スタートアップで AWS 管理者になることの意味

スタートアップソリューションアーキテクトである Faisal Farooq とシニアセキュリティソリューションアーキテクトである Abhi Singh によるゲスト投稿

ほとんどのスタートアップは速いペースで仕事をしているため、リリースのタイムラインがセキュリティの基盤を覆い隠してしまうことがよくあります。このような速いペースの文化からの副産物として、アカウント管理者の責任が明確に定義されていないことや、役割が複数のチームメンバーに分散されていることがよくあります。チームの規模が拡大し、会社が勢いを増すにつれて、スタートアップのお客様は、最小特権を課し、管理者が誰に何をすべきかを明確に定義するよう企業に要求することがよくあります。そのため、創設者は早い段階で下されたアーキテクチャレベルの決定を後回しにすることになり、摩擦が生じ、ビジネスに混乱が生じます。このブログ記事では、アカウント管理者の責任がどのようなものであるべきか、その人物 (以下、管理者) が役割を効果的に果たすために必要なトレーニング、そして管理者が会社に与える継続的な影響を定義します。

概要

アカウント管理者は、ルートアカウントに次いで、社内で 2 番目に影響力を持つユーザーです。そのため、その人物に適切な権限を割り当てるために、その人物や団体ができることを定義することが重要です。主な責任には以下のようなものがあります。

• AWS のリソースとサービスの効果的な活用。
• ベストプラクティスに従った AWS 環境のインストールおよび保守。
• 適切なセキュリティパラメータの設定と管理。
• 情報保証ポリシー、手順、および報告の実施。

管理者の責任

前述のように、管理者は開発チームや創設者にとって信頼できるアドバイザーです。堅実なアカウント管理者に求められる主な原則は以下のとおりです。

AWS のリソースとサービスの効果的な活用

アカウント管理者は、AWS 内部で信頼されるアドバイザーであり、対象分野の専門家でなければなりません。最新のサービス発表を常に把握し、経営陣が AWS への投資を最も効率的かつ効果的に活用できるよう支援する必要があります。管理者の日常業務には以下が含まれます。

• アーキテクチャ設計パターンについて開発チームや製品チームにコンサルティングやアドバイスを提供し、キャッシュ、バッファリング、レプリカなどのビジネス目標を達成するための適切な機能を備えた適切なサービスを選択する。
•  Amazon CloudWatch などの AWS サービスを使用して指標とそれに対応するアラームを構築し、リソースの使用状況とパターンを監視する。
• コスト使用状況レポートのデータを活用して、 Amazon S3 ストレージ階層、 Amazon EC2 インスタンス、 AWS Lambda リソースなどの コスト最適化戦略を推奨する。
•  AWS マネージドサービスとソリューションを使用する機会を特定する。
• リソースのプロビジョニング、アプリケーションの移行またはデプロイ、パッチ管理など、ビジネス目標を達成するためのデプロイ戦略を策定する。

AWS Well-Architected フレームワークに従った AWS 環境のインストールおよび保守

AWS 管理者は、以下の点に細心の注意を払いながら、利用するサービスや Well-Architected フレームワークに関連する AWS のベストプラクティスに忠実にスタートアップ環境を従わせるように努めます。

• 複数の AWS リージョンにまたがる事業継続性をサポートする、自動化された、費用対効果の高いバックアップソリューションを構築する。
• サービスが中断または障害が発生した場合に、アプリケーションとインフラストラクチャの可用性と回復性を提供するアーキテクチャを決定 する。

適切なセキュリティパラメータの設定と管理

セキュリティはアカウント管理者にとって最優先事項です。そのため、スタートアップ環境を必要なセキュリティ基準に維持するために、以下の重要なアクティビティを実行する責任があります。

