aws運用のためのノウハウと自社運用が難しい場合の代替案
awsは、導入時の作業ボリュームが大きく、導入が完了すると達成感がありますが、その後の運用にも力を入れたいものです。適切に運用することが、企業業績アップにつながり、コストダウンを実現できるからです。そのためには、aws運用のノウハウを押さえておく必要があります。
こちらでは、aws運用の概略を説明し、運用が難しい場合の代替策についてもご紹介します。
運用初期段階でやるべきこと
aws運用のノウハウは、単一で小規模の事業規模と、グローバルに結びついた大企業では多少違ってきます。こちらではシンプルな環境をイメージしたaws運用のノウハウを考えてみたいと思います。awsを運用するにあたり、最初の段階で行いたいのはアカウントの設計です。
awsを使うためには、メールアドレスやパスワード、連絡先などを登録してawsアカウントを作成します。awsアカウントは、分割しない・環境ごとに分割する・システムや環境ごとに分割するの3つのパターンに分かれ、自社にとって一番良いものを選ぶとよいでしょう。
多くの場合は、本番環境のほかに、開発環境や検証環境を構築しているので、それらすべてを一つのアカウントで管理すると、コスト的には最も低価格で済むものの、ヒューマンエラーなどが起きやすく、管理も煩雑になります。
予算的に可能であれば、システムと環境ごとにawsアカウントを分けるのがおすすめです。運用初期段階で行いたい別の点が、命名規則の作成です。画面に表示されるリソースの名前をわかりやすく、かつ統一感があるものにするということです。
このリソース名の方向性やネーミングの規則を決めておくと、表示されるリソースの働きが一目で理解でき、ヒューマンエラー削減に役立つとともに、リソース削除の判断がしやすくなります。さらにルートアカウントの作成も行います。
awsルートアカウントは、すべての操作が可能になるアカウントとなります。乗っ取りなどを防ぐため、二段階認証を有効にするなどの設定が必要です。また、退職などにより、管理者が不在になることを防ぐため、個人のものや普段使用する作業アカウントとは別に設定するとよいでしょう。
ルートアカウントですが、デフォルトの設定では、請求業務にアクセスできるのがルートアカウントのみとなっています。運用上不便であれば、その他の作業者でもアクセスできるよう変更しておくとよいかもしれません。リソースの構築方法の確立も必要です。
運用間もないころは、コマンドラインでリソースを作成・削除することもできますが、規模が大きくなったり複雑化した段階で同じ方法をとっていると、ヒューマンエラーやコストの上昇が起きやすくなります。そのため、APIを用いてリソースを作成しておく必要があります。
よく使われているのが、awsが提供しているCloudFormationで、テンプレートから効率よくリソースを作成したり管理できます。
サービスの構築
aws運用に際しては、サービスの構築がポイントになります。awsを安全に運用するのに必要なサービスの一つが、IAMです。awsを利用する一人一人のユーザーアカウントをIAM上に作成し、CloudTrailを有効にすると、証跡ログを残せるので、様々な分析に使うこともできるでしょう。
IAMの設定で気を付けたいのは、デフォルトですべてのアカウントに対し、管理者権限が付与されてしまうことです。個々のアカウントは、グループを作成して所属させたうえで、権限を制限する設定が必要になります。また、セキュリティレベルを上げるため、パスワードポリシーを強化することも大切です。
ネットワーク利用のサービス設定も必要です。awsでは、仮想プライベートクラウドとされるVPCを設定して運用します。デフォルトのアドレスとサブネットは、172.31.0.0/16となっていますが、複数のVPCを使うときは特に、別のアドレスを用いることもできますし、サブネットもホスト数などにより変更できます。
加えて、エンドポイントの設定も行いましょう。通常は、社内のプライベートネットワークから外部に通信するためには、インターネットの使用が必要ですが、awsの場合、エンドポイントを設定することで、インターネットを経由しない、より安全な通信が可能になります。
仮想サーバーの運用に必要なEC2サービスの設定も行えます。EC2では、仮想サーバーを「インスタンス」という単位で柔軟に利用できるので、業務の効率化やスペック変更に対応可能です。データの格納や管理に利用できるのがS3です。
データのバックアップや復元、アーカイブなどが可能で、コストを考えた運用が実現できます。
オンプレミス型から移行する場合に考えたいデータ保護
今までオンプレミス型の環境で運用し、新たなawsを導入した場合は、データ保護の考え方が若干異なってくるため、注意が必要です。awsのデータ保護は、Cloud Automatorを使うことが一般的です。Cloud Automatorを使うと、awsのソフトウェア構成やデータベースを含めたバックアップの一元管理が可能になります。
Cloud Automatorは、バックアップを自動化でき、運用負荷を軽減するのにも役立ちます。
クラウド環境だからこそ重視したいセキュリティ
自社にサーバーを置かず、外部で運用するクラウド環境では、セキュリティ対策が重要です。awsの基本的な仕組みやサービスで、セキュリティを担保する仕組みはありますが、ヒューマンエラーや事故を防ぐには、さらなる対策の強化が必要です。
awsには、AWS Configといわれる、設定を記録し評価するサービスがあります。例えば、ユーザーの環境が変化したタイミングで、セキュリティのリスクの確認ができるといった具合にです。また、Cloud Automatorの構成レビュー機能を使うと、自社に必要なポリシーが記載されたテンプレートを選ぶことで、正しく運用できているかを定期的にチェックできます。
自社での運用が難しい場合
awsを導入したものの、運用コストが予想以上にかかることが分かった、運用を任せる人材が育っていないという場合は、監視や運用を代行するサービスの利用も視野に入れるとよいでしょう。awsの監視・運用代行サービスを利用すると、正しい設定ができていなかったために、異常に気が付けなかったという事態は防げるに違いありません。
また、人材を確保しづらい休日や夜間の監視も可能になります。運用規模にもよりますが、初期費用は10万円程度、月額で5万円程度から利用できるところが多いようです。
awsの運用ノウハウのポイント
awsの運用では、アカウントや命名規則の設計、ルートアカウントの作成やリソースの構築設計の確立が必要です。また、利用者のアカウントやネットワーク、仮想サーバーを利用するのに役立つサービスの設定を行います。
データ保護やセキュリティの厚みを持たせた対策も重要です。自社での運用が難しい場合は、監視・運用代行サービスを利用するのもよい方法です。