レック・テクノロジー・コンサルティング株式会社TECH BLOG

クラウド ゼミ 第1回 AWS ~クラウドは鮮度が命~

こんにちは。クラウド基盤技術部のY.Nです。

ここ最近特に、お客様からクラウドという言葉を耳にするようになりました。
当社Re:Qでも、クラウド案件が1/3程度を占めてきており、
実案件として非常に増えてきたという印象です。

クラウドのサービスは日々改善され、さらに新しいサービスがすごい勢いでリリースされいます。
昨日まではできなかった(または作りこまなければなからなかった)要件が、
明日にはリリースされているといったことが多々あります。
我々エンジニアにとっては、この進化するサービスをキャッチアップし、
自分たちのナレッジ・ノウハウの鮮度を保つことが大切です。

そのようなスピード感においては、所謂一般的なトレーニング形式は適しません。
なぜかというと、教材などをそれなりに準備しようとすると時間がかかるからです。

という訳で、みんなのノウハウ、ナレッジを旬なうちに共有し、
明日から活かせる場をつくろうと、今回は「クラウドゼミ」という形で開催することに!

先生がいる訳でも、教材を事前につくるわけでもなく、
互いに現場での経験をシェアしあう場です。

-+-+-+-+-+-+-+-+-+-+-クラウドゼミの概要-+-+-+-+-+-+-+-+-+-+-
◆ クラウドゼミの目的
 ・各人が経験したノウハウ・ナレッジを共有し、スキルアップを目指す!
◆ クラウドゼミの内容
 ・特定のサービス内容、クラウドに関する小ネタ、クラウド事例 etc
 ・AWS、Azure、GCP、Oracle Cloud、Alibaba Cloud etc
◆ クラウドに関する困っていること、分からないことのQA
 ・案件で困っている、分からないことの質疑応答
 ・自己学習するなかでわからなかった点の質疑応答
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

本日は、7月25日(木)に開催した第1回クラウド ゼミの様子をお知らせします。

クラウドゼミの概要

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
◆ 第1回クラウド ゼミのテーマ
 ・テーマ1:IAM Permissions Boundariesによる権限制限
 ・テーマ2:AWS上のシステム本番稼働前に必ずチェックしたいポイント
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

テーマ1では、AWSサービスのアクセス管理機能であるIAM内の機能であるPermissions Boundariesについて、AWSコンソールの画面で操作しながら、サービス内容や、実際に運用で使われる場面について話し合いました。

通常ユーザ権限は、ポリシー(Permissions Policy)で制御しますが、Permissions Boundariesを使うことでさらにセキュリティを高めることができます。

機能の詳細は割愛しますので、気になる方は下記を参照ください:https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

参加者からは、厳格なセキュリティ・ポリシーに則った運用が可能になるので、
セキュリティの厳しいお客様には提案出来そうという意見や、
大規模なシステムで管理者が複数必要な規模でなければ使わない、
といった様々な意見が出ました。


 
テーマ2では、
AWS Summitで「備えあれば憂いなし!AWS上のシステム本番稼働前に必ずチェックしたい4つのポイント」というセッションに参加したメンバーが、
セッション内容に実体験を加えながら解説しました。

EC2インスタンスやRDSインスタンスを単一構成としていたために、
サービス稼働後にシングル障害でサービスダウンしてしまった、という事例があるようです。

インフラエンジニアからすると、そんな当たり前の可用性を考慮出来ていなかったのかと思ってしまいますが、AWSではインフラ知識がない人でも簡単にGUI操作でサーバ構築出来てしまうがために、このようなシステムが実際に存在するのかなって思います、、、驚きですよね。

他には、ログ運用について。
AWSでは、EC2インスタンスをAuto Scaling機能を使って自動でスケールアウト/インさせることができますが、あとからアクセス・ログなどを確認しようと思うと、EC2インスタンスが既に削除されていて、ログも消失してしまう、なんてことが起こりえます。そのため、ログ運用をしっかり設計しておくことが重要です。CloudWatch Logsにログ転送しておくことが多いですね。

そして、いわずもなが重要なセキュリティ
AWSではサービスにアクセスする際は、IAMの認証情報が必要です。
これはAWSコンソールにログインするユーザだけではなく、自動化バッチなどでも使います。具体的には、EC2からS3へファイルやログを退避するようなソースコード内に、アクセスキー/シークレットキーを埋め込むことで実装できてしまいます。ただ、このソースコードをGit Hubなどにアップロードしてしまい、意図せず世の中にアクセスキー/シークレットキーを公開してしまったなんて事例があります。

Git Hubなどを利用して便利な機能を簡単に公開できる世の中ですが、セキュリティ的に公開しても問題ないかは個人がきちんと意識する必要があります。それだけではなく、「ソースコード内にアクセスキー/シークレットキー埋め込むのではなく、外部ファイル化する」などのコーディング規約のようなものもきちんと定義しておく必要がありますね。

またAWSでは、IAMロールを使って一時的な認証情報を発行してAWSサービスにアクセスすることができますので、そもそもIAMユーザーのアクセスキーとシークレットキーを使わないようにするのがベストです。

最後の質疑/応答では、EC2インスタンスのバックアップ方法について、スナップショット取得が良いのか、AMI作成までした方が良いのか質問がありました。自分の担当案件ではこういうやりかたをしているという共有のほか、2019年7月に東京リージョンも対応したAWS Backupサービスを使ってみたらいいのではないかなど、様々な意見がでました。

第1回は、新入社員から中堅社員まで10名程度のメンバーが集まり、非常に盛り上がりました。

今回はAWSがメインでしたが、今後は他クラウド(Azure、GCP、Oracle Cloud?、Alibaba Cloud etc)にも取り組んでいきたいですし、技術面ではInfrastructure as Codeや、コンテナなどの事例も面白いかな、と思っています。

第2回、3回と開催予定ですので、その際はまたご紹介します!

この記事をシェアする

  • Facebook
  • X
  • Pocket
  • Line
  • Hatena
  • Linkedin

資料請求・お問い合わせはこちら

ページトップへ戻る