awsには複数アカウントを監視する機能などが豊富に揃っている

大企業などでは、データ保守やネットショッピング運営など、複数の目的に応じてサーバーを分けるといったことが一般的になっています。一方でこういったサーバーを導入する場合、その管理方法が問題となってきます。アマゾンが提供するawsを使うことで、目的ごとに応じてサーバーを割り当てられる他、複数のアカウントの管理も簡単にできるメリットがあります。

世界的な通販会社が開発したクラウドコンピューティングサービス

クラウドコンピューティングサービスの中でも、特に人気の高いサービスに、awsがあります。2006年に世界規模で展開している通販会社であるアマゾンが、自社サーバーに対するインフラ整備の一環として、「アマゾンウェブサービス」の名前で開始しました。

レンタルサーバーやデータのネットワーク保存の他に、ソフトウェアのオンデマンド配信や画像認識などが、awsにおいて実現可能な機能となっています。開発元のアマゾンでは、これらの機能をパブリッククラウドというサービス形態で提供しています。

awsで特に有名なサービスの一つに、「Elastic Compute Cloue」という、サーバーを構築及び運用する機能があります。サーバー構築にかかる時間が最短5分と早いことに加えて、アクセス可能なポートを設定できるセキュリティグループを選べる機能があるなど、幅広いサーバーを構築することができます。

「Lambda」と呼ばれるサービスは、バックアップなど自動で行う処理などを簡略化する機能ですが、サーバーを用意することなく実行させる点において、大きな違いと言えます。awsが提供するその他のサービスとしては、「Simple Storage Service」というクラウド型ストレージサービスがあります。

保存されたデータについては、複数のデータベースセンター間で同期されているという特徴があり、耐障害性にも優れていることから、安全にデータを保管したい人に適しています。

サーバー間のデータベースを使う場合、通常はデータベースのライセンス自体をインストールする必要がありますが、「Relational Database Service」は、そうした手間を省いてデータベースを構築することが可能です。

awsは有償で提供されるサービス

awsは有償で提供されるクラウドコンピューティングサービスですが、企業だけでなく個人でも利用することができます。ただし、サーバーを利用するたびに料金が発生する従量課金制を採用しているため、aws専用のアカウントにクレジットカード情報を登録することが必要となります。

月額制と異なり、利用しないサーバーの費用については請求されないなど、サーバーの利用頻度によって値段が変動することが特徴です。また、ネットショッピングで培った高いセキュリティ能力と、サーバー構築の柔軟性や拡張性が高いことも利点と言えます。

awsにおいては、一人のユーザーが複数アカウントを使って登録することが可能となっています。例えば、ネットショッピング構築用とバックアップ用として個別にサーバーを作るなど、利用目的が異なるサーバーを保有するためであれば、複数アカウントを所有できます。

awsに初めて登録すると、基本的な機能を12ヶ月間無料で利用できる制度を受けることができます。しかし、そういった制度を繰り返し受けるためにアカウントを作ることは原則として認められないことになっています。

awsにおける複数アカウントの管理方法

awsは、利用目的に応じてサーバーとアカウントを複数所持することができます。個人で複数のサーバーを利用する場合や、会社といった組織で利用する場合は、アカウントを管理することが求められます。awsの場合、複数アカウントを管理する機能として、「AWS Organization」というものが用意されています。

サーバー管理者が登録したアカウントを親アカウントとして、親アカウントの後に作られたawsアカウントを子アカウントとして管理する機能です。サーバーの利用料金請求を一元化でき、新しいアカウントを作成、招待することが可能となります。

「AWS Organization」ができる機能の一つに「Service Control Policies」があり、アカウント内のサーバーに対して利用制限をかけることができます。「AWS Organization」内に登録されたアカウントは「Organization Unit(OU)」という単位で管理されます。

バックアップのみを目的として「OU」内でawsアカウントを作った場合、バックアップに特化したサーバー機能以外は使わないように、設定することが可能です。

awsの監視設計をする上で重要な考え方

アカウントの監視及び監査に関する情報も集約できる

aws上に登録されているアカウントは、アカウント情報を搾取されるなど常に危険にさらされています。そういったアカウントを脅威から守る機能として、「Amazon GuardDuty」を利用することができます。

アカウントに記憶されたログを自動的に取得し、AIを使った分析により、異常を通知する機能が備わっています。環境ごとのセキュリティ機能を継続的に確認できることから、アカウントに登録されているサーバーが正常に機能しているかどうかを監視する手段として用いることもできます。

awsアカウントの設定情報を確認し、変更した履歴を残す機能としては「AWS Config」があります。アカウント情報が搾取され、第三者がアカウント情報を変更するなどの脅威が起きた場合、アカウント管理者にSNS経由で連絡されるといった機能が備わっていることが特徴です。

また、「AWS Config Aggrigator」は、「AWS Organization」の管理アカウント内で「AWS Config」のログ結果を見る機能が備わっています。多くのawsアカウントを保有している場合に特に有効な機能と言えます。

アカウント管理に適したその他のサービス

awsアカウントを複数持っているものの、「AWS Organization」を使った高度な管理は必要ないといったケースでは、「AWS Contorl Tower」が適しています。

awsアカウント管理に必要な環境を簡単に構築でき、アカウントを一元管理する機能を有していることが特徴です。さらに、awsが提供している「AWS Organization」や「AWS Service Catalog」、「AWS Config」といった管理サービスの設定も可能となっています。

管理者となる親アカウント独自の設定を基準として、awsアカウントを新規作成する機能に、「CloudFormation StackSets」があります。特定のアカウントに対して、親アカウントの設定を一括して適応させることが可能ですが、すでに作成したアカウントにも、親アカウント独自の設定を適応させられます。

例えば、awsアカウントを使ったセミナーを実施する際、主催者と同じ設定内容のアカウントを提供する、あるいは参加者専用のアカウントをまとめて作成するといった場合に用いられます。10個以上に及ぶアカウントの複製作業を、簡単な手順でかつ短時間で実現する機能と言えます。

awsの監視サービスを使うなら比較して決めよう

参照>AWS運用 - https://managed.gmocloud.com/managed/