWS上の監査証跡を自動で収集
AWS CloudTrail
AWS Audit Manager
AWS Config
AWS Security Hub
Amazon Simple
Storage Service (S3)
AWS Identity &
Access Management
Amazon VPC
評価レポート
Amazon Simple
Notification Service
証跡の収集 アセスメント/ 評価の実行
Amazon Simple
Storage Service (S3)
フレームワーク
コントロール
評価レポートとエ
ビデンスの保管
AWS Audit Manager
証跡の収集 アセスメント/評価の実行
フレームワーク
コントロール
評価レポートと
エビデンスの保管
評価レポート
© 2021, Amazon Web Services, Inc. or its Affiliates.
【デモ】AWS Config 適合パック+AWS Audit manager
企業のプロフィール
社内
アプリケーション
公的契約処理
アプリケーション
健康管理
アプリケーション
支払処理
アプリケーション
医療機器販売会社
クレジットカード情報を取り扱う
クラウド
管理者
FedRAMP
HIPAA
PCI DSS
CMMC Levels 1–5
FFIEC
Control Tower Detective Guardrails
NIST 800-53
NYDFS 23
APRA CPG 234
CIS Top 20
他にも40種類以上をご用意
AWS Audit Manager
継続的に証拠を収集し、
監査可能なレポートを作成
できるようにする
AWS Config Rules(ルール)
AWSの環境が指定したルールに適合しているかどうかを「検知」する仕組み
適合パック
目的別に複数の Config Rules と修復アクションをパッケージ化して、まとめて適用できるように
AWS Audit Manager
Config Rules 等で収集した情報を元に、監査レポートの作成をサポートするサービス
AWS Config
適合パック
© 2021, Amazon Web Services, Inc. or its Affiliates.
Management and Governance サービス
AWS CloudFormation Modules
AWS CloudFormationにおいて再利用可能な部品をModuleと
して定義し、再利用性を高めることができる
AWS CloudFormation
Infrastructure as Code で AWS 及び サードパーティの
システムプロビジョニングを高速化
AWS Service Catalog
AWSサービスのカタログを作成および管理し、組織で利用できるようにする
AWS Marketplace
8,000 を超えるサードパーティ―アプリケーションの実行
Enable
compliance
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
AWS
CloudFormation
AWS
Service Catalog
AWS
Marketplace
AWS Proton
コンテナおよびサーバーレスアプリケーション向けの
アプリケーションデプロイサービス
AWS
Proton
© 2021, Amazon Web Services, Inc. or its Affiliates.
CloudFormation 関連の新機能 (2020/12-2021/07)
• パブリックレジストリ
• StackSetsを使って複数のリージョンでスタックの同時デプロイが可能に
• アカウントごとに作成できるスタックの数が200→2000へ拡張
• CloudFormation Guard 2.0 がGA
• AWS CDK v2 preview
• AWS CDK Go preview
17
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Proton
• コンテナとサーバレスのためのアプリケーションデプロイサービス
• 基盤チームはProtonを利用してインフラの設定やコードのデプロイ、モニタリ
ング、更新に必要な様々なツールをセットアップできる
• 数百、数千のマイクロサービスのインフラとCI/CDを構成し維持することは
負担が大きく、それを効率化するための方法を提供する
• 2021/06 GA
© 2021, Amazon Web Services, Inc. or its Affiliates.
Management and Governance サービス
Amazon
CloudWatch
AWS
X-Ray
Amazon CloudWatch
AWS とオンプレミスにおける
モニタリング/オブザーバビリティサービス
AWS X-Ray
分散アプリケーションの分析およびデバッグ
Amazon CloudWatch Lambda Insights
• Lambda Functionのパフォーマンス監視やトラブルシュート、
最適化を可能にする機能
• Functionに関するメトリクスを自動的にダッシュボードにと
りまとめ、メモリリークや新バージョンのデプロイによる性
能変化を可視化できる
Enable
compliance
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
AWS CloudWatchのビジュアライズ強化
© 2021, Amazon Web Services, Inc. or its Affiliates.
CloudWatchのアップデート (2020/12-2021/07)
• Metric Mathに14種類の関数が追加
• CloudWatch Resource Healthのリリース
20
© 2021, Amazon Web Services, Inc. or its Affiliates.
Working with the
open source
community
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Distro for OpenTelemetry
AWS によりサポートされるOpenTelemetryのオープンソースディストリビューション
https://aws-otel.github.io/
CW AgentがOpenTelemetryのAPIとSDKをサポート (2021/01)
© 2021, Amazon Web Services, Inc. or its Affiliates.
・PromQLを利用して、インフラを管理することなく
AWSまたはオンプレのコンテナワークロードを監視できる
・ワークロードの拡大縮小に応じて自動的にスケーリング
AZをまたいだレプリケーションもサポート
・IAMによるアクセス権限制御や、PrivateLinkによるセキュアな
アクセスを提供。API呼び出しはCloudTrailで記録される。
・サービス検出・メトリック収集にAWS Distro for OpenTelemetry
が利用可能。また、Amazon Managed Service for Grafana
との連携によるリッチなデータ可視化も
Amazon Managed Service for Prometheus(AMP)
コンテナ環境向けのモニタリングとアラーティングのマネージドサービス
In preview
© 2021, Amazon Web Services, Inc. or its Affiliates.
Amazon Managed Service for Grafana(AMG)
Grafana Labsと連携して開発された、フルマネージドなデータ可視化サービス
・複数のデータソースからのメトリックやログを視覚化できる
