Amazon Web Services ブログ

Category: Management Tools

Dynatrace、AWS Lambda、および AWS Service Catalog を使用して、自己修復 Infrastructure-as-Code を構築する

AWS のパートナーソリューションアーキテクト、Kishore Vinjam Dynatrace の戦略的パートナーイネーブルメント&エバンジェリズム担当ディレクター、Andreas Grabner 氏 クラウド運用またはシステム管理で作業するエンジニアは、多くの場合、パフォーマンスモニタリングツールで検出された問題を修正するために手動でスクリプトを更新する必要があります。 これには、プロセスの再起動、リソースのクリーンアップ、メモリの停止、および CPU 使用率に関する問題などがあります。このような問題は頻繁に発生し、貴重な時間が取られてしまいます。 この記事では、お客様がどう Dynatrace、AWS Lambda、および AWS Service Catalog を使用して、ワークフローを構築し、Dynatrace AI で検出された問題に対して必要なインシデント対応アクションを開始するかを説明します。 Dynatrace AI は、エンドユーザーが、基礎となるシステムリソースが原因で実際のユーザーエクスペリエンス、サービスレベルアグリーメント (SLA)、またはサービスの可用性から影響を受けたときに、問題を検出して通知をトリガーします。基礎となるリソースに起因する問題には、ディスクがいっぱいである、設定の変更が不適切、負荷が増加している、または依存するサービスの問題などがあります。 AWS Service Catalog を使用すると、AWS での使用が承認されているサービスのカタログを作成および管理でき、Lambda を使用すると、サーバーをプロビジョニングまたは管理せずにコードを実行できます。 Dynatrace は、AWS パートナーネットワーク (APN) のアドバンストテクノロジーパートナーで、Migration、DevOps、Containers の AWS コンピテンシーを持っています。今日の複雑な IT 環境で成功し、明日や将来も成功し続けるには、Dynatrace などの AWS コンピテンシーパートナーと連携することがスマートな一手 (The Next Smart) です。 AWS コンピテンシープログラムでは、お客様の成功事例を紹介したり、特定のソリューション領域やセグメントで高い専門性を示したりしたトップの APN パートナーを確認、検査、精査しています。 AWS Service Catalog のアーティファクトの自動調整 AWS […]

Read More

AWS Service Catalog とAWS Marketplace の CloudEndure を使用して、AWS アカウントのプロビジョニングとサーバーの移行を自動化する

AWS クラウドに移行する予定の会社の移行プロジェクトに関与している場合は、移行の準備、ポートフォリオの発見、計画、設計など、さまざまな段階を経ることでしょう。ほとんどの場合、これらの段階の後に正念場を迎え、物理ベース、仮想ベース、またはクラウドベースのインフラストラクチャワークロードの AWS への移行を開始します。AWS のお客様は、CloudEndure (現在は AWS の会社) などのツールを使用して、アプリケーションの移行、災害復旧や AWS へのレガシーインフラストラクチャのバックアップを自動化します。移行中にお客様が直面する課題の 1 つに、サーバーを管理して、数百または数千の AWS アカウントで構成される階層的なアカウント構造に移動することがあります。このブログ記事では、新しい CloudEndure 移行プロジェクトのセットアップを自動化する方法と、お使いの環境で新しいアカウントを販売するたびに「アカウント自動販売機」を使用してこのプロセスを自動化する方法を学びます。 はじめに CloudEndure は、AWS への大規模な移行と障害復旧のデプロイを簡素化、迅速化、自動化するのに役立ちます。継続的なデータレプリケーションはバックグラウンドで行われ、アプリケーションの中断やパフォーマンスへの影響はありません。これにより、データがリアルタイムで同期され、カットオーバー/フェイルオーバーウィンドウが最小限に抑えられます。カットオーバー/フェイルオーバーが開始されると、CloudEndure は高度に自動化されたマシン変換とオーケストレーションプロセスを実行します。これにより、最も複雑なアプリケーションやデータベースでも、互換性の問題なく、最小限の IT スキルで AWS でネイティブに実行できます。AWS Marketplace から CloudEndure をデプロイできます。 このアカウントの自動販売機を作成するには、AWS Service Catalog、AWS Lambda、AWS Organizations などのネイティブの AWS のサービスを追加で使用します。また、CloudEndure との API 統合を使用して、アカウントの作成後に新しいプロジェクトをセットアップします。さらに、移行をサポートするために、販売したアカウントで AWS Direct Connect、Amazon Kinesis Data Firehose、Amazon S3 Transfer Acceleration などの追加の AWS のサービスを設定して、この参考用のサンプルソリューションを拡張できます。 このソリューションのサービス このソリューションで使用するサービスの簡単なレビューを次に示します。 […]

