20180729 JTF2018 AWS Management Toolsの使いどころ

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.2018/07/29
AWS Management Tools の使いどころ
July Tech Festa 2018

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
•
• Amazon DevOps
Amazon
• AWS
Management Tools

• Amazon
• Amazon Management Tools
• AWS Management Tools
• AWS

ロードバイク BBQ& キャンプ
娘×2
ダイエット
En g lish
アジャイル⽇本酒⿇婆⾖腐担々麺
唐揚げカレー
関⻄弁
トロンボーン
( )
•
• Management Tools & DevOps
• JAWS-UG
• qpstudy
AWS AWS CLI
Twitter: @yktko / Facebook: yukitaka.ohmura

Amazonのビジョン
5

Our Vision:

1997
focus relentlessly on our
customers
make investment decision in
light of long-term market
leadership consideration

amazon is innovating across many domains
Drone Development Fire OS Kindle In-house Entertainment
Grocery Delivery Video Streaming Cross Site ShoppingCloud Computing

customer obsession ownership
invent and simplify
are right, a lot
hire and develop the best
insist on highest standards
think big
bias for action
frugality
learn & be curious
earn trust
dive deep
have backbone; disagree & commit
deliver results
amazon leadership principles

ALWAYS
WORK
BACKWARDS
FROM THE
CUSTOMER
CUSTOMER OBSESSION

#1
FAQ#2
#3
Launch,
#4

ビジョンを実現するために
15

1994
Books…
Journey
2018
E-commerce, Kindle, Prime, …

17

releasetestbuild

Microservice
releasetestbuild
releasetestbuild
releasetestbuild
releasetestbuild
releasetestbuild
releasetestbuild

Microservices
HTTP API

2001
Amazon : 2001-2009
2009
+

-
Agile

You build it, you run it. in 2006
The traditional model is that you take your software to
the wall that separates development and operations, and
throw it over and then forget about it. Not at Amazon. You
build it, you run it.
http://queue.acm.org/detail.cfm?id=1142065

Amazon
90%
AWS Code Pipeline
Pipelines

Amazon
AWS CodeDeploy

CustomerObsession
1.
• MicroServices
2.
• Two Pizza Team
3.
• Continuous Integration / Continuous Deploy
•
4.
• Apollo / Pipelines
•

Mechanism
27

Good intentions don't work
Good mechanisms work
to make everything happen
28
Jeff Bezos

Amazon
• : Customer Obsession
• :
• Mechanisms:
• Two Pizza Team
• Microservices
• Cloud Services
• Leadership Principle
29

Mechanisms
• Two Pizza Team
•
• Microservices
• End to End Ownership
• Cloud Services
•
• Leadership Principle
•
30

Two Pizza Team
Software Development Manager 1
Software Development Engineer(SDE) n
31

Two Pizza Team
• / / /
•
• &
•
•
•
32

Software Development Engineer
• / /
•
• End-to-End Ownership
•
33

Software Development Manager
• SDE
• Product Manager
•
• Wiki
•
• "Done"
• 1on1
•
34

Amazon
•
•
• Two Pizza
•
• Two Pizza Team Tools
•
• Customer
35

AWS
516
24 48 61 82
159
280
722
1,017
LAUNCHES
2008 2009 2010 2011 2012 2013 2014 2015 2016
1,300+
2017
1,430

コラム
37

vs
(@ryuzee)
• Infrastructure as Code
• https://slide.meguro.ryuzee.com/slides/75
• DevOps
38

How Amazon users
AWS Management Tools
39

The challenge
40
- Define
- Discover
- Monitor
- Manage
- Report
- Respond
- Agility
- Innovation
Governance
Developmentspeed

AWS enables you to do both
41
- Define
- Discover
- Monitor
- Manage
- Report
- Respond
- Agility
- Innovation
Governance
Developmentspeed

AWS Management Tools
AWS CloudFormation
AWS Service Catalog
AWS OpsWorks
AWS Systems Manager
Amazon CloudWatch
AWS CloudTrail
AWS Config
AWS Trusted Advisor

43
https://www.youtube.com/watch?v=IBvsizhKtFk

2
チーム別アカウント共有アカウント

Access Control

Access Control
Amazon RDS Instance

Access Control
Upgrade DB
Engine Version
Amazon RDS Instance

Access Control
Amazon RDS Instance
Delete Instance

-

1 -

2 -
"Action":[ ”rds:*” ],
"Effect":"Allow",
"Resource":"*",
"Condition":{
"StringEquals":{
”rds:db-tag/team-name":
[”finance"]
}
}

- IAM
•
• IAM Role
•

IAM -
1. Authenticate + Authorize 2. Assume Role
3. STS Token
4. URL
5. Launch Console
Identity Broker
I am: Bob Roberts
I want to: Manage-RDS
On: AWS Account 1234367