・Grafanaサーバの構築、スケーリング、パッチ適用などのメンテナンスは
AWSが実施。サーバ運用の手間をオフロードできる
・AWS SSOと統合されており、ユーザ毎にアクセスできるダッシュボードと
データソースにシームレスなアクセスが可能
・AWSアカウントとリソースの検出機能
・APIを利用して既存のGrafana環境からクエリとダッシュボードを
インポート可能
In preview
参考: Amazon Managed Service for Grafana を始めよう
https://aws.amazon.com/jp/blogs/news/amazon-managed-grafana-getting-started/
© 2021, Amazon Web Services, Inc. or its Affiliates.
AMP & AMG セットアップ例
HTTP
APIs –
query
Amazon
S3
Collectors
HTTP APIs
– remote
write
server
IAM proxy
AWS Distro for
OpenTelemetry
Amazon
Managed Service
for Grafana
(AMG)
Amazon Managed Service for Prometheus(AMP)
Workspace
Querier
Ingester
Grafana
Prometheus
© 2020, Amazon Web Services, Inc. or its Affiliates.
Monitoring options
Observability
Instrumentation
Insights
Container
Insights
Synthetics
Lambda
Insights
Amazon CloudWatch ServiceLens
CloudWatch
Logs
CloudWatch
metrics
AWS X-Ray
CloudWatch
agent
Contributor
Insights
Amazon Managed Service for Grafana
Do itYourself (DIY)
X-Ray
agent
Amazon
Elasticsearch
Service - Logs
AWS X-Ray
Amazon Managed
Service for
Prometheus
Jaeger
CloudWatch
Logs
CloudWatch
metrics
AWS Distro for OpenTelemetry
© 2021, Amazon Web Services, Inc. or its Affiliates.
Management and Governance サービス
AWS Systems
Manager
Enable
compliance
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
アプリケーションリソースを
グループ化し、一元管理を実現
アプリケーション管理
メンテナンス/デプロイ
タスクを自動化
変更管理
運用に必要なデータを
ダッシュボードとして提供
運用管理
AWSリソース、オンプレミス
Windows & Linuxの管理
ノード管理
運用を効率化するコックピット
可視化 アプリケーション指向 自動化 スケーラブル
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Systems Manager の機能(1/2)
クイックセットアップ インスタンスをSSMで管理するよう自動構成
Explorer 運用アイテム情報のダッシュボード
OpsCenter 運用アイテム(対応が必要なイベント)の管理
Incident Manager インシデントハンドリングを総合的に管理・支援
アプリケーションマネー
ジャー
アプリケーションを構成するAWS上のリソースを一元
的に管理
リソースグループ タグによるサーバ群のグループ管理
AppConfig アプリケーション設定(機能フラグ等)の管理
パラメータストア 設定パラメータの集中管理用データストア
変更マネージャー システムの構成変更管理に必要な、申請、承認、実装、
結果というワークフローを簡素化
Automation AWS環境全体に対する自動化処理の実行
Change Calendar 実行可否を制御するカレンダー
メンテナンスウィンドウ 自動化処理のスケジュールと順序の管理
運用管理
アプリケーション管理
変更管理
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Systems Manager の機能(2/2)
ノード管理
共有リソース
フリートマネージャー ビジュアルUIでLinux、Windows、macOSのサーバ群
を管理する
コンプライアンス コンプライアンスの適合状態ダッシュボード
インベントリ サーバ構成情報のインベントリを閲覧する
マネージドインスタンス SSM管理対象のサーバ一覧
ハイブリッド
アクティベーション
オンプレミスサーバをSSM管理下に入れる
セッションマネージャー SSMを使ったサーバへリモートアクセスする
Run Command サーバ群の上でコマンドを実行する
ステートマネージャー サーバ群の構成を指定した状態に維持する
パッチマネージャー サーバ群に指定ルールに基づきパッチを適用する
ディストリビューター サーバ群にパッケージをインストールする
ドキュメント SSMで実行する処理を記述したドキュメント
© 2021, Amazon Web Services, Inc. or its Affiliates.
30
AWS Systems Manager 全体像
AWS および オンプレミス のサーバー群を管理する多機能なツールセット
スケジューリング
構成検証・監査
オペレーション(操作)
ログ/メトリクス
CloudWatch
SSM
Maintenance
Window
CloudWatch
Events
SSM
State Manager
SSM
Inventory
SSM
Patch Manager
SSM
Session Manager
SSM
RunCommand
SSM
Automation
SSM
Distributor
対話型アクセス
Logs Metrics
ランブック実行 スクリプト実行
パッケージ配布
EC2インスタンス群
SSM
Change
Calendar
設定/ドキュメント
SSM OpsCenter
Dashboard/作業管理
SSM
Parameter
Store
SSM
Document
要対応作業
確認
インベントリ
情報
OS
パッチ
適用
定期
Automation
実行
SSM Agent
(SSMマネージド
インスタンス化の前提)
SSM Explorer
マネージド
ノード概観
SSM
Compliance
Compliance
準拠情報
SSM
Fleet Manager
SSM
Change
Manager
OS内
情報
管理された
変更操作
エンジニア
インシデント管理
SSM
Incident Manager
インシデント
対応
© 2021, Amazon Web Services, Inc. or its Affiliates.
31
Incident Manager
インシデント
OpsCenter
SSM Incident Manager (2021/05-)
インシデントハンドリング(オンコール呼び出し、トリアージ対応、事後分析)
を総合的に管理・支援するフルマネージドサービス (※UIはAWS管理コンソール)
運用担当者
対応プランを
手動開始
EventBridge
(ルールターゲット)
対応プラン
開始
n分後 n分後
事象
メトリクス
アラーム
マニュアル
対応
対応プラン
インシデント詳細
自動作成
(親)
OpsItem
対応プランを
自動呼び出し
エンゲージ先
ランブック参照先
