私が AWS を始めた頃にやっておいて良かったこと

2016.5.14株式会社サーバーワークス 多田 貞剛

JAWS-UG 白山

• 自己紹介• AWS を始めた頃にやって良かったこと• まとめ

本日のアジェンダ

自己紹介多田 貞剛 ( ただ さだよし )

株式会社サーバーワークス クラウドインテグレーション部 技術１課AWS 導入・移行のお客様のインフラ環境構築を担当

経歴インターネット広告のベンチャー企業のアプリケーションエンジニア中小独立系 SIer にてアプリケーションエンジニアで客先常駐

案件で偶然 AWS に触れ、感動してインフラエンジニアへジョブチェンジJAWS を中心に勉強会へ参加

2016 年 2 月から現職3

4

ただし代表に限る

Authorizations and Awards

AWS Solution Provider (2011)

APN Advanced Consulting Partner (2012)

パートナーアワード (2013)

APN MSP コンピテンシー (2014)

プレミアコンサルティングパートナー（ 2014/15 ）

isAWS 専業 の CIer

( クラウドインテグレーター )

10

ちょっと脱線

11

金沢に来たのは３回目になります

12

13

今日は日帰りです ( 泣 )

14

金沢のオススメのグルメ・スポット教えてください

15

閑話休題

16

初めて AWS を使った方いますか？

17

ぶっちゃけ何からやったらいいの？

18

• アカウント周り• 料金• セキュリティ• AWS の学習

本日の範囲

• アカウント周り• 料金• セキュリティ• AWS の学習

本日の範囲

root アカウントを使っている方？

21

root アカウントダメ。ゼッタイ。

22

なぜ root アカウントの使用はダメかサーバーで root アカウントが乗っ取られたら、されたい放題 ! AWS でも同じだから乗っ取られないようにするIAM を使用し、別アカウントを作成する

root は極力使わない

23

じゃあ IAM アカウント作れば安心？

24

そんなことはない

25

IAM アカウントだって一つ間違えば大惨事

26

IAM アカウントだって一つ間違えば大惨事管理者権限を持つユーザーを奪われたら、されたい放題

対策が必要になる複雑なパスワードポリシーと MFA を導入して、 AWS の入り口を強化しましょう

自分の身は自分で守りましょう！

27

パスワードポリシーについてIAM の設定でパスワードポリシーを設定可能

パスワードの最小文字数少なくとも 1 つの大文字 ( 小文字 ) が必要少なくとも記号を使うパスワードの再利用を禁止 etc

28

MFA( 多要素認証 ) についてIAM の設定でユーザー毎に MFA を設定可能

IAM ユーザーだけでなく、 root にも設定がオススメ

ハードウェア MFA とソフトウェア MFA がある基本は、後者になるはずオススメは、 Authy, Smartkey,Google Authenticator

29

秘密の質問の設定AWS カスタマーサービスによる本人確認に使う

MFA デバイス障害などで AWS コンソールへのログインが出来なくなった時に有効

30

IAM のダッシュボード

31

IAM のダッシュボード

32

オールグリーンがオススメ

• アカウント周り• 料金• セキュリティ• AWS の学習

本日の範囲

AWS は使った分だけ支払う従量課金↓

自分の財布の紐は自分で閉めましょう34

• 月額料金を表示• Billing Alert を設定する• Tag をつけてリソースで管理

AWS 利用料を知る方法

月額料金を日本円で表示

36

AWS の料金表示は、ドルドルだとわかりづらい…日本円で表示したい！

安心してください、できますよ

Billing Alert の設定

37

AWS の利用料金が設定額を超過したらアラート

CloudWatch が利用料金の超過を検知SNS を経由してメールを飛ばす

Billing Alert の設定

38

Billing Alert の設定

39

Billing Alert を設定していて助かった話

AWS のサービスには、無料利用枠があるうっかりして、 ElasticSearch の利用が $5 を超過！慌ててサービスを停止

Billing Alert は設定しましょう！

Tag をつけてリソースで管理

40

コストエクスプローラーで Tag 毎に料金を閲覧可能

EC2 に付けた Tag 名や、 S3 に付けたタグ名などTag をつけたリソースごとに値段をチェック

• アカウント周り• 料金• セキュリティ• AWS の学習

本日の範囲

AWS は責任共有モデルを採用

42

OS より上のレイヤーは自分で守る

どう守るかCloudTrail を有効化する

Config を有効化する

Trusted Advisor でチェックしてみる

セキュリティグループはできる限り絞るEC2 の接続元の IP は自分自身のマシンのみする等

46

CloudTrail とはAWS の全 API コールを記録するサービス

AWS の操作は API で実行されている

ログは S3 に JSON 形式で保存されるトラブルシュートに役立つ

サーバーを削除したのはいつか？DB に変更を加えたのは誰か？

47

Config とはAWS リソースの構成履歴、構成変更の通知を行うためのサービス

ログは S3 に保存し、設定変更の通知は SNS を使用AWS リソースの状態を記録する

EC2 の Security Group を変更したのはいつか？VPC のルートテーブルを変更したのいつか？

48

Trusted Advisor とはAWS サービスに最適なサービスの状態を確認するサービス

サービスをコスト最適化、耐障害性、セキュリティ、パフォーマンスの４点で確認AWS の培われた経験に基づいてリソースの状態を判断できる安心感

49

• アカウント周り• 料金• セキュリティ• AWS の学習

本日の範囲

AWS のアップデートは頻繁！

51

• サーバレスアーキテクチャ• IoT

• 機械学習• DevOps etc

最近の Hot ワード

やることいっぱいだ…

54

とはいえ、基本は押さえましょう

55

インプット編

56

• AWS の公式のサービスページ• 各サービスのドキュメント• Cloud Design Pattern(CDP)

• AWS の各種サービスに関する資料- AWS Black Belt Online Seminarhttps://aws.amazon.com/jp/aws-jp-introduction/

どこで情報を得るか

• アップデート情報はいち早く発信される• 種類も豊富

- Big Data,DevOps,Security 等• 英語ブログを読む　 - 最新情報の発信はまず英語　 - ドキュメントも英語のものが多い

公式ブログもオススメ !

アウトプット編

59

• 個人環境で手を動かす• 無料の環境で手を動かす (qwiklabs)　 - https://qwiklabs.com/

• 書籍で手を動かすだけでも良い- Amazon Web Services クラウドデザインパターン実装ガイド 改定版- Amazon Web Services 実践入門- Amazon Web Services パターン別構築・運用ガイド etc

手を動かして慣れましょう

AWS で詰まったら…

61

• ググる　 - ググれカスと言われないように…• AWS Support に聞いてみる• AWS Developer Furms で質問してみる• JAWS に持ち寄ってみる

とりあえず

• アウトプットしましょう- 同じように困っている人がいるかも

• 相互に助け合うやり取りでクラウドを楽しむ時間を促進できる ( と思ってる )

• クラウドで、エンジニアライフを、面白く！

詰まっていることが解消したら

まとめ

64

• AWS を始めて頃にやってよかったことをご紹介• 人それぞれやり方があるので、ご参考になれば• JAWS で一緒に AWS の技術を向上していきましょう！

AWS Summit Tokyo 2016

JAWS-UG のイベントもあるよ

懇親会もある (New!)

ご質問があればお気軽にどうぞ

69

ご清聴ありがとうございました

70