(株)スカイアーチネットワークス様主催のイベント「re:Port 2017」に登壇させて頂いた際の資料になります。 主にグローバルにおけるAWSのマルチアカウント戦略ならびにガバナンス戦略について言及いたしました。 https://skyarch.connpass.com/event/70063/

1. Copyright © 2017 KDDI Corporation. All Rights Rese
参加レポート
re:Port 2017
2017.12.05
#2 15:00〜15:20

2. 1自己紹介
大橋 衛（オオハシ マモル）
KDDI株式会社 プラットフォーム開発本部
社内API基盤戦略策定
AWS社内エヴァ／クラウドコンサル
アプリエンジニア12年
インフラエンジニア4年
クラウドエンジニア5年目(=AWS歴)
好きなAWSサービス：IAM/SNS/Lambda

3. アジェンダ
2
Copyright © 2017 KDDI Corporation. All Rights Reserved
 弊社のreInvent参加テーマ
 マルチアカウント戦略／ガバナンス戦略
 大橋的「トリハダ」サービス３つ
 おまけコーナー

4. AWS re:Invent 2017 参加テーマ
3
Copyright © 2017 KDDI Corporation. All Rights Reserved
Container / Serverless
Security / Compliance
+

5. AWS re:Invent 2017 参加テーマ
4
Copyright © 2017 KDDI Corporation. All Rights Reserved
Container / Serverless
Security / Compliance
+

6. 参加セッション一覧 5
Copyright © 2017 KDDI Corporation. All Rights Reserved
EBC (個別セッション)
AWS Cloud Adoption Framework Security Perspective(*postponded)
Container Services (ECS, ECR and other container orchestration services on EC2)
Break out sessions
ARC406 - Amazon.com - Replacing 100s of Oracle DBs with Just One:
DynamoDB
ARC316 - Getting from Here to There: A Journey from On-premises to
Serverless Architecture
CON214 - NEW LAUNCH! Introducing AWS Fargate
CON215 - NEW LAUNCH! Introducing Amazon EKS
CON307 - Building Effective Container Images (Overflow)
CON320 - Monitoring, Logging, and Debugging for Containerized Services
CON402 - Advanced Patterns in Microservices Implementation with Amazon
ECS
CMP330 - NEW LAUNCH! Amazon EC2 Bare Metal Instances
CTD310 - Living on the Edge, It’s Safer Than You Think! Building Strong
with Amazon CloudFront, AWS Shield and AWS WAF.
DAT308 - A story of Netflix and AB Testing in the User Interface using
DynamoDB
DAT318 - NEW LAUNCH! Deep dive on Amazon Neptune
DEV339 Using AWS Management Tools to Enable Governance, Compliance,
Operational, and Risk Auditing
DEV314 - Monitoring as Code: Getting to Monitoring-Driven Development
GPSTEC314 From Monolithic to Serverless
GPSTEC321 VMWare Cloud on AWS Technical deep dive and native AWS
Services Integration
GPSTEC325 Enterprise Storage
IOT207 - Panasonic - Building the Road of the Future on AWS
IOT324-R - [REPEAT] Best Practices for Connected Home Automation
Platforms on AWS
SID301 - Using AWS Lambda as a Security Team
SID305 HOW CROWDSTRIKE Built a Realtime Securty monitoring service
on AWS
SID308-R - [REPEAT] Multi-Account Strategies
SID322 - The AWS Philosophy of Security
SRV335-OFM [OVERFLOW]Best Practice for Orchestrating AWS Lambda
Workloads
アーキテクチャ：3 コンテナ：5 コンピュート：2 CDN：1 データストア：3
DevOps：2 IoT：2 セキュリティ＆アイデンティティ：4 サーバレス：1

7. 6
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ マルチアカウント戦略
❏ ガバナンス戦略
マルチアカウント戦略
ガバナンス戦略

8. 7
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ マルチアカウント戦略
❏ ガバナンス戦略
マルチアカウント戦略
ガバナンス戦略

9. マルチアカウント戦略のグローバルベストプラクティス
8
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ Organizations利用はデフォ
❏ 管理用グループを作り、
機能別にアカウントを作成
❏ ユーザー用グループを作り、
環境別にアカウントを配布
❏ 共有サービスもありオンプレ
とも連携
❏ 単純なお試しアカウントも
存在
❏ 全てのログは管理用グループ
に集約
SID308 - Multi-Account Strategies

10. KDDIにおけるマルチアカウント戦略 9
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ Organizationは
諸事情により未使用
❏ 管理者アカウントx2、
１システム×環境別
アカウント
❏ 踏み台＆運用サーバは
分離して環境毎に存在
❏ ミニマムガバナンス以
外はすべてフリーの検
証用アカウントも用意
❏ 全ユーザアカウントの
上位にPayerが存在
管理者アカウント群 ユーザアカウント群
バーチャルセキュリティルーム(Stg)
バーチャルセキュリティルーム(Prd)
ユーザアカウント(Stg)
ユーザアカウント(Prd)
運用者