SSM Automation
インシデント作成時
に指定ランブック
を自動実行
連絡先 or エスカレーションプラン
メール SMS 電話
Chatbot
Chime
Slack
Chatチャネル
自動作成
参照
AWS Chatbotへ
インシデント発生通知
Stage:1 Stage:2 Stage:3
タイムライン 関連メトリクス
関連項目
CloudWatch
(Metrics)
!
インシデント作成後、
指定時間の経過に応じて順次連絡
(手段:メール/SMS/電話)
CloudWatch
(Alarmアクション)
(SNSトピック経由)
影響/状態
分析(解決後)
参照
オンコール対応者
& SME
© 2021, Amazon Web Services, Inc. or its Affiliates.
SSM Incident Managerについてはこちら
https://www.slideshare.net/AmazonWebServicesJapan/20210625-jawsug-249527542
© 2021, Amazon Web Services, Inc. or its Affiliates.
・タグやリソースグループ、CloudFormationスタックを選択して
アプリケーションの構成要素を定義
・アプリケーションの視点でアラーム、運用上の問題、ログなどを
ダッシュボードに一括表示できる
・問題に対処するための操作一式を定義したAutomation Runbookを
作成しておけば、画面上でRunbookを呼び出すことで調査・修復を
容易に実行可能
AWS Systems Manager アプリケーションマネージャー
I N T R O D U C I N G
アプリケーションを構成するAWS上のリソースを一元的に管理する
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Systems Manager 変更マネージャー
クラウドとオンプレミスの変更管理
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Systems Manager フリートマネージャー
AWS Systems ManagerのUIから、Linux、Windows、macOSのサーバ群を管理するビ
ジュアルツールを提供
・SSHやRDPで個別にサーバに接続することなく、
AWSのコンソールからサーバ群の管理作業を実行可能
・ファイルシステムの参照やユーザ管理、パフォーマンスカウンタの
チェック、Windowsのレジストリ操作などに対応
・管理対象サーバはEC2に限らず、Systems Managerエージェント
が
導入されていれば、オンプレにあるサーバも管理可能
© 2021, Amazon Web Services, Inc. or its Affiliates.
おまけ
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Chatbot - Event Rulesへの対応
長期的な方針検討に必要な情報
イテレーション(2weekなど)ごとに確認
必要な時に時系列で見れればよい
CloudWatch
Metrics
CloudWatch Alarm
Slack #citical
EventBridge
(CloudWatch Events)
CloudWatch Eventsが
対応する
200以上のサービス群
Developer
Services
AWS Budget
CloudFormation Slack #info
AWS
Chatbot
Slack #error
放置するとSLOに影響する
平日の朝夕に確認して
その日に対応方針を決めれば良い
SLOに影響が出ている
即時確認と対応が必要
SNS Topic
(Chatbot用)
独自フォーマットが必
要なサービス
ストック情報は
Wikiやチケットに記録
AWSChatbot個別対応サービス
37
© 2021, Amazon Web Services, Inc. or its Affiliates.
テクノロジーパートナーソリューション
© 2021, Amazon Web Services, Inc. or its Affiliates.
3.まとめ
© 2021, Amazon Web Services, Inc. or its Affiliates.
まとめ
Enable
compliance
Set up
governance
Provision &
orchestrate
Centralize
operations
Monitor &
observe
AWSアカウントの構成、ガバナンスをどのように確立していくかの枠組み
禁止すべき行為は予防的ガードレール(AWS Organizations SCP)で防ぐ
コンプライアンスを実装
・発見的ガードレール(AWS Config Rules)/ 適合パックで素早く導入
ビルダーの自由を意識し、ガバナンスコントロールと開発のスピードを両立
・AWS Audit Manager で監査対応を支援
環境のプロビジョニング、オーケストレーション
・Infrastracture as Code、テンプレートというクラウドならではのリソース管理手段
モニタリング、オブザーバビリティ
・アプリケーションの正常性、またサービスに影響が出ていないことの観測が重要に
・オブザーバビリティを実現する CloudWatch に加えて新マネジメントサービスの追加
運用を効率化するコックピット
・AWS Systems Manager
・可視化 / アプリケーション指向 / 自動化 / スケーラブル
© 2021, Amazon Web Services, Inc. or its Affiliates.
4.NEXT STEPS
© 2021, Amazon Web Services, Inc. or its Affiliates.
参考情報
• AWS Management & Governance Blog
• https://aws.amazon.com/jp/blogs/mt/
• AWS Open Source Blog (category: Management & Governance)
• https://aws.amazon.com/jp/blogs/opensource/category/management-and-governance/
• Management & Governance サービスブログ(日本語)
• https://aws.amazon.com/jp/blogs/news/category/management-tools
42
© 2021, Amazon Web Services, Inc. or its Affiliates.
NEXT STEPS
https://observability.workshop.aws/ja/ https://ssm-basic-handson.workshop.aws/
https://ssm-inventory-visualize.workshop.aws/
・ハンズオンでAWS Management and Governance サービスをぜひご体験下さい!
© 2021, Amazon Web Services, Inc. or its Affiliates.
NEXT STEPS
https://controltower.aws-management.tools/ja/immersionday/
・ハンズオンでAWS Management and Governance サービスをぜひご体験下さい!
https://controltower.aws-management.tools/immersionday/
(英語版: ラボが多いです)
© 2021, Amazon Web Services, Inc. or its Affiliates.
Thank You