Read More

AWS Control Tower で AWS リソースのセルフサービスプロビジョニングを有効にする

お客様は、新しいビジネスユニットのオンボーディングやアプリケーションワークロードのセットアップを行うたびに、AWS Control Tower で新しいアカウントをプロビジョニングしています。場合によっては、組織はクラウドユーザー、開発者、およびデータサイエンティストに、新しいアカウントでセルフサービス標準化された安全なパターンとアーキテクチャをデプロイすることも求めます。以下にいくつか例を示します。 開発者またはクラウドエンジニアが、golden AMI から Amazon EC2 インスタンスを起動したいと考えています。 データサイエンティストは、承認済みの AMI とインスタンスタイプで Amazon EMR クラスターを起動したいと考えています。 データベース管理者は、新しくプロビジョニングされた AWS アカウントで承認済みの Amazon RDS データベースを起動する必要があります。 この記事では、AWS Control Tower の Account Factory を使用して新しい AWS アカウントをプロビジョニングする方法を示します。また、AWS Service Catalog を使用して、RDS データベースのポートフォリオなどのカスタム製品を新しいアカウントと共有する方法も示します。さらに、AWS Control Tower のガードレールを使用して新しいアカウントでガバナンスを実施する方法についても説明します。 このソリューションで使われる AWS のサービスは、以下のとおりです。 AWS Control Tower AWS Service Catalog AWS CloudFormation Amazon CloudWatch Amazon RDS AWS Organizations […]

Read More

AWS Service Catalog、DynamoDB、Lambda、および CloudWatch イベントを使用して、一元化されたタグのコンプライアンスを実施する

AWS のパートナーソリューションアーキテクト、Sagar Khasnis 著 Brillio のクラウドアーキテクト、Arilleendra Tiwari 著 私たちが協力しているお客様の中には、タグ値を保持する中央データベースを持っており、AWS Service Catalog のタグ実施機能を使用して、プロビジョニング時にタグを実施したいと考えているお客様もいます。 たとえば、絶えず更新されるすべてのコストセンター情報をすべて保持する中央の場所を持っていて、その情報を AWS Service Catalog ポートフォリオのタグ値として使用するお客様もいるかもしれません。 この記事では、新しいタグが Amazon DynamoDB に追加されたときにタグオプションライブラリが自動的に更新されるように、タグオプションを適用する方法を紹介します。このソリューションを使用すると、エンドユーザーが起動したすべての AWS Service Catalog 製品に、組織で定義した標準の値のセットが自動的にタグ付けされます。 Brillio は、AWS パートナーネットワーク (APN) のアドバンストコンサルティングパートナーです。 AWS と協力して、数十億ドル規模のエンタープライズ IT 運用の再構築と再編成に取り組み、最新の俊敏なデジタルインフラストラクチャ運用を実現しています。 たとえば、Brillio は最近の AWS WorkLink ローンチで紹介された 5 つの APN パートナーの 1 社であり、企業が安全なエンタープライズモビリティを促進するのをサポートすることを目指しています。 AWS のサービスと定義 以下は、必要な AWS のサービスの簡単な確認と、記事全体で使用するいくつかの専門用語です。専門用語は、このタグ実施ソリューションを理解するために必要となります。 AWS Service Catalog により、組織は AWS での使用が承認されている […]

Read More

セルフマネージド型 Active Directory を AWS Control Tower に拡張

クラウドジャーニーの初期段階によくあるユースケースの 1 つとして、既存のアイデンティティサービス (Microsoft Active Directory など) を使用することが挙げられます。このブログでは、AWS Control Tower をセットアップして、AWS Managed Microsoft AD を介してユーザー認証をセルフマネージド型 Microsoft Active Directory に委任する方法について解説します。既存のオンプレミスの Active Directory を AWS Control Tower に接続する方法を、シミュレート環境でみていきます。 背景 AWS Control Tower には、マルチアカウント環境における SSO アクセスを簡素化するクラウドベースのサービス、AWS Single Sign-on (AWS SSO) が組み込まれています。ユーザー認証の管理は、AWS SSO を使用して、AWS Control Tower に接続されたディレクトリが行います。各ユーザーに割り当てられたアカウントアクセスおよび付与されたアクセス許可のレベルによって、認証が判断されます。 AWS SSO はアクセス許可のセットを使用します。これは、ユーザーのアクセス許可が、所定の AWS アカウントにアクセスするために有効かどうかを判断する、管理者定義ポリシーのコレクションです。アクセス許可のセットには、AWS が管理するポリシーまたは AWS SSO に保存されているインラインポリシーのいずれかが含まれています。ポリシーとは、基本的に、1 つまたは複数のアクセス許可ステートメントのコンテナとして機能するドキュメントのことです。所定の AWS アカウント内でユーザーがどのアクションを実行できるかまたはできないかは、これらのステートメントが判断します。アクセス許可のセットは […]

