プラットフォーム アーキテクチャ - AWS 規範ガイダンス
Start高度化Excel

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プラットフォーム アーキテクチャ

クラウド環境のガイドライン、原則、パターン、ガードレールを確立し、それらを維持します。

クラウド環境を適切に設計すると、実装の迅速化、リスクの軽減、クラウド導入の推進を実現しやすくなり、プラットフォームアーキテクチャの能力を持つことで、クラウド導入推進のためのエンタープライズ標準について、組織内でコンセンサスが形成されます。認証、セキュリティ、ネットワーク、ログ記録、モニタリングを容易にするには、ベストプラクティスの設計図とガードレールを定義します。さらに、レイテンシー、データ処理、データレジデンシーの要件を満たせるよう、オンプレミスでの保持が必要なワークロードを考慮して計画を立てるとともに、クラウドでのバースト、クラウドを利用したバックアップおよびディザスタリカバリ、分散データ処理、エッジコンピューティングといった、ハイブリッドクラウドのユースケースを評価します。

Start

マルチアカウント戦略を定義する

効果的なマルチアカウント戦略を立てるには、スケールと運用効率上の懸念点を考察します。つまり、ワークロードを分離して、運用ニーズを最も満たす論理パターンに当てはめます。エンタープライズ内の集中型および分散型サービスに対応するには、最初に基本的なアカウントセットを管理し、セキュリティ、財務、運用の各機能を一元化して、分散型および自律型のチームとアカウントに、効果的な管理やガバナンスを行うと良いでしょう。組織全体で同じ認識を持てるよう調整し、プラットフォームとワークロードがどのようにセグメント化および管理されるかを理解する必要があります。こうした構造を理解すると、許容可能なプラットフォーム利用ポリシーの変化に適合しつつ、認証および認可のセキュリティ原則を定着させることができます。

予防的コントロールを管理する

一連のデフォルトコントロール (ガードレール) を取り入れた安全なマルチアカウント環境を計画します。サービスコントロールポリシー (SCP) などの仕組みを理解して利用し、組織全体でのサービス利用を管理します。クラウドプラットフォーム内で利用可能な AWS リージョン リージョンのサービスも管理対象となります。ポリシーを使用すると、その一元化の仕組みによって、すべてのアカウントについて使用可能な最大アクセス許可を管理し、組織のアクセスコントロールガイドラインに準拠できます。

組織単位の構造を定義する

組織単位 (OU) を使用すると、規制要件や、ソフトウェア開発ライフサイクル (SDLC) 環境に基づいて、アカウントを実用的に管理および分類でき、クラウドインフラストラクチャ全体に適切なポリシーとアクセス許可を適用するプロセスも合理化されます。ワークロード OU は、アプリケーションインフラストラクチャのリソースに対応するアカウント専用に設計するもので、これには、適切なポリシーを適用します。OU と SCP を使用すると、アプリケーションおよびサービス運用を常に円滑にすると同時に、組織のクラウドインフラストラクチャでセキュリティとコンプライアンスを強化できます。以上の実践が、最終的には、より効率的で堅牢なクラウド導入プロセスの実現につながります。

ネットワーク接続を定義する

ネットワーク接続は、アプリケーションとワークロードの基盤となる、セキュリティ、スケーラビリティ、可用性に優れたネットワークの構築を支えているという点で、クラウドインフラストラクチャの重要な側面を担っています。ネットワークを適切に設計すると、一貫性のある高パフォーマンス、異なる環境間でのシームレスなオペレーションが実現します。

ネットワークアーキテクチャの設計時には、レイテンシー、データ処理、データレジデンシーなどの要件上、オンプレミスでの保持が必要なワークロードが存在するかどうかを考慮してください。クラウドでのバースト、クラウドを利用したバックアップおよびディザスタリカバリ、分散データ処理、エッジコンピューティングといったハイブリッドクラウドのユースケースを評価すると、以下の側面について主要な要件を特定できます。