Contenu connexe

Plus de Amazon Web Services Japan

202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...Amazon Web Services Japan
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operationsAmazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報Amazon Web Services Japan
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをなAmazon Web Services Japan
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPNAmazon Web Services Japan
 
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)Amazon Web Services Japan
 
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法Amazon Web Services Japan
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤Amazon Web Services Japan
 
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデートAmazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
Tealium+AWS Analytics サービスで実現する Customer Experience(CX)
Tealium+AWS Analytics サービスで実現する Customer Experience(CX)Tealium+AWS Analytics サービスで実現する Customer Experience(CX)
Tealium+AWS Analytics サービスで実現する Customer Experience(CX)Amazon Web Services Japan
 
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介Amazon Web Services Japan
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAmazon Web Services Japan
 

Plus de Amazon Web Services Japan (20)

202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
 
20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)20211109 bleaの使い方(基本編)
20211109 bleaの使い方(基本編)
 
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
 
AWS の IoT 向けサービス
AWS の IoT 向けサービスAWS の IoT 向けサービス
AWS の IoT 向けサービス
 
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
AWS IoT Coreを オンプレミス環境と使う際の アーキテクチャ例 (AWS IoT Deep Dive #5)
 
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
AWS IoT SiteWise のご紹介 (AWS IoT Deep Dive #5)
 
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
製造装置データ収集の選択肢 (AWS IoT Deep Dive #5)
 
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
IoT@Loft#20 - IoTプラットフォームを進化さ せるAWSの活用方法
 
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
202106 AWS Black Belt Online Seminar 小売現場のデータを素早くビジネス に活用するAWSデータ基盤
 
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
 
02B_AWS IoT Core for LoRaWANのご紹介
02B_AWS IoT Core for LoRaWANのご紹介02B_AWS IoT Core for LoRaWANのご紹介
02B_AWS IoT Core for LoRaWANのご紹介
 
01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート01_2021年上半期 AWS IoT サービスアップデート
01_2021年上半期 AWS IoT サービスアップデート
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
 
Tealium+AWS Analytics サービスで実現する Customer Experience(CX)
Tealium+AWS Analytics サービスで実現する Customer Experience(CX)Tealium+AWS Analytics サービスで実現する Customer Experience(CX)
Tealium+AWS Analytics サービスで実現する Customer Experience(CX)
 
データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介データ活用を加速するAWS分析サービスのご紹介
データ活用を加速するAWS分析サービスのご紹介
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
 