IAM -
•
•
•

ASAP
SNS Topic
AWS ConfigAWS Cloudtrail
AWS Account
Amazon
Cloudwatch
Events

ASAP
SNS Topic
SQS
Notification
Queue
Event Dispatcher Rule Evaluators
ASAP
AWS Account
Describe state
Amazon
Cloudwatch
Events

ASAP
SNS Topic
SQS
Notification
Queue
Reactor
SNS Topics
ASAP
AWS Account
Describe state
Reactors
Amazon
Cloudwatch
Events

• 設定変更があったリソースの記録
• 設定のベースラインと差異の検出
• 変更内容の通知
AWS Config
AWS Account
SNS Topic
AWS Config

Amazon CloudWatch Events
• 発生したイベントの検知
• ユーザ起因のイベントだけはでない
• スケジューリング+カスタムイベント
SNS Topic
AWS Account
Amazon
Cloudwatch
Events

• ユーザおよびアプリケーションの
アクティビティを記録
• すべてのAPI呼び出しが記録される
• ほぼ全てのAWSサービスをカバー
• CloudWatch Eventと組み合わせ
（クローラ不要）
AWS Cloudtrail
SNS Topic
AWS Account
AWS Cloudtrail
Amazon
Cloudwatch
Events

ASAP
AWS Account
Amazon RDS
Instance

ASAP
AWS Account
AWS Cloudtrail
[{ ...
"arn:aws:iam::123456789012:user/Mike",
"eventTime": "2017-11-10T21:22:54Z",
"eventSource": ”rds.amazonaws.com",
"eventName": ”CreateDbInstance",
"awsRegion": "us-east-2",
"requestParameters": {
”dbInstanceId": ”mine-all-mine”,
“MultiAZ” : “false” }
...
Amazon RDS
Instance

ASAP
AWS Account
AWS Cloudtrail
Amazon
Cloudwatch
Events
Amazon RDS
Instance

ASAP
AWS Account
AWS Cloudtrail
SNS Topic
Amazon
Cloudwatch
Events
Amazon RDS
Instance

ASAP
AWS Account
AWS Cloudtrail
SNS Topic
ASAP
SQS
Notification
Queue
Amazon
Cloudwatch
Events
Amazon RDS
Instance

ASAP
AWS Account
Reactor
AWS Cloudtrail
SNS Topic
ASAP
SQS
Notification
Queue
Event Dispatcher Rule Evaluators Reactor
SNS TopicsAmazon
Cloudwatch
Events
Amazon RDS
Instance

ASAP
AWS Account
Reactor
AWS Cloudtrail
SNS Topic
ASAP
SQS
Notification
Queue
SNS Topics
Ticket / Notification
Amazon
Cloudwatch
Events
Amazon RDS
Instance

ASAP
SNS Topic
SQS
Notification
Queue
SNS TopicsAmazon
Cloudwatch
Events
AWS Cloudtrail
ASAP
AWS Account
Reactor
Amazon RDS
Instance
Ticket / Notification

•
•
•
•
•

Takeaways
•
•
•
• AWS
•
• ASAP
•

AWS Management Toolsの使い方
77

マルチアカウント管理
セキュリティオートメーション
78

Lock
AWS
(“Root Account”)
Enable
AWS CloudTrail
Define
Federate
Establish
InfoSec
Identify

AWS VPC内のAWS
サービス
Amazon S3用のVPCエ
ンドポイント
DNS in-VPC with
Amazon Route 53
VPCフローログでのV
トラフィックロギング

マルチアカウントストラクチャ
開発
準本番
BU/プロダクト/リソースアカウント
開発者アカウント
セキュリ
ティ
コアアカウント
AWS Organizations アカウント
課金ツール
共有
サービス
Sandbox
ネットワー
キング
内部監査ロギング
本番
共有サービス
開発者
Sandbox
データセンター
Orgs:
:
: AWS Config
Rules,
: ,
DNS,
:
Sandbox:
:
:
:

H
• AWSのベストプラクティスに基づいた構成済み、セキュア、ス
ケーラブルなマルチアカウントのAWS環境
• 全く新規の開発や実験の出発点
• クラウドへのマイグレーションジャーニーの出発点
• 時間経過とともに反復と拡張が可能な環境

AWS Landing Zone
新しいAWS環境のセットアップを自動化する easy-to-deploy ソリューション
AWSのベストプラク
ティスと推奨に基づく
初期のセキュリティと
ガバナンスのコント
ロール
ベースラインアカウン
トとアカウントベン
ディングマシン
自動化された
デプロイメント

AWS Landing Zone
• 複数アカウント環境の作成とベースライン確保のフレームワーク
• セキュリティ、監査、必要な共有サービスを含む
初期マルチアカウント構成
• 一連のセキュリティベースラインを持つ追加アカウントの
デプロイメントを自動化するアカウントベンディングマシン
Account
Management
• AWS SSOフェデレーションを利用したユーザーアカウントアクセス管理
• 中央集中管理を実現するクロスアカウントロール
Identity & Access
Management
• 責務の分離を可能にする複数アカウント
• 初期のアカウントセキュリティとAWS Config rules ベースライン
• ネットワークベースライン
Security &
Governance