  • ネットワークとインターネット間の接続。この側面を実現するには、アプリケーションまたはワークロードとインターネット間で、セキュリティと信頼性に優れた接続を可能にしなければなりません。こうした接続は、例えば、ウェブベースリソースへのアクセスを容易にする、ユーザーとアプリケーション間の通信を可能にする、必要に応じてサービスを外部からアクセス可能にするといった運用に不可欠です。

  • クラウド環境間の接続。この領域で重点が置かれているのは、クラウドインフラストラクチャ内のさまざまなコンポーネントとサービス間に堅牢な接続を確立することです。これにより、さまざまなクラウドサービス間で、データとリソースの共有およびアクセスが容易になるため、効率的なコラボレーションとスムーズな運用が促進されます。ここでは、仮想プライベートクラウド (VPC) の使用を検討することが重要です。運用を常に簡素化するには、VPC の構築および追跡方法について、標準の計画を検討してください。こうした標準をプログラムによって作成することを検討し、IP Address Manager (IPAM) ソリューションの使用も計画します。その際には、成長に見合う十分な IP スペースを割り当て、複数のアベイラビリティーゾーンを使用する場合にトラブルシューティングが容易になるようにサブネット構造を設計します。ネットワーク接続を設計し実装するときには、「VPC のセキュリティのベストプラクティス」に従ってください。 

  • オンプレミスネットワークとクラウド環境間の接続。この側面は、オンプレミスインフラストラクチャとクラウドベース環境の統合を示すものです。この 2 つの間でセキュリティと信頼性に優れた接続が可能になれば、ハイブリッドアーキテクチャの利点を活用できます。例えば、オンプレミスにあるリソースとクラウドサービスを同時に使用することで、パフォーマンス、スケーラビリティ、コスト最適化が向上します。

ネットワーク接続について、この 3 つの主要領域で問題に対処することで、アプリケーションとワークロードをサポートする堅牢なクラウドインフラストラクチャを構築できるため、クラウド導入の利点を活用することが可能です。ネットワーク要件に留意し、マルチアカウント戦略に従ってスケーリング可能なシンプルな設計を行ってください。 

DNS 戦略を定義する

DNS 戦略を適切に計画すると、クラウド環境の拡大に伴う複雑さを回避しやすくなります。オンプレミスで DNS の機能を維持する場合は、ハイブリッド DNS アーキテクチャを設計し、オンプレミス DNS インフラストラクチャを使用するとともに、クラウドベースの DNS 要件に合わせてクラウド DNS を使用すると良いでしょう。具体的には、リゾルバーエンドポイントと転送ルールを使用して、クラウドの DNS 解決機能をオンプレミス DNS 環境のそれと統合します。また、1 つ以上のネットワーク内にあるドメインとそのサブドメインのクエリにクラウド DNS をどう応答させるかについての情報を、プライベートホストゾーンを使用して保持します。

タグ付け標準を定義する

リソースのタグ付けは、コスト管理の効率化とリソース所有権の特定に不可欠なプラクティスです。組織でのクラウド消費をどこまで許可するかを、プラットフォーム内の特定のサービス利用も含め、検討してください。また、特定のリソースとそれをデプロイしたチームを追跡するタグ付け戦略を定義します。AWS CAF オペレーションの観点から情報収集し、デプロイ済みインフラストラクチャのタスクを、タグを使用して自動化します。 

さらに、リソース関連のメタデータをタグ付けすることで、支出をグループ化し、追跡すると良いでしょう。その際には、AWS CAF ガバナンスの観点のクラウド財務管理 (CFM) 機能で指定されている組織要件に従います。財務ポリシー違反があった場合どのようなアクションを実行するかなど、会計および財務プラクティスをサポートする報告の仕組みも特定してください。

オブザーバビリティ戦略を定義する

オブザーバビリティ戦略の確立は、クラウドアーキテクチャを最適化し保護する上で、重要なステップとなります。この戦略を展開するには、クラウドサービスで生成されたメトリクスとログから実用的なインサイトを引き出し、それを戦略的意思決定に活かすことに焦点を当てます。主要業績評価のモニタリングとアラートの設定を優先し、起こり得る問題に先制して対処します。不要なツールの増加を防ぎ、コストを最適化し、組織の最重要事項に集中するには、このオブザーバビリティ戦略をプラットフォームにもアプリケーションにも取り入れてください。詳細については、「Developing an observability strategy」のプレゼンテーション (AWS re:Invent 2022) を参照してください。