[20210726] [Ops-JAWS] AWSのManagement&Governanceサービスアップデート

  • 1. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS の Management & Governance サービスアップデート (2021/01-07) アマゾン ウェブ サービス ジャパン 株式会社 シニアソリューションアーキテクト 大村 幸敬 2021年07月26日
  • 2. © 2021, Amazon Web Services, Inc. or its Affiliates. アジェンダ 1.はじめに 2.AWS Management and Governance サービス ・Set up Governance ・Enable compliance ・Provision & orchestrate ・Monitor & observe ・Centralize operations 3.まとめ 4.NEXT STEPS 2
  • 3. © 2021, Amazon Web Services, Inc. or its Affiliates. 1.はじめに 3
  • 4. © 2021, Amazon Web Services, Inc. or its Affiliates. ビルダーとIT管理部門の要求におけるバランス ビルダー 開発速度の向上 AWSがもたらす スピード IT管理部門 ガバナンス確立 大規模な一元管理 4
  • 5. © 2021, Amazon Web Services, Inc. or its Affiliates. アジリティ セルフサービス 迅速な実験 修復の自働化 変化への迅速な対応 アジリティとガバナンスのコントロール ガバナンス セキュリティ コンプライアンス 運用管理 5
  • 6. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Management and Governance サービス Enable compliance Set up governance Provision & orchestrate Centralize operations Monitor & observe AWS License Manager AWS Config AWS CloudTrail AWS Distro for OpenTelemetry NEW! Amazon Managed Service for Grafana NEW! AWS Service Catalog AWS Marketplace Amazon CloudWatch AWS X-Ray AWS Systems Manager AWS CloudFormation AWS Control Tower AWS Organizations AWS Budgets AWS Well- Architected Tool AWS Proton NEW! AWS Managed Services AWS Cost Explorer Amazon Managed Service for Prometheus NEW! AWS Cost and Usage Report AWS Audit Manager NEW! 6
  • 7. © 2021, Amazon Web Services, Inc. or its Affiliates. 2.AWS Management and Governance サービス 1. Set up Governance 2. Enable compliance 3. Provision & orchestrate 4. Monitor & observe 5. Centralize operations
  • 8. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Organizations AWS リソースの増加に合わせて、環境を一元的に管理し、統制 ・権限制御 Service Control Policy(SCP) ・一括請求 コンソリデーティッドビリング Enable compliance Management and Governance サービス Set up governance Provision & orchestrate Centralize operations Monitor & observe AWS Control Tower セキュアで事前設定済みのAWSアカウントを提供する仕組み ・ガードレール設置、アカウント発行機能、ダッシュボード AWS Security Hub セキュリティアラートの一元的な表示およ び管理を行い、セキュリティチェックを自 動化 Amazon GuardDuty インテリジェントな脅威検出と継続的な モニタリングで AWS のアカウント、 ワークロード、データを保護 AWS Control Tower AWS Organizations Amazon GuardDuty AWS Security Hub
  • 9. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Organizations AWS リソースの増加に合わせて、環境を一元的に管理し、統制 ・権限制御 Service Control Policy(SCP) ・一括請求 コンソリデーティッドビリング Enable compliance Management and Governance サービス Set up governance Provision & orchestrate Centralize operations Monitor & observe AWS Control Tower セキュアで事前設定済みのAWSアカウントを提供する仕組み ・アカウント発行機能、ガードレール設置、ダッシュボード AWS Security Hub セキュリティアラートの一元的な表示およ び管理を行い、セキュリティチェックを自 動化 Amazon GuardDuty インテリジェントな脅威検出と継続的な モニタリングで AWS のアカウント、 ワークロード、データを保護 AWS Control Tower AWS Organizations Amazon GuardDuty AWS Security Hub ガードレール 大事な概念なのでもう一度・・・ • 実施してはいけない操作の禁止、危険な設定の監視を自動的に行うしくみ • 審査プロセスにより立ち止まり検査するのではなく、ルールを逸脱する行為をリアルタイムで チェックする仕組みを設けることにより、セキュリティとアジリティを両立する考え方
  • 10. © 2021, Amazon Web Services, Inc. or its Affiliates. ControlTowerも含めたマルチアカウント管理の最新情報 ControlTowerの新機能 • 東京リージョン対応 • 管理対象リージョンの指定 • Customization for ControlTower SecurityHubの新機能 • AWS Foundational Security Best Practiceは5月と6月で計41 のコントロールを追加 https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online
  • 11. © 2021, Amazon Web Services, Inc. or its Affiliates. Management and Governance サービス AWS Config AWS CloudTrail AWS CloudTrail アカウントアクティビティをログに記録し、継続的に監視 AWS Config AWS リソースの構成情報や設定を継続的にモニタリングおよび記録し、評価を自動的に実行 AWS Audit Manager AWS の使用状況を継続的に監査して、従来手動で行われていた証跡収集作業を削減 Enable compliance Set up governance Provision & orchestrate Centralize operations Monitor & observe (2020/12-) AWS Audit Manager
  • 12. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Config AWS リソースの構成情報や設定を継続的にモニタリングおよび記録し、評価を自動的に実行 ・AWSリソースの構成情報、変更履歴を記録 [New: コンテナサービスをサポート] ・構成情報を定期的にスナップショットとして保存 ・必要に応じAmazon SNS(Simple Notification Service)を使った通知も可能 【Config Rules】 ・構成情報を元に、現在のシステムがあるべき状態になっているか評価できる
