茶太郎の日記

クラウドやコンテナ辺り中心に技術をやっていきます

一週間遅れのAWS Summit Tokyo 2018 (Day1) の私的まとめ

土日にガッツリ風邪を引いてしまったのでタイミングを逃してしまいましたが、
AWS Summit Tokyo 2018 (Day1) に参加してきたのでまとめのレポートになります。

一応セッションの予約は開始日に登録したのですが、
なかなか繋がらなくて繋がったと思ったらかなり埋まっているという惨状で、
とりあえず空いてるところに予約入れた感じでキャンセル待ちとか見直ししてなかったので、
若干なんでこれ申し込んだんだっけ?みたいなのもありましたが、
どれも内容が濃くていい刺激がもらえました。



事例でわかる、AWS 運用を支えるサポート活用方法とエンタープライズサポートという選択

クックパッド株式会社 インフラストラクチャー部部長 星 北斗さん

加入サポートプランの経緯

  • ~2016
    • Developer Support $49/month (初回応答に3営業日)
      • インフラの管理は全てインフラ部がやる
      • AWSに関するノウハウは全てインフラ部に集約
      • 「僕らがわかるのになんで高いお金を払わないといけないの?」
  • 2016~
    • enterprise $15,000~/month

何があった?

  • 2016年に激動の変化

    • 経営体制、方針の変更
    • (登壇者の)インフラ部部長昇格
  • 中央管理の限界

    • インフラ部(+自分自身)がボトルネックになってしまった
      • 本来やるべきことに時間を使う必要があった
        • × AWSの検証・管理
        • ○ ユーザにサービスを届けること
    • そもそもAWSの利点が活かせていないのでは?
    • 自律分散できる仕組みに変えなければ先がない状況

どういう状態を目指したのか

  • 誰もが人にお伺いを立てずとも自身で前に進める状態へ
  • 中央集権の廃止
  • 自律化=セルフサービス化

エンタープライズサポートの選択

  • 気兼ねなく質問できる環境
  • 「我々がノウハウを貯めるよりノウハウを引き出すほうが良い」
  • TAMアサイ

エンタープライズサポートの実際

  • サポートケースの使い方
    • 権限を全てのユーザに解放し誰でも使えるように
    • 補足が必要な質問などには横から割り込み
    • とにかく「カジュアルに質問できる」環境を作る
    • 全開発者がインフラ部に気兼ねすることなく質問できる
  • アカウントコンシェルジュ
    • エンタープライズサポート専属のコンシェルジュ
    • 複雑な料金体系への理解が深い
    • サービス公開前などに手伝ってもらえるのが最高
    • AWSの色々なサービスを使っていくのにとても助かる存在
  • TAMアサイ
    • ビジネスの流れを理解しながらAWS(以外の技術も!)の技術を相談できる相談役
    • SAなどとSlackでカジュアルに質問に答えてくれる
    • 障害などの動向を常に把握しつつ注意喚起してくれる
  • アカウントチーム
    • TAM, SA(ソリューションアーキテクト), 営業などがサポート
    • 普段からSlack上にいてくれる
    • チャンネル公開して全社員誰でも相談できるようにしている
    • 新しいサービスの構成などについても相談しながら進められる

TAMとSA

  • TAM
    • AWSサービスを『もっと使いこなす方法』を一緒に考える
  • SA
    • サービス特性を理解し、AWSサービスを使って『やりたいことをどう実現するか』一緒に考える

エンタープライズにしてみて

  • 強力な味方を得ることによって「使いこなし」がさらにできるようになる
    • サービスの幅が広がり、どちらにせよ全領域一人でカバーするのは難しかった
  • お値段以上!

ソニー株式会社 ブランドデザインPF UX事業開発部門 経営企画課 伊藤 哲也さん

  • DevOps前後でアカウント数が増えた
  • AWS Organizationでマスターアカウントでサポートに加入

エンタープライズサポートのコミュニケーション対策

  • サポートはアカウントごとに閉じているため、同じ質問が重複してしまう
  • マスタアカウント不在の時にサポートを受けられない
    • [対策] これもAWSサポートと協力して直接やり取りしてくれる仕組みを作ってくれた

その他の恩恵

  • コンシェルジュが費用分析してくれる
    • 自力で詳細レポートから分析するのは困難

AWS Well-Architected Framework (以後AWS W-A)

  • AWSの各フェーズにおけるベストプラクティス集
    • 要件検討
    • 設計
    • 構築
    • 運用
  • 柱ごとのホワイトペーパーとチェックリストでチェックできる
    • セキュリティ
    • 信頼性
    • パフォーマンス
    • コスト
    • 運用性
  • あくまでベストプラクティス
    • リスクを把握できていることが重要
    • 対処するかはビジネス判断
  • 一度だけでなく定期的な見直しが必要
    • Ever Green:常に枯れないシステムを目指してほしい

セキュリティ入門1

クラスメソッド

予防的統制

あらかじめ想定されるリスクの発現を予防するためのもの

2 * 3 = 計6軸の観点

/ リスク評価 リスク対処
インフラストラクチャ 1 4
データ 2 5
論理アクセス管理 3 6
  • リスク評価の1, 2, 3にはいずれもW-AとTrusted Advisorが入る
  • その他全てに対応するサービスがある(リンク参照)

セキュリティ入門2

クラスメソッド

発見的統制

あらかじめ想定したリスクと未知の驚異の発現をあらゆるイベントから検知し、
その影響を抑えるためのもの

  • イベントの管理
    • CloudWatch
      • APIの操作からOS・アプリのログまでAWS内のイベントはほぼ網羅して集められる
  • インシデントの検知
    • GuardDuty
      • セキュリティの観点から脅威リスクを検知するAWSマネージドサービス
      • 機械学習でリスクを判定してくれるらしい
        • ソースはJVNなど
  • インシデントに対するアクション
    • セキュリティ・オートメーション
      • GuardDuty > CloudWatch Event > Lambda/StepFunctionのような流れで概ね自動で対処までできてしまう
        • LambdaからAWS Systems ManagerのRun Commandからyum updateさせたり

私的所感

  • サポートは直接手は動かしてくれないが、豊富な経験・知識から技術面・サービス面で協力にサポートしてくれる
    • サービスを作るための生産性に最大限寄与する
    • 変なSIerから数人雇うより圧倒的に強力
      • 頼もしいと思うとともにSIerにいる身としては危機感を感じた
      • APNパートナーでも太刀打ちできるのか?というレベル
      • AWSが意図しているかは別だが、SIerの価値が下がる・排除される構図は確実に出来上がってきている
  • (運用)自動化という言葉はあまり聞かなかったが、セキュリティ・オートメーションはまさに運用自動化
    • すでに自動化は当たり前になっていて、自動化しにくかったセキュリティ領域もできるようになってきている状況だと感じた
  • W-Aの話の中で「東京リージョンにする必要がありますか?」という話でハッとした
    • EC2などモノによっては40%も価格が違う
    • レイテンシはCloudFrontで差がなくせる
    • 新サービスをいち早く導入できるのもメリット

余談ですが1年半前にソリューションアーキテクト(アソシエイト)を取得していたので、
認定者用ラウンジでシールをもらえました!
早速PCに貼りました!!
失効前にプロフェッショナルを取得して新しいシールを貰おうというモチベも上がりました!

f:id:chataro00:20180606222032j:plain