• ユーザーとリソースのベースラインを確立する。
• 組織のリソースとパートナー、お客様、インターネットとの間にセキュリティ境界を確立する。
• 組織の AWS 環境のセキュリティと構成の脆弱性を評価する。
• 組織のセキュリティとコンプライアンスの要件に基づいて、一般公開されているウェブアプリケーションに適切なセキュリティコントロールを導入し、AWS アカウント、ユーザー、アプリケーションに最小特権を適用し、認証情報を安全に管理する。参考として、 Security Pillar を参照してください。
• リソースへの異常アクセスやデータフローパターンの定義など、ベースラインの逸脱を通知して修正するための自動化ソリューションを導入する。

AWS Security Pillar では、アカウントの設定方法に関する詳細なガイダンスを提供しています。より実践的なトレーニングを行うために、Well-Architected ラボをサンドボックス環境で使用して設定のテストを検討してください。

情報保証ポリシー、手順、および報告の実施

スタートアップには、社内の規制や基準とともに、社外の規制や基準が適用される場合があります。管理者は、継続的なコンプライアンスを実現するために、NIST 800-83、HIPAA、FedRamp、PCI などのセキュリティおよびコンプライアンス報告要件を実施するための適切なメカニズム (AWS Audit Manager、AWS Config、AWS Security Hub など) を特定する責任があります。また、適切な関係者へのコンプライアンス報告を自動化する場合もあります。AWS は、管理者がコンプライアンスと保証の目標を達成できるようにするいくつかのサービスとソリューションを提供しています。スタートアップのニーズに応じて、管理者は AWS のガイダンスに沿ったこれらのターンキーソリューションとガイドを活用できます。

効率性、有効性、セキュリティ、コスト面での AWS 環境の継続的な改善

AWS とスタートアップのビジネスについての理解度に応じて、管理者は既存の環境を継続的に見直し、改善の機会を特定します。目標に対するパフォーマンス指標を見直し、改善点を提案し、ボトルネックを特定し、代替戦略を推奨する必要があります。また、自動デプロイやロールバック戦略をテストしたり、コードとしてのインフラストラクチャや CI/CD パイプラインベースのデプロイを活用したり推進したりすることもあります。管理者は、セキュリティ関連の問題を定期的に見直し、繰り返し発生する項目の代替アーキテクチャなどの自動緩和メカニズムを開発します。最後に、上記で強調した一般的なタスクのランブックとプレイブックを管理します。AWS Well-Architected フレームワークには、管理者の継続的な改善に役立つオペレーショナルエクセレンスピラーがあります。

AWS 管理者としての役割でイノベーションを起こすにはどうすればよいでしょうか?

AWS は、業界全体の傾向に基づいて、ガイダンスとアーキテクチャパターンを定期的に提供しています。このガイダンスと以下の項目は、管理者がお客様に代わって考案し、簡素化するのに役立ちます。

•  re: Invent、 ホワイトペーパー、 Tech Talks による AWS の最新ガイダンスを確認して、新しいパターンを特定する。
•  AWS SDK、 SSM ドキュメントなどのサービス、 SSM オートメーションを使用して、日常的なタスクを自動化する。
• 新しくリリースされたサービス、設計、アーキテクチャパターンについて、アプリケーションチームを指導する。
•  リザーブドインスタンス、 貯蓄プラン、 CloudFront Security Savings Bundle などのサービス固有のボリュームディスカウント、 エンタープライズ割引プログラムなどのさまざまなメカニズムを利用して、AWS アカウントチームと協力してコストを削減する。
•  事業継続性とディザスタリカバリ戦略を自動化する。
• 定義された目標に対するサイトの信頼性を高めるための自動化を開発する。
• ワークロードについての、綿密な設計によるレビューを定期的に実施する。

まとめ

スタートアップの経営陣は、AWS 管理者の責任を定義して概説することにしばしば苦戦します。これらのリソースがあれば、創設者やステークホルダーは、スタートアップの成長とスケーラビリティを悩ませることが多い適切なレベルの職務分掌を維持しながら、最高の人材を採用して育成することができます。上記で定義したプラクティスに従うことで、AWS 管理者は日常業務を効果的に行うためのバランスを取り、第三者保証の一環としてしばしば必要とされる優れたセキュリティ衛生対策をスタートアップが採用できるよう支援し、インフラストラクチャコストを最適化できます。