AWSサービスの機能を調べる(Management & Governance)
皆さんは、AWSクラウドが持つ機能を調べるとき、どうしていますか?
また、使おうと考えているサービスの仕様をどのように調べていますか?
私はこのところ、AWSサービスの機能のホントのところを確認するために、AWS公式ホームページの「AWSサービス別資料」で確認を取っています。
(資料には、SlideShare 、PDF 、Youtube があります)
ちまたのインターネットでの技術ネタを調べることも過去多かったのですが、情報の鮮度もありますし、やっぱり本家の情報がしっくりと安心できます!!
今回は、この画面の左にあるカテゴリー分けから「Compute」を選んだときに、各資料にはどのような情報が含まれているかを箇条書きにします。(99-99 形式の数字はページを表します)
Management & Governance
●●資料【01_EC2 Auto Scaling and AWS Auto Scaling】
Compute にあるものと同一
●●資料【02_AWS_CloudWatch】
10-11 Amazon CloudWatchの概要
12-27 CloudWatch Metrics
19-20 CloudWatch のメトリクス値
21Page Metric Math
22Page メトリクスの収集
23Page EC2のメトリクス収集
25Page CloudWatch カスタムメトリクス
26Page CloudWatch で利用できるエージェント/プロトコル
27Page 統合CloudWatch エージェント
28-37 CloudWatch Alarms
31Page データ欠落時の処理
32-34 CloudWatchアラームの設定
35Page CloudWatch Alarmsのアクション機能
36-37 ユースケース
39Page CloudWatchによるコストの監視
40-56 CloudWatch Logs
45-46 CloudWatch Logs メトリクスフィルタ
47-48 CloudWatch Logs サブスクリプションフィルタ
49Page Amazon S3 へのログデータのエクスポート
50-55 CloudWatch Logs Insights
56Page Visualization
57-62 CloudWatch Dashboards
62Page CloudWatch Alarmsとの統合
63-70 CloudWatch Events
68Page イベントバス
70Page Amazon CloudWatch Events での AWS Healthイベントのモニタリング
71Page Private Link の対応(Metrics / Events / Logs)
73-76 料金の概要
●●資料【03_AWS CloudFormation deep dive】
9-18 1. 各アカウントにベースラインを展開する
20-22 2. 手動で作った既存リソースをCFnの管理下に入れる
24-25 3. 既存のスタックを分割する(テンプレートリファクタリング)
27-30 4. Ansibleと組み合わせてサーバ構成を管理する
32Page 5. 1つのテンプレートから複数の環境をデプロイする
Deepな機能
36Page 1. 任意の処理を追加する(Custom Resources)
38Page 2. スタック作成時にテンプレートを加工する(マクロ)
40Page 3. スタック作成権限とリソースの保護
42Page 4. CDKとCFnの使い分け
44-45 5. CodePipelineからCFnスタックをデプロイする
47Page 6. CFnでECSのBlue/Greenデプロイを実施する
リソースプロバイダを使った独自リソースの作り方
50Page CloudFormationリソースプロバイダ
51Page CloudFormationレジストリ
52Page リソースプロバイダ実装の流れ
53Page Pythonによる実装例 1
54Page Pythonによる実装例 2
55Page Pythonによる実装例 3
56Page Pythonによる実装例 4
57Page Pythonによる実装例 5
58Page リソースプロバイダを使った独自リソースの作り方まとめ
よくある質問
61Page 使いたいサービスがまだCloudFormationリソースにない
62Page 循環参照になってセキュリティグループが作成できない
63Page 依存関係が残っていて削除に失敗する
64Page CodeDeployでAutoScalingのBlue/Greenデプロイをすると構成が合わなくなる
65Page CloudFormationのQuota
●●資料【04_AWS CloudFormation】
10-13 CloudFormationの概要
15Page CloudFormation を使った構成管理の流れ
16-18 YAML/JSONで記述⇒アップロード⇒スタックの作成⇒リソースの作成と管理
(参考) 既存リソースをインポートして始める方法
23-27 テンプレートとスタックの概要
26Page テンプレートの要素
28Page Metadata
29Page Metadata Key
30-31 Parameters
32-33 Mappings
34Page Conditions
35Page Transform
36Page Resources (必須)
37Page Outputs
38Page 論理IDと物理ID
39Page Function、疑似パラメータ
40Page 組み込み関数
41Page !Ref, !Sub, !GetAttの使い分け
42Page 擬似パラメータ(Pseudo Parameters)
44-35 スタック