Read More

cfn-lint を使った AWS CloudFormation テンプレートの Git pre-commit バリデーション

AWS CloudFormation のツールはいまや黄金期をむかえています。cfn_nag や taskcat といったツールによって、1 つのリソースをアカウントにデプロイする前にテストと検証を実行することで、コードとしてのインフラストラクチャの取り扱いが容易になりました。このブログ記事では、linter を使って CloudFormation テンプレートを検証する方法について解説していきます。   linter とは、コードを精査して、そのコードを実行したときにエラーを発生させる可能性のある構文エラーやバグがないかを探すプログラムのことです。スタンドアロンのツールとして実行することも可能ですが、ビルド自動化やオーサリングなどのツールに組み込まれていることが多いです。 これまで CloudFormation による構文チェックは、サービス API の ValidateTemplate アクションに限られていました。このアクションを実行すると、テンプレートが正しい形式の JSON または YAML で書かれているかどうかがわかりますが、自分で定義した実際のリソースが検証されているわけではありません。数か月前、私はより良い選択肢がないか探しました。Stelligent の cfn_nag のようなツールは、テンプレートのリソースに追加の検証を実行できますが、これはセキュリティやベストプラクティスの観点から行われるものです。さらに探しているうちに、CloudFormation のサービスチームが、リソースやプロパティに有効な構文について説明したリソース仕様を公開していることを発見しました。 AWS CloudFormation linter の紹介 同じころ、Amazon の同僚である Kevin Dejong が、Python で自ら記述した CloudFormation linter のオープンソース化を準備していました。これは、私が求めていた必須項目のほとんどをクリアしていました。 組み込み関数の解析 (条件文を含む) 拡張可能なルールベースのアーキテクチャ 公開済みのリソース仕様に照らした検証 Python で記述されている (ええ、私は偏ってます) 私はこの linter の、とりわけ拡張性に強く引かれました。コミュニティのメンバーは、許容値や二者択一のリソースプロパティなど、リソース仕様の外部に存在する事柄について、新しい構文規則を追加することが可能になるからです。 当社は昨春、この linter を cfn-lint […]

Read More

AWS Service Catalog Connector for ServiceNow を使用してセルフサービス Amazon WorkSpaces を有効化する方法

はじめに Amazon WorkSpaces は、AWS 上で実行される、安全なフルマネージド型「サービスとしてのデスクトップ (DaaS)」ソリューションです。AWS には、デスクトップをデプロイするための選択肢が複数あります。組織がこのプロセスを既存のオートメーションツールや情報技術サービス管理 (ITSM、Information Technology Service Management) ツールに統合する際に、支援が必要になる場合があります。多くのお客様が、Amazon WorkSpaces プロセスに承認プロセスと追跡メカニズムを導入したいと考えています。先日リリースされた AWS Service Catalog Connector for ServiceNow を使用することで、この統合をはるかに簡単に行えるようになりました。 このブログ記事では、AWS Service Catalog をセットアップし、AWS Service Catalog Connector for ServiceNow を使用して Amazon WorkSpaces をデプロイする方法をご紹介します。 次の大まかなアーキテクチャ図は、ソリューションのコアコンポーネントを示しています。 次の図は、エンドユーザーインタラクションの概要図です。 図 – AWS Service Catalog ポートフォリオ、ServiceNow からの API コール、エンドユーザーインタラクションを示したフロー ソリューションのセットアップ手順は、3 つの主要カテゴリに分かれます。 AWS を設定 (して、Service Catalog 製品として Amazon Workspace を使い […]

Read More

AWS Service Catalog、AWS Organizations、AWS Lambda を使用して、アカウントの作成とリソースのプロビジョニングを自動化する