11. グローバルとのギャップ
10
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏グローバルのデファクトから比較しても大筋間
違ってはいない模様
❏共有機能アカウントをユーザー側に作るのは
迷っていたがグローバルデファクトなら
ぜひ適用したい(オンプレとの接続含む)
❏Organizationsの利用は再考が必要

12. 11
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ マルチアカウント戦略
❏ ガバナンス戦略
マルチアカウント戦略
ガバナンス戦略

13. ガバナンス戦略のグローバルベストプラクティス
12
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ CloudTrailはもちろん
デフォルトでON
❏ 回復/強制機能はサーバレス
で組むのがトレンド
❏ CludWatchLogs/CloudTra
ilをフィルタしLambda起動
❏ 各種リソースイベントから
Lambda invokeさせて流す
タイプもある
❏ Lambdaに行ければどんな
制御も可能に！
SID301- Using AWS Lambda as a Security Team

14. KDDIにおけるガバナンス戦略 13
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏ CloudWatch Events
とCloudWatch Logs
のメトリックフィルタ
を使用
❏ SNS経由でLambdaを
トリガ・定期実行も
CloudWatch Events
でLambda実行
❏ 実行情報をSlackや
メールで運用者並びに
関係者に通知

15. グローバルとのギャップ
14
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏CloudWatch EventsやCloudWatch Logsドリブンの
方式はグローバルとほぼ変わらない
❏S3 Pushイベントなどに代表されるリソース変更契機の
チェックはぜひ実装したい
❏アプリのログをKinesisに流してストリーミングで
リアルタイム検知するなど AWSリソースレイヤ以外の
高度なガバナンスにも挑戦していきたい
❏Amazon GuardDuty/AWS Systems Managerとの
連携も考慮

16. まとめ
Copyright © 2017 KDDI Corporation. All Rights
Reserved
15

17. まとめ
16
Copyright © 2017 KDDI Corporation. All Rights Reserved
❏弊社のマルチアカウント戦略・ガバナンス戦略の
アプローチは間違ってなさそう
❏ネットワークセキュリティを含め、このレイヤは
AWSの進化の注目点になってるぽい
❏現行の統制機能はよりマネージド／サーバレスへ
移行させていく予定

18. 大橋的『トリハダ』サービス3つ
Copyright © 2017 KDDI Corporation. All Rights
Reserved
17

19. No.1

20. 19
Copyright © 2017 KDDI Corporation. All Rights Reserved

21. No.1 『AWS Cloud9』
❏ 絶対に出る！と出国前から予言してた(本人驚愕)
❏ AWSインフラプログラマ待望のIDE
❏ Lambdaデバッグが超カンタンに！
❏ コードフォーマッタ・補完機能も充実
❏ ローカルテスト/商用デプロイも一発
❏ EC2へのターミナルアクセスもIDEからOK!
❏ AWSリソース制御がどこまで連携可能か調査した
い Copyright © 2017 KDDI Corporation. All Rights Reserved
20

22. No.2

23. 22
Copyright © 2017 KDDI Corporation. All Rights Reserved

24. 23
Copyright © 2017 KDDI Corporation. All Rights Reserved
No.2 『Amazon GuardDuty』
❏ ざっくり言うとクラウドネイティブIDS/IPS
❏ シグネチャ検知のみならずアノマリ検知にも対応
❏ シグネチャはインポートもできる(他社/自作)
❏ Lambda等へのインテグレーションがアツい
❏ 対応ソースが拡張されて、 アプリログを取り込んで
アノマリ検知できるようになったら超面白い！

25. No.3

26. 25
Copyright © 2017 KDDI Corporation. All Rights Reserved
Amazon EC2 BareMatal

27. 26
Copyright © 2017 KDDI Corporation. All Rights Reserved
No.3 『Amazon EC2 BareMatal』
❏ C5インスタンスのNitro Hypervisorをも取っ払い、
OSから直接EC2のハードを触れるようになった感じ
❏ 当然ハードウェア専有インスタンスになる
❏ 他のAWSリソースとの親和性が高いはずなので、
EC2と同レベルでのLift&Shiftが期待出来る
❏ 弊社のPrivateクラウドとの使い分け、棲み分けの
検討を迫られることになった

28. おまけコーナー！
Copyright © 2017 KDDI Corporation. All Rights
Reserved
27

29. ①NW-JAWS in LasVegas やりました！
28
Copyright © 2017 KDDI Corporation. All Rights Reserved
聴講者＋スタッフあわせてなんと７０名超の参加！
意識高い人が多いから実はこっちのが集まりやすいのかも！？

30. ②グランドキャニオンに行ってきました！
29
Copyright © 2017 KDDI Corporation. All Rights Reserved
AWSと同じくスケールの違いはまさに圧倒的レベル！
「人生観変わる」の意味が行ってみると分かる！

31. ③[宣伝]au世界データ定額、いいですよ！
30
Copyright © 2017 KDDI Corporation. All Rights Reserved
少しの準備だけで現地についたら1クリックで利用可！
弊社の米国でのモバイルネットワーク、評判いいです！（個人的にも体感済み）

32. Copyright © 2017 KDDI Corporation. All Rights Reserved
Thank you
for
Listening!