49-52 開発
50Page エディタ
51Page cfn-lint
52Page 自動補完
56-60 テスト
57Page cfn-lintによる厳密なチェック
58Page TaskCatによるマルチリージョン/アカウントテスト
59Page cfn-nagによるセキュリティチェック
60Page CloudFormation Guard (2020/08現在 Preview)
64-67 デプロイ
65Page CodePipeline でデプロイ
66Page Change Set で変更内容を事前確認
(変更セットを利用したスタックの更新:
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-changesets.html
(スタックのリソースの更新動作:
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-update-behaviors.htm
67Page StackSets
70-95 運用
73-75 スタックの更新
77-82 スタックとリソースの保護
83-88 ライフサイクル別のテンプレート管理
90-91 既存スタックのリファクタリング
(CloudFormation リソースインポート:
https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/resource-import-existing-stack.html
93-94 ヘルパースクリプト
95Page Dynamic Reference
●●資料【05_AWS Cloud Development Kit (CDK)】
14-21 AWS CDKとは?
23-26 CDK 開発環境の準備
28-29 Demo – TypeScript編
31-32 Demo – Python編
34-37 紹介 – Java編
39-43 紹介 – C#編
CDK コアコンセプト
46Page CDK アプリケーションの構成
47-52 Construct
53Page Environment
54Page Context
55-57 SSM ParameterStore / SecretManager
CDK Tips&Trics
59Page アクセス許可指定のイディオム
60Page 複数スタックの管理
61-62 テスト
63-64 CDKのバージョンアップ
65Page 困った時は
CDK DiveDeep
67-68 jsii
67Page CDK RFCs
70Page FeatureFlags(古いコードも正しく動作するためのフラグ)
71Page CDK Node.js Lambda Construct
72Page 参考)awsome-cdk
73Page 参考)既存環境からCDKコードを生成する(参考:Former2)
75Page ドキュメントと参考資料
●●資料【06_AWS_CloudTrail】
9-10 AWSの操作はAPI
12-13 AWS CloudTrailの概要
16-24 証跡ログの保存、保護
26-28 コスト最適化
30-35 証跡ログの調査
36-38 Amazon Athena
39-40 Amazon Elastic Search
41-48 Amazon Cloud Watch Logs Insights
50-51 証跡ログのモニタリング、脅威検出
52Page Amazon GuardDutyとは
53Page AWS CloudTrail Insights
54-56 Amazon Cloud Watch Logsモニタリング
57Page SIEM on Elastic Search Service(AmazonES)
60-61 AWS CloudTrail セキュリティのベストプラクティス抜粋
●●資料【07_AWS Command Line Interface & AWS Tools for Windows PowerShell】
6-7 AWS CLI & AWSToolsfor WindowsPowerShell
11-17 AWS CLI / Powershell のセットアップ
18-19 AWS CLI パラメータ
21-24 AWS CLI パラメータ[options]
25-33 JMESPath(JSONのためのクエリー言語)
34-39 [options] : –query etc
43Page [subcommand]: Wait
44-46 S3 Streaming
48-55 Windows PowerShellの基本
56Page Get-AWSCmdletName
57-58 パイプラインの使い方、[options] : -Filter
59Page Get-AWSPublicIpAddressRange
60Page ConvertFrom-Json
61Page Export-CSV
●●資料【08_AWS_ConfigUpdate】
7-11 AWS Configの概要
14-15 AWS Config のアップデート:
①適合パック ②サードパーティリソースへの対応 ③その他のアップデート
16-29 適合パック
31-36 サードパーティリソースへの対応
38-41 その他のアップデート
アドバンスドクエリ:マルチアカウント、マルチリージョンの検索に対応
AWS Organizations 連携
マルチアカウント環境へのガードレールの適用
適合パック:AWS Control Tower Detective Guardrails
●●資料【09_AWS_Config】
6-8Page 構成管理
10-20 AWS Configの概要
10-29 AWS Config Rulesの概要
31-32 ユースケース
33Page AWS Config Rules Repository