高度化

プロアクティブおよび検出コントロールを定義する

能力をさらに高めるには、環境内にプロアクティブコントロールと検出コントロール (ガードレール) がどの程度必要かを特定しなければなりません。ポリシーを作成し、これによって、組織単位 (OU) 内アカウントでロールとユーザーに持たせるガードレールまたは制限を定義します。プラットフォームのデフォルトの検出ガードレールを確認し、適用するガードレールを選択します。必要に応じて追加の予防コントロールと検出コントロールを作成し、マルチアカウント戦略に沿うよう、OU 別にグループ化します。また、検出コントロールによって識別した非準拠リソースの検査に必要な組織のツールや仕組みを検討してください。

サービスオンボーディングの標準を定義する

許容できるプラットフォーム使用、サービス消費に関連するパターン、それらにガバナンスを確立する方法に、標準を定義するとともに、使用を許可する初期サービスを検討します。これらの標準を概説し、プラットフォームのユーザーおよびオペレーターに公開するためのドキュメントを作成します。さらに、こうした標準が、変化し続ける組織目標や、進歩するクラウドコンピューティング機能に、長期的に適応できるようにします。

パターンと原則を定義する

アプリケーション所有者から収集した情報に基づいて、組織内で許可するアーキテクチャパターンを検討したら、標準化のブループリント定義に着手します。標準化を行うと、クラウドでのスケーリングの際に、ガバナンスが強化され、管理上の負担も軽減されます。また、Infrastructure as Code (IaC) を使用するパターンを定義するとともに、変更管理プロセスおよび IT サービス管理 (ITSM) システムに統合したサービスカタログを使用して、簡素化したデプロイモデルを計画します。その後、こうしたブループリントの使用方法と、例外を許可する状況を定義し、認証、セキュリティモニタリング、ガードレールを考慮しながら、これらの例外とそのガバナンスに関する計画を立てます。 

Excel

修復パターンを定義する

検出ガードレールの検出結果に注釈を付け、優先順位を判断する方法を検討します。そうすることで、セキュリティとコンプライアンスのフレームワークに従って、それらを修正できます。また、ポリシー違反のリソースプロビジョニングを自動検出するための計画を立ててください。予算ポリシーやタグポリシーに違反するリソースも検出対象になります。さらに、サービスレベル目標の設定および測定に必要な能力を特定するとともに、ランブックとプレイブックを更新します。こうしたプラクティスと、フィードバックの仕組みを定期的に見直して、プラットフォームの変化に関連するデータを収集します。それに応じて、ランブックとプレイブックを作成および更新する仕組みを定義してください。 

ポリシーを共有し改善する

すべてのドキュメントを対象とする、コンテンツの一元管理システムを構築して、プラットフォームのユーザーとオペレーターが利用できるようにします。また、今後のポリシー変更の考察に役立つよう、フィードバックを収集する仕組みを計画します。

財務管理の能力を理解する

大きなビジネス成果を得るには、常に、透過的かつ包括的に予算を把握することが重要です。これによって、十分な情報に基づく意思決定、リソース配分の効率化、戦略的目標の達成などが可能になります。予算を明確に把握していれば、他社を凌駕できるでしょう。なぜなら、十分な情報に基づく意思決定、効果的なリソース配分、コスト管理、パフォーマンス測定、説明責任およびコンプライアンスの維持が容易になるからです。最終的には、より効率的で、財務的に安定し、成功を収めた組織へと発展できます。タグ付け戦略の成果を得られたら、AWS Budgets のコストフィルターを使用して、リソースタグで経費をフィルタリングできます。これにより、特定のプロジェクト、部門、環境などの条件に合わせて予算を立てやすくなるため、財務管理の能力がさらに高まります。また、コスト配分タグAWS Cost Categories をタグに関連付けると、コストを報告する際に財務上のインサイトと透明性が向上します。