2016/06/28 JAWS-UG 初心者支部第６回勉強会で使用した資料です。 AWSの勉強の仕方や、使う上での注意点などをまとめました

1. JAWS-UG初心者支部#6
AWS概要
2016/06/28(火）
ハンズラボ株式会社 吉田裕貴

2. 自己紹介
名前: 吉田 裕貴(Yuki Yoshida)
職業:戦闘員
所属: ハンズラボ株式会社
好きなAWSサービス:
AWS Lambda, CloudFront,
ビバ！サーバレス！！

3. AWSのサービス
AWSって、いまどのくらいサービスあるか知ってます？

4. AWSのサービス（2016/06現在）
マネジメントコンソール上で確認できるサービスだけで56個

5. AWSのサービス（2016/06現在）
CLIに存在するコマンドセットで確認するとこんなのも
SimpleDBさん・・・

6. いなくなってしまったサービスたちのこと、
時々でいいから……
思い出してください。

7. AWSのサービスは多種多様
vこれだけのサービスを一度に覚えるのは困難
vましてや“使えるようにする”のはもっと困難
一度に全てではなく
vよく使われるサービスから確認する
v自分がやりたいことにマッチしたサービスを覚える

8. どうやって勉強しよう
vでも、どうやってAWSについて勉強すればいい？
v公式のトレーニングはとても高くて個人では・・・
v本を読もう！最近はAWSに関しての著書も増えて
きました
v他支部の勉強会資料も参考になる
vAWS Black Belt Tech Webinarを活用しよ
う
vAWS クラウドサービス活用資料集を読もう

9. 書籍
第4回勉強会ではこの本の著者を招いて
講義形式の勉強会を開催しました。
実践入門よりテッキーな内容が書いてある
IoTやAPI GateWayなんかも

10. AWSに関する本で一番分厚い
ほとんど辞書みたいだけどコードも豊富
最近はAWSに関しての本も多く出版
されています
書籍

11. JAWS-UG CLI専門支部のハンズオン資料
Qiitaで公開されているCLI専門支部のハンズオン資料（過去50回分以上）
コマンドラインベースだけどサービスを理解するのにCLIはとても良いです

12. AWS Black Belt Tech Webinar
v毎週水曜18時からオンラインで開催されている公
式セミナー
vSAがテーマのサービスについて懇切丁寧に解説し
ています

13. クラウドサービス活用資料集
トレーニング資料や個別のサービス資料が大量に！！！

14. その他
各社、エンジニア個人の技術ブログなんかも情報がたくさん（ほんの一例）

15. AWSの概要についてのおはなし
vクラウドを利用する上での注意
§ Design for Failure
§ アクセスキーの管理
§ ベストプラクティスとアンチパターン
vセキュリティについて
§ 責任共有モデル
§ 他要素認証の利用

16. Design for Failure
vオンプレミスでもDR環境構築などもしてきた
vAWS上では更に“構成の多重化を意識する”
vDesign for Failure
§ 障害発生を前提としてシステムを設計
§ サーバが落ちたら？
§ DB落ちたら？
§ データセンタが壊滅したら？
サービス、止めちゃうの？

17. つい先日・・・
大雨により単一AZ障害が発生。
Multi-AZ構成を意識していればサービス停止は免れた

18. AZとは
vAZ(アベイラビリティゾーン）
v各リージョンに存在するデータセンタ群の名称
vAZは障害を隔離するために存在
v各AZは災害等のリスクを考慮して物理的な距離を
持つ
v各AZ間は専用線を利用した高速な通信を備える
v地理的に離れ、電源等も共有していないため、先の
洪水は単一AZ障害で済んでいる

19. もし、インスタンスが死んでしまったら・・・⇒ELB配下に複数配置
インスタンスレベルの多重化

20. このくらいの対策で単一AZ障害ではサービスは止まらない
AZレベルの多重化

21. クレデンシャルキーの取り扱い
vAWSの各サービスにCLIベースでアクセスするた
めのクレデンシャルキー
§ アクセスキー：AKIAIOSFODNN7EXAMPLE（こんなの）
§ シークレットアクセスキー：
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY（こんなの）
vこのキーをGitHubに載せてしまう事故が多い
§ 南米 (サンパウロ)とか気づかないところで巨大
なインスタンスを限界までぶん回される・・・
§ 数十万〜百万単位の請求・・・
クラウド破産の恐怖・・・

22. v公開する資料、ソースコードにキー情報は絶対書き
込まない！
vgit-secrets など、AWSが公開しているツール
を使ってcommit前に検査する
§ URL：https://github.com/awslabs/git-secrets
注意しましょう。
シャレではすまない事態に発展します！

23. クレデンシャルキーの取り扱い
vAWSの各サービスにCLIベースでアクセスするた
めのクレデンシャルキー
§ アクセスキー：AKIAIOSFODNN7EXAMPLE（こんなの）
§ シークレットアクセスキー：
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY（こんなの）
vこのキーをGitHubに載せてしまう事故が多い
§ 南米 (サンパウロ)とか気づかないところで巨大
なインスタンスを限界までぶん回される・・・
§ 数十万〜百万単位の請求・・・
クラウド破産の恐怖・・・
つまり
こういうことしちゃいけないんです！

24. ベストプラクティスから学ぶ
vCDP（Cloud Design Pattern）
§ 先人の知恵
§ http://aws.clouddesignpattern.org/index.php

25. ベストプラクティスから学ぶ
今年のsummitで配布された資料
実際に動いているアーキテクチャが構成図入りで紹介されている（127事例）
URL:https://aws.amazon.com/jp/solutions/partner-central/case-studies-guide/

26. アンチパターンを理解する
URL:http://www.slideshare.net/AmazonWebServicesJapan/20150609-antipattern-49198289

27. 責任共有モデル
vAWS側はクラウドのセキュリティに責任を持つ
§ 物理的なセキュリティ・ネットワーク
§ VMレベルのセキュリティ
vユーザーはクラウド内のセキュリティ設定・管理に
責任を持つ
§ OS/アプリケーション/FW・・・
§ アカウントの管理/アクセスキーの管理・・・
v簡単に言うと、ユーザーが“さわれない部分”は
AWSの責任
vユーザーが“設定できる部分”はユーザーの責任

28. 他要素認証
vAWSアカウントへのログインに際し、通常のユー
ザー名/パスワード以外にワンタイムパスを利用す
る設定
v個人利用だとしてもMFAを有効化することは大事
§ 不正利用されてお小遣いが・・・それは辛い
スマホアプリもあります

29. その他
vルートアカウントは使わない
§ IAMユーザーを作成して利用しましょう
v必要最小限の権限を付与しましょう
§ 最小権限の原則
vパスワードポリシを設定してセキュアに利用しよう
§ 文字数/大文字・小文字・特殊文字の利用など

30. ご静聴、ありがとうございました