34Page SSMと連携したOS構成情報の管理例:不正ソフトウエアに対する自動アクション
35-38 AWS Config ベストプラクティス
39-41 集約ビュー:マルチアカウント、マルチリージョンのデータを集約、アリゲータの作成
43Page 料金
●●資料【10_AWS Management Console】
27Page Credential Report:アカウント内の全IAMユーザーの各種認証情報のレポート。
CSV形式でダウンロード可。
31Page SAMLによるConsole Federationの動作
(IDプロバイダーとしてAWS Directry Serviceを利用可能)
32-36 IDプロバイダー設定手順
39-43 Switch Role
45-47 IAM Policy Condition Statement
(Management ConsoleへアクセスできるIPアドレスを制限)
49-56 CloudTrail integration with CloudWatch Logs
(Management Consoleへの不正ログインを監視/検知)
58Page AWS Console モバイルアプリ
59Page AWS Management Portal for vCenter
60Page System Center Virtual Machine Manager(SCVMM) Add-In
●●資料【11_AWS OpsWorks】
1Page AWS OpsWorks とはChefを利用してアプリケーションを構成および運用するための
構成管理サービス
2Page AWS OpsWorks とはAWS OpsWorksのオリジナルサービス
①スタック、レイヤー、インスタンス、アプリケーションでモデル化が可能
②ライフサイクルイベントによるタスクの自動化
3-7 AWS OpsWorks スタック
: OpsWorksエージェント、OpsWorks、talks with、
OpsWorksエンドポイント、Chef Server/Client
8Page スタック
9Page レイヤー
10-11 インスタンス
12Page アプリケーション
14-15 Chef
16Page リージョンエンドポイント
17-23 OpsWorksスタックコマンド ①スタックコマンド ②エージェントコマンド
24-27 OpsWorksスタックの5つのライフサイクルイベント
①Setup ②Deploy ③Configure ④ExecuteRecipe ⑤Shutdown
28Page AWS CodePipelineとの連携
29-36 AWS OpsWorks スタックのベストプラクテイス
37Page Berkshelfのパッケージ化(利用手順)
41-46 Chef Automate
47-50 AWS OpsWorks for Chef Automate
51-57 AWS OpsWorks での Chef Automateサーバの起動
58Page Start Kit の中身
59-65 利用手順
66Page AWS OpsWorks スタック、AWS OpsWorks for Chef Automateの違い
67Page 料金
●●資料【12_AWS Service Catalog】
11-12 AWS Service Catalog 概要、利点
15-18 AWS Service Catalogの用語:製品 ポートフォリオ 制約 プロビジョニングされた製品
19-21 管理者とエンドユーザーの操作
22Page Service CatalogのIAM 管理ポリシー
25-40 設定の流れ
42Page TagOptionライブラリ
43Page アカウント間でのポートフォリオの共有
44Page AWS Service Catalogでコンソールのルックアンドフィールのカスタマイズ
45Page 連携機能: Marketplace
46-47 連携機能: ServiceNow
49Page 料金
AWS Service Catalog を利用したアーキテクチャパターン
51Page Hub-Spoke パターン
52Page Consumer – Creator – Managerパターン ※ 既存の仕組みに Creator を追加
53-54 Agile Governance パターン ※ テンプレート制約を動的に追加
56-58 AWS Service Catalog の活用事例
●●資料【13_AWS Systems Manager】
9-12 AWS Systems Manager 全体像
AWS Systems Managerを使ってみよう
14-24 ■1. 準備編
14-20 Step1. まずは、マネージドインスタンスにしよう
①SSM Agentの導入 ②SSM APIへの経路確保 ③IAMロール付与
19-20 クイックセットアップ (高速セットアップ)
21Page Step2. インスタンスをグループ化しよう – リソースグループ
22Page (参考) タグ付けの便利機能 タグエディター
23Page オンプレミスの場合
26-36 ■2. リソースの”今”を把握しよう
28-31 (AWSリソース)に関する情報を把握する (デモ)
29Page AWS SSM Explorer
30Page AWS SSM OpsCenter
31page AWS SSM コンプライアンス
33-36 (インスタンスの”中身”)に関する情報を把握する (デモ)
35-36 AWS SSM インベントリ
39-56 ■3. SSMで定型運用を実施しよう
40-52 SSMでできる定型作業の整理(1):SSMドキュメント定義し、実行
41-52 SSMドキュメントで運用を定義し実行する (デモ)
①運用作業の定義 ②どう実行する? ③いつ実行する?