  • 13. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Config 適合パック (Conformance Pack) 設定管理のための共通コンプライアンスフレームワーク • 複数の Config Rules と修復アクションをまとめて用途に応じてパッケージ化 • 単一AWSアカウント、AWS Organizations の組織全体に対して適用可能 • 不変性(immutable) サンプルテンプレート • テンプレートを使用すると、 FedRAMP、HIPAA、PCI DSS など、 AWS のベストプラクティスおよび規 制基準に適合した適合パックをすば やく使い始められる • 2021年7月時点で50以上のサンプル テンプレートが利用可能 適合パック 用途に応じてパッケージ化
  • 14. © 2021, Amazon Web Services, Inc. or its Affiliates. 【お客様のメリット】 ・監査証跡の収集を手作業で行う手間を削減し、監査対応のレポートを短時間で生成できる 【監査人のメリット】 ・監査証跡の収集を手作業で行う手間を削減 ・監査証跡の真正性が Audit Manager により担保される ・リアルタイムに近い形で最新の証跡を取得できる AWS Audit Manager AWS の使用状況を継続的に監査して、従来手動で行われていた証跡収集作業を削減 ・AWSの使用状況を継続的に監査することにより リスクアセスメントや規制、 業界標準への準拠確認をサポート ・CIS AWS Foundations BenchmarkやGDPR、 PCI DSSについて事前定義フレームワークを 提供し、AWS上の監査証跡を自動で収集 AWS CloudTrail AWS Audit Manager AWS Config AWS Security Hub Amazon Simple Storage Service (S3) AWS Identity & Access Management Amazon VPC 評価レポート Amazon Simple Notification Service 証跡の収集 アセスメント/ 評価の実行 Amazon Simple Storage Service (S3) フレームワーク コントロール 評価レポートとエ ビデンスの保管 AWS Audit Manager 証跡の収集 アセスメント/評価の実行 フレームワーク コントロール 評価レポートと エビデンスの保管 評価レポート
  • 15. © 2021, Amazon Web Services, Inc. or its Affiliates. 【デモ】AWS Config 適合パック+AWS Audit manager 企業のプロフィール 社内 アプリケーション 公的契約処理 アプリケーション 健康管理 アプリケーション 支払処理 アプリケーション 医療機器販売会社 クレジットカード情報を取り扱う クラウド 管理者 FedRAMP HIPAA PCI DSS CMMC Levels 1–5 FFIEC Control Tower Detective Guardrails NIST 800-53 NYDFS 23 APRA CPG 234 CIS Top 20 他にも40種類以上をご用意 AWS Audit Manager 継続的に証拠を収集し、 監査可能なレポートを作成 できるようにする AWS Config Rules(ルール) AWSの環境が指定したルールに適合しているかどうかを「検知」する仕組み 適合パック 目的別に複数の Config Rules と修復アクションをパッケージ化して、まとめて適用できるように AWS Audit Manager Config Rules 等で収集した情報を元に、監査レポートの作成をサポートするサービス AWS Config 適合パック
  • 16. © 2021, Amazon Web Services, Inc. or its Affiliates. Management and Governance サービス AWS CloudFormation Modules AWS CloudFormationにおいて再利用可能な部品をModuleと して定義し、再利用性を高めることができる AWS CloudFormation Infrastructure as Code で AWS 及び サードパーティの システムプロビジョニングを高速化 AWS Service Catalog AWSサービスのカタログを作成および管理し、組織で利用できるようにする AWS Marketplace 8,000 を超えるサードパーティ―アプリケーションの実行 Enable compliance Set up governance Provision & orchestrate Centralize operations Monitor & observe AWS CloudFormation AWS Service Catalog AWS Marketplace AWS Proton コンテナおよびサーバーレスアプリケーション向けの アプリケーションデプロイサービス AWS Proton
  • 17. © 2021, Amazon Web Services, Inc. or its Affiliates. CloudFormation 関連の新機能 (2020/12-2021/07) • パブリックレジストリ • StackSetsを使って複数のリージョンでスタックの同時デプロイが可能に • アカウントごとに作成できるスタックの数が200→2000へ拡張 • CloudFormation Guard 2.0 がGA • AWS CDK v2 preview • AWS CDK Go preview 17
  • 18. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Proton • コンテナとサーバレスのためのアプリケーションデプロイサービス • 基盤チームはProtonを利用してインフラの設定やコードのデプロイ、モニタリ ング、更新に必要な様々なツールをセットアップできる • 数百、数千のマイクロサービスのインフラとCI/CDを構成し維持することは 負担が大きく、それを効率化するための方法を提供する • 2021/06 GA
  • 19. © 2021, Amazon Web Services, Inc. or its Affiliates. Management and Governance サービス Amazon CloudWatch AWS X-Ray Amazon CloudWatch AWS とオンプレミスにおける モニタリング/オブザーバビリティサービス AWS X-Ray 分散アプリケーションの分析およびデバッグ Amazon CloudWatch Lambda Insights • Lambda Functionのパフォーマンス監視やトラブルシュート、 最適化を可能にする機能 • Functionに関するメトリクスを自動的にダッシュボードにと りまとめ、メモリリークや新バージョンのデプロイによる性 能変化を可視化できる Enable compliance Set up governance Provision & orchestrate Centralize operations Monitor & observe AWS CloudWatchのビジュアライズ強化
  • 20. © 2021, Amazon Web Services, Inc. or its Affiliates. CloudWatchのアップデート (2020/12-2021/07) • Metric Mathに14種類の関数が追加 • CloudWatch Resource Healthのリリース 20
  • 21. © 2021, Amazon Web Services, Inc. or its Affiliates. Working with the open source community
  • 22. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Distro for OpenTelemetry AWS によりサポートされるOpenTelemetryのオープンソースディストリビューション https://aws-otel.github.io/ CW AgentがOpenTelemetryのAPIとSDKをサポート (2021/01)