AWS Landing Zone Organizations アカウント:
• アカウントプロビジョニング
• アカウントアクセス (SSO)
共有サービスアカウント:
• Active Directory
• ログ分析
ロギングアカウント:
• CloudTrail/Config logs
セキュリティアカウント:
• Audit/緊急アクセス
AWS
Organizations
AWS SSMAWS
Service Catalog
Core OU
SharedServices account Logging account Security account
AWS Organizations account
Network
Baseline
Account Baseline Account Baseline
Account Baseline Security Cross-
Account Roles
AWS Microsoft
AD
Aggregate CloudTrail
and Config Logs
Log
Reporting
Amazon S3 bucket
(manifest file)
AWS
CodePipeline
Stacksets
AWS
SSO

AWS Service
Catalog
Account Vending
Machine
New AWS Account
Network Baseline
Account Baseline
AWS
Organizations
OUCore
Security Account
Security Roles
Logging Account
Audit Bucket
Shared Services Account
Shared
Network
• アカウントベンディングマシン
(AWS Service Catalog)
• アカウント作成UI
• アカウントベースラインのバージョン管理
• 起動制限
• AWSアカウントの作成/アップデート
• アカウントベースラインStackSetの適用
• ネットワークベースラインの作成
• アカウントセキュリティコントロールポ
リシーの適用

Webiner
aws.amazon.com/answers/aws-landing-zone

CI/CD
構成管理
89

デプロイ対象による管理範囲の違い
EC2
OS
M/W
App
Fargate
コンテナ
Lambda
App
デプロイ
デプロイ
デプロイ
AWS管理
ユーザ管理

AWSのDevOps関連サービスの全体像
MonitorProvisionDeployTestBuildCode
Elastic Beanstalk
OpsWorks for Chef Automate
OpsWorks Stacks
Cloud
Watch
Cloud
Formation
Code
Deploy
Code
Commit
Code Pipeline
Code Build
AWS Cloud9 AWS CodeStar

EC2のプロビジョニング&デプロイ対応範囲
92
Cloud
Formation
Elastic
Beanstalk*
OpsWorks
Stacks**
Code
Deploy
*) AWS
**) Chef
ELB/SQS/RDS
EC2
OS
M/W
App
デプロイ
他のサービス

AWS Systems Manager によるサーバ運用
AWS cloud
data center
Run Command
Automation
Patch Manager
Lambda
Step Functions
AWS CLI
AWS Config CloudWatch EventS3
S3
CloudWatchLogs
SNS
CloudWatch
&
Inspector
CloudWach
Agent
Inspector
Agent
SSM
Agent
IAM
Role
Athena&Quicksight CFn CLI Lambda ECS
tag: xxx
tag: xxx
tag: yyy

Amazon EC2
AWS
CodePipeline
Source Build Deploy
AWS
CodeCommit
AWS
CodeBuild
Amazon RDS Amazon S3Developer
Control plane
Data plane
Backing service
Registry
CI/CD pipeline
AWSのコンテナサービスとCI/CD

Serverless ApplicationのCI/CD
SAM CLI + SAM & CloudFormation + CodeDeploy
95
SAM+CFn
CodeDeploy
SAM CLI https://github.com/awslabs/aws-sam-cli

参考資料
• AWS BlackBelt Online Seminar - AWS Systems Manager
• https://www.slideshare.net/AmazonWebServicesJapan/20180723-aws-black-belt-online-seminar-aws-systems-manager
• AWS BlackBelt Online Seminar - Amazon Container Services
• https://www.slideshare.net/AmazonWebServicesJapan/20180214-aws-black-belt-online-seminar-amazon-container-services
• AWS Well-Architected （AWSのベストプラクティス）
• https://aws.amazon.com/jp/blogs/news/aws-black-belt-online-seminar-well-architected-framework-cost/
• AWS Summit Tokyo 2018資料
• https://summitregist.smktg.jp/public/application/add/59
• AWS BlackBelt (オンラインセミナー) 過去資料
• https://aws.amazon.com/jp/aws-jp-introduction/
• AWS オフィシャルドキュメント
• https://aws.amazon.com/jp/documentation/
• AWS の各種サンプルコード
• https://github.com/aws-samples
• AWSが提供するオフィシャルツール
• https://github.com/awslabs/

まとめ
• Amazonはどのようにサービスを作り提供しているか
• AmazonはどのようにManagement Toolsを使っているか
• AWS が提供する Management Tools の使い方

Join Us!
https://aws.amazon.com/jp/careers/
98

Thank you

20180729 JTF2018 AWS Management Toolsの使いどころ

Recommended

Recommended

More Related Content

Recently uploaded

Recently uploaded (20)

Featured

Featured (20)

20180729 JTF2018 AWS Management Toolsの使いどころ