45Page ①運用作業の定義 Document Builder
47-48 ②定義したもの(SSMドキュメント)をどう実行する?
1.Run Command:OS上でコマンドを実行
2.Automation:AWSサービス全体に渡ったワークフロー
49Page ③いつ実行する?
50Page SSMステートマネージャー
51Page SSMメンテナンスウィンドウ
52Page SSM Change Calendar
53Page SSMでできる定型作業の整理(2):ドキュメントの実行フレームワークが提供されている
54-55 AWS SSM パッチマネージャー
56Page AWS SSM ディストリビューター
58-62 ■4. 非定型なインタラクティブ操作もSSMで
58Page セッションマネージャー RDPアクセス(デモ)
59Page SSM セッションマネージャー
60-61 セッションマネージャー SSM Agent経由で直接アクセス
62Page セッションマネージャー トンネリングアクセス (RDP接続)
63Page セッションマネージャー トンネリングアクセス (SSH接続)
64Page セッションマネージャー トンネリングアクセス 詳細
66-67 ■5. アプリケーションの設定管理もSSMで
66Page SSM パラメータストア
67Page SSM AppConfig
69Page AWS Systems Managerのセキュリティーベストプラクティス
70Page SSMの料金
71Page (参考) オンプレミスインスタンス管理
●●資料【14_AWS Trusted Advisor】
7-9 AWS Trusted Advisor のご紹介:ベストプラクティスは五つのカテゴリに分類
10-13 チェック項目の解説
14-16 チェック項目 – コスト最適化
17-19 チェック項目 – パフォーマンス
20-24 チェック項目 – セキュリティ
25-28 チェック項目 – フォールトトレランス
29-32 チェック項目 – サービス制限
34-36 Trusted Advisor の使い方
:全機能利用には、「ビジネス」OR「エンタープライズ」契約が必要
37-41 Trusted Advisor の使い方 – 通知機能
42Page Trusted Advisor の使い方 – IAM Policy
43-45 Trusted Advisor の使い方 – API
46Page Trusted Advisor の活用例
●●資料【15_AWS Well-Architected Framework】
19-38 AWS Well-Architected Frameworkとは?
41-96 AWS Well-Architected Framework活用例(新規開発時)
44Page 要件検討フェーズでのW-A活用:[REL9]災害対策のリカバリプランは策定していますか?
47Page 設計フェーズでのW-A活用:
[REL7]システムがコンポーネントのエラーに耐えるようにどのように設定していますか?
51Page 設計フェーズでのW-A活用:
[COST6]コスト削減のための料金モデルをどのように設定していますか?
56Page [COST6]検討すべき購入オプション:リザーブドインスタンスの活用
57Page [COST6]リージョン毎の料金を考慮する
59Page 設計・構築時にW-Aレビューを実施する
全項目ベストプラクティスに則っていないとダメなのか?