組織が AWS のサービスの使用を拡大するにつれて、ビジネスプロセスの分離またはセキュリティ、コンプライアンス、請求のために複数の AWS アカウントを作成する必要性についてしばしば語られます。私たちが仕事をしている多くのお客様は、各ビジネスユニットで別々の AWS アカウントを使用しているため、組織のさまざまなニーズに対応できます。複数のアカウントを作成すると、運用上の問題が簡素化され、セキュリティやリソースの分離、トラブルの影響の到達範囲の縮小、請求の簡素化などの利点が得られますが、ベースライン設定の作成、ブートストラップ、設定に時間がかかります。お客様は、アカウントの作成とブートストラップをスケーラブルかつ効率的な方法で管理して、定義済みのベースラインを使用して新しいアカウントを作成し、ガバナンスガードレールを配置したいと考えています。最も重要なことは、時間とリソースを節約するために、お客様が自動化を望んでいることです。このブログ記事では、一般的なガードレールを自動化し、デフォルトユーザーの作成、カスタムネットワークの設定、AWS のサービスのキュレーションセットを使用した製品の既存の AWS 環境へのプロビジョニングなどのタスクを設定することにより、アカウントの作成と設定を自動化する方法を紹介します。このブログは、前のブログ記事 AWS Organizations を使用してエンドツーエンドのアカウント作成を自動化する方法で説明した実装を拡張します。 このブログ記事で説明されている AWS のサービス: AWS Organizations は、複数の AWS アカウントのポリシーベースの管理を提供します。AWS Organizations を使用すると、アカウントのグループを作成し、アカウント作成を自動化し、それらのグループのポリシーを適用および管理できます。 AWS Service Catalog は、AWS での使用が承認されているサービスのカタログを作成および管理できます。 AWS CloudFormation は、クラウド環境のすべてのインフラストラクチャリソースを記述およびプロビジョニングするための共通言語を提供します。AWS CloudFormation を使用すると、シンプルなテキストファイルを使用して、すべてのリージョンとアカウントにわたってアプリケーションに必要なすべてのリソースを自動化された安全な方法でモデリングおよびプロビジョニングできます。 AWS Lambda を使用すると、サーバーのプロビジョニングや管理を必要とせずにコードの実行が可能になります。料金は消費したコンピューティングの時間分だけを支払います。コードが実行されていない場合は無料です。 このブログ記事で使用されている用語: ルートアカウント – アカウントビルダーが AWS Service Catalog 製品として起動される単一の AWS アカウント。新しく構築されるすべてのアカウントは、このアカウントで実行されている AWS Organizations のルートの下に作成されます。 ベースラインテンプレート – このテンプレートには、新しく作成されたアカウントの AWS Service Catalog ポートフォリオで AWS […]

Read More

AWS Config ベストプラクティス

AWS Config は、AWS リソースの設定履歴を維持し、ベストプラクティスと内部ポリシーに対して設定を評価するサービスです。この情報は、運用上のトラブルシューティング、監査、コンプライアンスのユースケースに使用できます。このブログ記事では、企業全体のガバナンスを可能にするツールとして AWS Config を使用する方法のベストプラクティスを紹介します。 1.すべてのアカウントとリージョンで AWS Config を有効にします。 これは、Center for Internet Security (CIS) が推奨する業界のベストプラクティスです。AWS Config を使用すると、AWS リソースの設定を監査し、設定のベストプラクティスに確実に準拠することができます。AWS CloudFormation StackSets を使用すると、共通の CloudFormation テンプレートを使用して、複数のアカウントとリージョンで AWS Config を有効にできます。 2.すべてのリソースタイプの設定変更を記録します。 AWS Config をセットアップするときは、AWS Config に記録する必要があるリソースタイプとして [すべてのリソース] を選択します。AWS Config は AWS で 60 を超えるさまざまなリソースタイプをサポートしているため、これにより包括的な設定監査が実施されます。新しいリソースタイプは、この設定を介して自動的に記録されます。3.1 つのリージョンでのみグローバルリソース (IAM リソースなど) を記録します。 これにより、IAM 設定アイテムの冗長コピーをすべてのリージョンで取得することがなくなります。それは費用の節約にもなります。 4.設定履歴とスナップショットファイルを収集する安全な Amazon S3 バケットがあることを確認してください。 Amazon S3 バケットは、AWS […]

Read More

AWS Systems Managerフリートマネージャーを活用してWindowsワークロードの問題をトラブルシューティングする

クラウドの運用担当エンジニアは、利用料金を予算内に抑えつつ、多数のEC2インスタンスの状態を健全に保つために問題の監視・追跡・解決の可能な仕組みを構築しなければならないという、コストとシステム安定性の両方面で責任を持つことになります。このブログでは、AWS Systems Managerの新機能であるフリートマネージャーと共にOpsCenterとAmazon CloudWatchを活用し、大規模環境で発生する運用上の問題をすばやく検知・追跡・解決する方法をご紹介します。

Read More