  • 23. © 2021, Amazon Web Services, Inc. or its Affiliates. ・PromQLを利用して、インフラを管理することなく AWSまたはオンプレのコンテナワークロードを監視できる ・ワークロードの拡大縮小に応じて自動的にスケーリング AZをまたいだレプリケーションもサポート ・IAMによるアクセス権限制御や、PrivateLinkによるセキュアな アクセスを提供。API呼び出しはCloudTrailで記録される。 ・サービス検出・メトリック収集にAWS Distro for OpenTelemetry が利用可能。また、Amazon Managed Service for Grafana との連携によるリッチなデータ可視化も Amazon Managed Service for Prometheus(AMP) コンテナ環境向けのモニタリングとアラーティングのマネージドサービス In preview
  • 24. © 2021, Amazon Web Services, Inc. or its Affiliates. Amazon Managed Service for Grafana(AMG) Grafana Labsと連携して開発された、フルマネージドなデータ可視化サービス ・複数のデータソースからのメトリックやログを視覚化できる ・Grafanaサーバの構築、スケーリング、パッチ適用などのメンテナンスは AWSが実施。サーバ運用の手間をオフロードできる ・AWS SSOと統合されており、ユーザ毎にアクセスできるダッシュボードと データソースにシームレスなアクセスが可能 ・AWSアカウントとリソースの検出機能 ・APIを利用して既存のGrafana環境からクエリとダッシュボードを インポート可能 In preview 参考: Amazon Managed Service for Grafana を始めよう https://aws.amazon.com/jp/blogs/news/amazon-managed-grafana-getting-started/
  • 25. © 2021, Amazon Web Services, Inc. or its Affiliates. AMP & AMG セットアップ例 HTTP APIs – query Amazon S3 Collectors HTTP APIs – remote write server IAM proxy AWS Distro for OpenTelemetry Amazon Managed Service for Grafana (AMG) Amazon Managed Service for Prometheus(AMP) Workspace Querier Ingester Grafana Prometheus
  • 26. © 2020, Amazon Web Services, Inc. or its Affiliates. Monitoring options Observability Instrumentation Insights Container Insights Synthetics Lambda Insights Amazon CloudWatch ServiceLens CloudWatch Logs CloudWatch metrics AWS X-Ray CloudWatch agent Contributor Insights Amazon Managed Service for Grafana Do itYourself (DIY) X-Ray agent Amazon Elasticsearch Service - Logs AWS X-Ray Amazon Managed Service for Prometheus Jaeger CloudWatch Logs CloudWatch metrics AWS Distro for OpenTelemetry
  • 27. © 2021, Amazon Web Services, Inc. or its Affiliates. Management and Governance サービス AWS Systems Manager Enable compliance Set up governance Provision & orchestrate Centralize operations Monitor & observe アプリケーションリソースを グループ化し、一元管理を実現 アプリケーション管理 メンテナンス/デプロイ タスクを自動化 変更管理 運用に必要なデータを ダッシュボードとして提供 運用管理 AWSリソース、オンプレミス Windows & Linuxの管理 ノード管理 運用を効率化するコックピット 可視化 アプリケーション指向 自動化 スケーラブル
  • 28. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Systems Manager の機能(1/2) クイックセットアップ インスタンスをSSMで管理するよう自動構成 Explorer 運用アイテム情報のダッシュボード OpsCenter 運用アイテム(対応が必要なイベント)の管理 Incident Manager インシデントハンドリングを総合的に管理・支援 アプリケーションマネー ジャー アプリケーションを構成するAWS上のリソースを一元 的に管理 リソースグループ タグによるサーバ群のグループ管理 AppConfig アプリケーション設定(機能フラグ等)の管理 パラメータストア 設定パラメータの集中管理用データストア 変更マネージャー システムの構成変更管理に必要な、申請、承認、実装、 結果というワークフローを簡素化 Automation AWS環境全体に対する自動化処理の実行 Change Calendar 実行可否を制御するカレンダー メンテナンスウィンドウ 自動化処理のスケジュールと順序の管理 運用管理 アプリケーション管理 変更管理
  • 29. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Systems Manager の機能(2/2) ノード管理 共有リソース フリートマネージャー ビジュアルUIでLinux、Windows、macOSのサーバ群 を管理する コンプライアンス コンプライアンスの適合状態ダッシュボード インベントリ サーバ構成情報のインベントリを閲覧する マネージドインスタンス SSM管理対象のサーバ一覧 ハイブリッド アクティベーション オンプレミスサーバをSSM管理下に入れる セッションマネージャー SSMを使ったサーバへリモートアクセスする Run Command サーバ群の上でコマンドを実行する ステートマネージャー サーバ群の構成を指定した状態に維持する パッチマネージャー サーバ群に指定ルールに基づきパッチを適用する ディストリビューター サーバ群にパッケージをインストールする ドキュメント SSMで実行する処理を記述したドキュメント
  • 30. © 2021, Amazon Web Services, Inc. or its Affiliates. 30 AWS Systems Manager 全体像 AWS および オンプレミス のサーバー群を管理する多機能なツールセット スケジューリング 構成検証・監査 オペレーション(操作) ログ/メトリクス CloudWatch SSM Maintenance Window CloudWatch Events SSM State Manager SSM Inventory SSM Patch Manager SSM Session Manager SSM RunCommand SSM Automation SSM Distributor 対話型アクセス Logs Metrics ランブック実行 スクリプト実行 パッケージ配布 EC2インスタンス群 SSM Change Calendar 設定/ドキュメント SSM OpsCenter Dashboard/作業管理 SSM Parameter Store SSM Document 要対応作業 確認 インベントリ 情報 OS パッチ 適用 定期 Automation 実行 SSM Agent (SSMマネージド インスタンス化の前提) SSM Explorer マネージド ノード概観 SSM Compliance Compliance 準拠情報 SSM Fleet Manager SSM Change Manager OS内 情報 管理された 変更操作 エンジニア インシデント管理 SSM Incident Manager インシデント 対応