ベストプラクティスを理解した上で、ビジネス的な判断をすることが重要
→ リスクや改善点の”顕在化”
63Page 改善計画:レビュー結果から、対策や改善計画、優先度付けを(SAと)検討。
ビジネス的な判断。
64Page クラウド最適化:優先度の高い対策や改善計画を元に、よりクラウドに最適化していく
68Page W-Aレビューの仕方 ①AWSのSA(またはW-A認定パートナー)と実施
②AWS Well-Architected toolを活用
81Page AWS Well-Architected toolとは?
・ベストプラクティスの説明動画やドキュメントへのリンクも表示
・東京リージョンのワークロードをレビュー対象にすることも可能
・利用は無料
82-89 AWS Well-Architected tool 操作イメージ
91Page AWS SAによるW-A個別技術相談会
94-96 W-Aレビューの進め方
98-104 AWS Well-Architected Framework活用例(運用中のシステムに対して)
●●資料【16_Well-Architected Frameworkによるコスト最適化】
37Page コストを意識した設計原則
40-48 マネージドサービスの活用
50Page AWS CloudWatchでリソース利用状況を把握する
51-52 利用状況に応じた適切なインスタンスタイプなどを選択
53-54 メトリクスに基づいたサイジング
56Page リージョン毎の料金を考慮する
57Page リージョンの選択:Cloudfrontでレイテンシー対策
63-64 購入オプションの活用、リザーブドインスタンスの適用箇所を検討
65Page 購入オプションの活用:Cloudfront、DynamoDBリザーブドキャパシティ
66Page 使用率が一定でない場合
①時刻ごとAutoScaling活用を検討
②バッファベース(Amazon SQSやAmazon Kinesis)を活用
③サーバレス活用を検討
70-71 データ転送 – Amazon CloudFrontの活用
73-76 利用料金の可視化
①IAMユーザの請求情報へアクセス有効化(ルートアカウントでの操作)
②コストエクスプローラーの有効化(ルートアカウントでの操作)
③請求情報とコスト管理ダッシュボード、請求書
④AWS Budgetsの活用
79Page AWSサポートの活用
80-81 Trusted Advisor(ビジネスプラン・エンタープライズプラン)
●●資料【17_AWSのマネジメント&ガバナンス サービスアップデート】
9Page AWS マネジメント & ガバナンス サービス
14Page AWS ControlTower
→CloudFormation StackSetsで展開することでガードレールを利用可能
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/guardrails-reference.htm
15Page AWS License Manager
AWS Systems Managerとの連携でソフトウェアインストールをトラックし、
ルール違反を把握可能
22Page CloudFormation リソースインポート
24Page CloudFormationのDrift検知がStackSetsでも可能に
AWS以外の3rd Partyリソースもレジストリへ登録
レジストリに登録されたリソースはAWS Configで構成管理が可能に
Config Rules でチェック可能 & Drift Detection可能に
Drift Detection できるリソースはスタックインポートが可能に
27Page AWS CDKのJavaとC#版が一般利用開始に
28Page AWS ServiceCatalog
30-34 Amazon EC2 Image Builder
35Page Amazon CloudWatch
39Page Cross-Region & Cross-Account Dashboard
40-42 Amazon CloudWatch ServiceLens
43-46 CloudWatch Syntheticsのプレビュー
47-48 CloudWatch Contributor Insightsのプレビュ
49Page Contributor Insights for DynamoDBのプレビュー
50Page Embedded Metric Format を使ったメトリクスの記録
51Page サービス上限に対する利用率モニタリング
52Page CloudWatch Application Insightsの機能強化
54Page CloudWatchの全体像 (after re:Invent 2019)
56-60 AWS SystemsManager
61-63 AWS Systems Manager – Playbook Builder
64-66 AWS Systems Manager Explorer
67-70 Systems Manager App Config
71Page Systems Manager ChangeCalendar
72Page AWS Config
74Page AWS Configのアップデート
75-78 AWS CloudTrail
77Page AWS CloudTrail Insights
79Page AWS Cost Management
80Page AWS Cost Categories
81Page Cost Explorerの予想機能がサポート費用を加味
83Page AWS Resource Group
85Page AWS ChatbotがSlack経由でのコマンド実行に対応
