More Related Content
Similar to いまさら聞けないAWSの基本 (20)
More from Trainocate Japan, Ltd. (20)
いまさら聞けないAWSの基本
- 2. 自己紹介
三浦 美緒 (みうら みお)
グローバルナレッジネットワーク株式会社 技術教育エンジニア
LinuxほかOSS各種、AWS認定トレーニングを担当
AWS Authorized Instructor
好きなAWSの機能:Amazon EC
前職:外資系UNIXベンダーSE
金融系顧客のデータセンターに常駐し、UNIX/Linux、
Windowsベースのオープン系システムの環境で
運用管理システムの提案・設計・導入・保守を担当
2© 2017 Trainocate Japan, Ltd. All rights reserved.
- 3. おことわり
本セミナーで取り扱う主なAWSのサービスは以下の通りです
インフラ/基盤サービス
- コンピューティング Amazon EC2
- ストレージ Amazon S3、Amazon EBS
- データベース Amazon RDS
- ネットワーキング Amazon VPC
管理サービス
- 認証 IAM
各種記載事項はセミナー実施日の情報に基づきます
3© 2017 Trainocate Japan, Ltd. All rights reserved.
Amazon
EC2
コンピューティング
Amazon
EBS
Amazon
S3
Amazon
RDS
Amazon
VPC
ブロックストレージ オブジェクトストレージ データベース ネットワーキング
- 8. 責任共有モデル
責任は誰に?
8
© 2017 Trainocate Japan, Ltd. All rights reserved.
出典:「責任共有モデル」(Amazon Web Services)
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
- 11. SLA (Service Level Agreement)
各サービスの可用性はSLAをチェックする
SLAは「月間使用可能時間の割合」等で示されている
SLAを明示しているサービスとしていないサービスがある
SLAを下回った場合、「クレジット」で返金
申請が必要(勝手に戻らない)
申請時に障害の状態を証明できることが必要
※1か月を30日で試算すると… 月に約22分(0.05%)使用不能で10%返金
※率で算出するので、使用料が大きいほど返金額も当然大きい
EC2/EBS S3 RDS VPC
(99.0~99.95%)
10%
(99.0~99.99%)
10%
(99.0~99.95%)
10%
規定なし
(99.0%未満)
20%
(99.0%未満)
25%
(99.0%未満)
25%
【SLAにおける月間使用可能時間割合とサービスクレジット率の規定例】
- 15. 障害/データ逸失からのデータ保護
設計で備える “Design for Failure”
SPOFをなくす
マルチテナント、マルチデータセンター、マルチリージョン
運用で備える “MTBFよりMTTR”
各サービスのバックアップ/リカバリ機能と手順を確認
考慮事項
- 復旧にかかる時間
- コスト(データ保護にどこまで投資するか?)
• データ容量
• データ転送量
- データの保管場所
• 耐障害性に優れたS3に保管
• 別リージョンへの保管の要不要
15© 2017 Trainocate Japan, Ltd. All rights reserved.
- 16. 代表的なインフラストラクチャーサービスの【冗長化】【バックアップ】例
16© 2017 Trainocate Japan, Ltd. All rights reserved.
EC2 EBS S3 RDS
標準の
冗長構成
なし
同一AZ内で
複製
リージョン内で
3か所に保存
同一AZ内で
複製
利用可能な
冗長構成
ELBと併用で
マルチDC
スナップショットの
リージョン間コピー
クロスリージョン
レプリケーション
マルチAZ
バックアップ
方法
AMI
(EBSスナップショット
+設定)
スナップショット なし
スナップショット
+トランザクション
ログ
保管場所 S3 S3 ー S3
自動
バックアップ
なし なし なし 標準
(1日1回7世代)
備考
99.999999999
%(イレブンナイン)
の耐久性設計
- 17. 代表的なインフラストラクチャーサービスの【暗号化】対応例
17© 2017 Trainocate Japan, Ltd. All rights reserved.