  • 31. © 2021, Amazon Web Services, Inc. or its Affiliates. 31 Incident Manager インシデント OpsCenter SSM Incident Manager (2021/05-) インシデントハンドリング(オンコール呼び出し、トリアージ対応、事後分析) を総合的に管理・支援するフルマネージドサービス (※UIはAWS管理コンソール) 運用担当者 対応プランを 手動開始 EventBridge (ルールターゲット) 対応プラン 開始 n分後 n分後 事象 メトリクス アラーム マニュアル 対応 対応プラン インシデント詳細 自動作成 (親) OpsItem 対応プランを 自動呼び出し エンゲージ先 ランブック参照先 SSM Automation インシデント作成時 に指定ランブック を自動実行 連絡先 or エスカレーションプラン メール SMS 電話 Chatbot Chime Slack Chatチャネル 自動作成 参照 AWS Chatbotへ インシデント発生通知 Stage:1 Stage:2 Stage:3 タイムライン 関連メトリクス 関連項目 CloudWatch (Metrics) ! インシデント作成後、 指定時間の経過に応じて順次連絡 (手段:メール/SMS/電話) CloudWatch (Alarmアクション) (SNSトピック経由) 影響/状態 分析(解決後) 参照 オンコール対応者 & SME
  • 32. © 2021, Amazon Web Services, Inc. or its Affiliates. SSM Incident Managerについてはこちら https://www.slideshare.net/AmazonWebServicesJapan/20210625-jawsug-249527542
  • 33. © 2021, Amazon Web Services, Inc. or its Affiliates. ・タグやリソースグループ、CloudFormationスタックを選択して アプリケーションの構成要素を定義 ・アプリケーションの視点でアラーム、運用上の問題、ログなどを ダッシュボードに一括表示できる ・問題に対処するための操作一式を定義したAutomation Runbookを 作成しておけば、画面上でRunbookを呼び出すことで調査・修復を 容易に実行可能 AWS Systems Manager アプリケーションマネージャー I N T R O D U C I N G アプリケーションを構成するAWS上のリソースを一元的に管理する
  • 34. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Systems Manager 変更マネージャー クラウドとオンプレミスの変更管理
  • 35. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Systems Manager フリートマネージャー AWS Systems ManagerのUIから、Linux、Windows、macOSのサーバ群を管理するビ ジュアルツールを提供 ・SSHやRDPで個別にサーバに接続することなく、 AWSのコンソールからサーバ群の管理作業を実行可能 ・ファイルシステムの参照やユーザ管理、パフォーマンスカウンタの チェック、Windowsのレジストリ操作などに対応 ・管理対象サーバはEC2に限らず、Systems Managerエージェント が 導入されていれば、オンプレにあるサーバも管理可能
  • 36. © 2021, Amazon Web Services, Inc. or its Affiliates. おまけ
  • 37. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Chatbot - Event Rulesへの対応 長期的な方針検討に必要な情報 イテレーション(2weekなど)ごとに確認 必要な時に時系列で見れればよい CloudWatch Metrics CloudWatch Alarm Slack #citical EventBridge (CloudWatch Events) CloudWatch Eventsが 対応する 200以上のサービス群 Developer Services AWS Budget CloudFormation Slack #info AWS Chatbot Slack #error 放置するとSLOに影響する 平日の朝夕に確認して その日に対応方針を決めれば良い SLOに影響が出ている 即時確認と対応が必要 SNS Topic (Chatbot用) 独自フォーマットが必 要なサービス ストック情報は Wikiやチケットに記録 AWSChatbot個別対応サービス 37
  • 38. © 2021, Amazon Web Services, Inc. or its Affiliates. テクノロジーパートナーソリューション
  • 39. © 2021, Amazon Web Services, Inc. or its Affiliates. 3.まとめ
  • 40. © 2021, Amazon Web Services, Inc. or its Affiliates. まとめ Enable compliance Set up governance Provision & orchestrate Centralize operations Monitor & observe AWSアカウントの構成、ガバナンスをどのように確立していくかの枠組み 禁止すべき行為は予防的ガードレール(AWS Organizations SCP)で防ぐ コンプライアンスを実装 ・発見的ガードレール(AWS Config Rules)/ 適合パックで素早く導入 ビルダーの自由を意識し、ガバナンスコントロールと開発のスピードを両立 ・AWS Audit Manager で監査対応を支援 環境のプロビジョニング、オーケストレーション ・Infrastracture as Code、テンプレートというクラウドならではのリソース管理手段 モニタリング、オブザーバビリティ ・アプリケーションの正常性、またサービスに影響が出ていないことの観測が重要に ・オブザーバビリティを実現する CloudWatch に加えて新マネジメントサービスの追加 運用を効率化するコックピット ・AWS Systems Manager ・可視化 / アプリケーション指向 / 自動化 / スケーラブル
  • 41. © 2021, Amazon Web Services, Inc. or its Affiliates. 4.NEXT STEPS
  • 42. © 2021, Amazon Web Services, Inc. or its Affiliates. 参考情報 • AWS Management & Governance Blog • https://aws.amazon.com/jp/blogs/mt/ • AWS Open Source Blog (category: Management & Governance) • https://aws.amazon.com/jp/blogs/opensource/category/management-and-governance/ • Management & Governance サービスブログ(日本語) • https://aws.amazon.com/jp/blogs/news/category/management-tools 42
  • 43. © 2021, Amazon Web Services, Inc. or its Affiliates. NEXT STEPS https://observability.workshop.aws/ja/ https://ssm-basic-handson.workshop.aws/ https://ssm-inventory-visualize.workshop.aws/ ・ハンズオンでAWS Management and Governance サービスをぜひご体験下さい!
  • 44. © 2021, Amazon Web Services, Inc. or its Affiliates. NEXT STEPS https://controltower.aws-management.tools/ja/immersionday/ ・ハンズオンでAWS Management and Governance サービスをぜひご体験下さい! https://controltower.aws-management.tools/immersionday/ (英語版: ラボが多いです)
  • 45. © 2021, Amazon Web Services, Inc. or its Affiliates. Thank You