EC2 EBS S3 RDS
暗号化機能 キーペア
(公開鍵/秘密鍵)
EBS
Encryption
SSE-S3
インスタンスの
暗号化オプション
暗号化対象
• ログイン情報
• クライアントと
EC2間のセッ
ションデータ
• 保存データ
• EC2とEBS間
の転送データ
• スナップショット
• 保存データ
※S3とクライアント間の
転送データはSSL/TLS
• インスタンス
• バックアップ
• スナップショット
• ログ
• レプリカ
デフォルト 有効 無効 無効 無効
備考
インスタンスタイプ
やリージョンに
制限あり
- 18. 法令と準拠法
データを配置するリージョンの法令や契約を確認する
各国や各地域のデータ保護関連法規
- 例) EU一般データ保護規則(GDPR)が2018年5月よりスタート
- 2016 年、欧州委員会は新しい一般データ保護規制 (GDPR) は、EU 内の個人データのセキュリティと保護を強化し、EU のデータ保護法の調和を
目的としています。GDPR は、EU データ保護指令およびそれに関連するすべての現地の法律に置き換わるものです。
顧客のデータを国外に配置できる契約か
AWSが保証するプログラムを確認する
認証/証明 ISO9001、ISO27001やPCI DSSなど
法律 マイナンバー法やEUデータ保護指令など
準拠法と管轄裁判所を確認する
AWSでは基本は米国法/米国州裁判所または連邦裁判所
申請により日本法/東京地方裁判所に変更できる
リセラー経由で日本法/東京地方裁判所とする契約が可能に
18© 2017 Trainocate Japan, Ltd. All rights reserved.
- 21. どのログがいつまで必要ですか?
監査要件
各種のイベントを記録する仕組みやサービスと標準保存期間を知る
ログの記録内容が必要な要件を満たすか確認
主なログの種類
AWSアカウントごとの管理イベントとデータイベント
- AWS CloudTrail APIレベルのイベントをトラッキングしS3へ保存
- AWS Config AWSリソースの設定変更をトラッキングしS3へ保存
アプリケーションレベルのイベント
- サービスごとにログ記録の設定が必要
- (サービス例:EC2)OSやアプリケーションのイベント
• シスログやアプリケーションログをCloudWatch Logsで集約
- (サービス例:RDS)DBエンジンのイベント
• RDSの一部のDBエンジンでは監査ログ機能を使用可能
• 監査ログを有効にするとパフォーマンス(スループット)は低下
21© 2017 Trainocate Japan, Ltd. All rights reserved.
- 24. 認証はIAM (Identity and Access Management)
IAMの5つのセキュリティステータスチェックは必ずクリアしましょう
ルートアカウントの運用は安全第一
個々のユーザーには必要な最小限の権限を付与しましょう
各サービスに設定できるきめ細かなポリシー(権限)をユーザーやロール(役割)に
設定できます
24© 2017 Trainocate Japan, Ltd. All rights reserved.
- 25. Trusted Advisorを活用
25© 2017 Trainocate Japan, Ltd. All rights reserved.
アカウントの設定、運用はTrusted Advisorがチェックしてくれます
サポート契約の内容により、チェック項目を増やすことも可能
コスト、パフォーマンス、セキュリティ、フォールトトレランスの
4項目の設定が適切かどうかをダッシュボードで一覧
- 31. グローバルナレッジオリジナルコース
31© 2017 Trainocate Japan, Ltd. All rights reserved.
1日
講義+デモ
クラウド活用の現実的障害である「セキュリティ」を具体的かつ
実践的に扱い、地に足の着いたクラウド活用を紹介
学習目標
- クラウドコンピューティングにおけるセキュリティの位置づけを説明できる
- クラウドシステムに対する代表的リスクとその対処法を3つ以上挙げることができる
- クラウドの非システム的リスクとその対処法を2つ以上あげることができる
- リスクのほか経営戦略・IT環境・法令遵守等の各側面を考慮しながら、クラウドサービス導入・
運用を行うアプローチを説明できる
クラウド導入のためのセキュリティ概要
- 32. グローバルナレッジオリジナルコース
32© 2017 Trainocate Japan, Ltd. All rights reserved.
2日
講義+演習
クラウドデザインパターンを例に、クラウドの利点を活かしたクラウド
ファースト/クラウドネイティブなシステム構築の一般的なポイント
(アーキテクチャ、開発手法など)を概説
演習内容
- Lab 1. サーバ仮想化の体験
- Lab 2. Dockerの体験
- Lab 3. OpenFlowの体験
- Lab 4. OpenStackでの仮想ネットワーク作成
- Lab 5. Key-Value Store(KVS)の利用
- Lab 6. クラウドデザインパターンの適用
クラウドアーキテクト・ファーストステップ
~体系的に学ぶクラウド活用の全体像~