Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
AWS Resource Access Manager 触ってみた
1
柴⽥ 崇夫
所属︓電通国際情報サービス
本籍地︓横浜
好きなサービス︓Lambda, CloudFormation,
Organization(最近)
re:Invent、LT初参加
⾃⼰紹介
2
今⽇話すこと
AWS Resource Access Manager について調べた&触ったことの報告
皆さんのRecapの助けになれば幸いです
3
AWS Resource Access Manager
4
環境管理
(NEW) AWS Control Tower
(NEW) AWS Security Hub
(Update) AWS Systems Manager
Inventory
Automation
リソース共有
(NEW) AWS Res...
AWS Resource Access Manager とは
AWSアカウント間でのリソース共有を⾏うサービス。
6
リソースの共有先
Organization
Organizational Unit (OU)
AWSアカウント
7
共有できるリソース
Subnets
Transit Gateway
Resolver Rules
License Configuration
8
共有できるリソース
Route 53 Resolver ルールのサポートを開始 (昨⽇、Shaunの素晴らしい記事で発表) し、
近いうちにさらに多くの種類のリソースを追加します。
[新しい AWS Resource Access Manage...
Subnets
VPC SubnetをAWSアカウント間で共有する
同⼀組織内のみ共有可
Shared Subnet上で以下のサービスを起動できる
EC2
RDS
Redshift
Lambda
SecurityGroupは共有されないため各A...
Subnets
請求は分割される
アプリケーションリソース所有者
アプリケーションリソース(EC2, RDS, Redshift, Lambda)
データ転送(AZ間、VPCピアリング、DirectConnect)
VPCリソース所有者
NAT...
複数のVPCや拠点間の相互接続を可能にす
るマネージドサービス
マルチアカウントのVPCを接続する場合は
Resource Access ManagerでTransit
Gatewayを共有する
Transit Gatewayの詳細は @mom...
VPN/DirectConnectで接続したオンプレミ
ス・VPCの相互名前解決が簡単に実現でき
る
オンプレミス環境からVPCの
AmazonProvicedDNSへリクエストが
可能
VPCからオンプレミス環境のDNSへリ
クエストが可能
...
License Configuration
商⽤ソフトウェアのライセンス管理を⾏うサービス
Resource Access Managerと併⽤することで、複数アカウントのライセンス⼀括管理が可
能︖
14
共有リソースに対する権限
リソース所有者 リソース被共有者
リソース利⽤ O O
リソース編集 O X
リソース削除 O X
リソース再共有 O X
リソース共有解除 O △(後述)
リソース所有者にはリソース被共有者が作成したリソース(例えば...
共有リソースに対する権限
タグは共有されない
細かい挙動はサービスに依る(編集・閲覧できなかったり、AWSアカウント毎に設
定できたり)
リソース共有に対するIAM Policyのようなアクセス制御はない
16
AZ ID
To ensure that resources are distributed across the Availability Zones for a Region, we
independently map Availabili...
ハマったところ
License Configuration
被共有者アカウントからLicense configurationの更新ができなかった。
Organizationの権限設定ミスが原因︖調査中。
18
ハマったところ
共有リソースに対する権限
リソース被共有者から共有リソースの共有解除ができなかった。原因調査中。
Organizationの権限設定ミスが原因︖調査中。
19
理解できていないところ
AZ ID
AZが同じでもアカウントAとアカウントBでロケーションが異なる可能性がある。
ロケーションを揃えるにはAZ IDを使⽤する。
どうやってアカウント間でAZ IDを揃えるのか︖
20
所感
AWS Organization(re:Invent2016発表)を始め、マルチアカウント環境向けのサービス
が登場している
組織でAWSを利⽤する場合、ほぼマルチアカウント運⽤になる
プロジェクト毎、環境毎(開発/本番アカウント)
⼀括...
まとめ
AWS Resource Access Managerについて調べたこと&触ったことを発表した
AWSアカウト間でのリソース共有を⾏うサービス
共有できるリソース
Subnets, Transit Gateway, Resolver R...
Próxima SlideShare
Cargando en…5
×

AWS Resource Access Manager 触ってみた

261 visualizaciones

Publicado el

AWS Resource Access Manager 触ってみた

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

AWS Resource Access Manager 触ってみた

  1. 1. AWS Resource Access Manager 触ってみた 1
  2. 2. 柴⽥ 崇夫 所属︓電通国際情報サービス 本籍地︓横浜 好きなサービス︓Lambda, CloudFormation, Organization(最近) re:Invent、LT初参加 ⾃⼰紹介 2
  3. 3. 今⽇話すこと AWS Resource Access Manager について調べた&触ったことの報告 皆さんのRecapの助けになれば幸いです 3
  4. 4. AWS Resource Access Manager 4
  5. 5. 環境管理 (NEW) AWS Control Tower (NEW) AWS Security Hub (Update) AWS Systems Manager Inventory Automation リソース共有 (NEW) AWS Resource Access Manager (Update) Amazon VPC Shared VPC (Update) Amazon EFS 発表されたマルチアカウント環境向けサービス 5
  6. 6. AWS Resource Access Manager とは AWSアカウント間でのリソース共有を⾏うサービス。 6
  7. 7. リソースの共有先 Organization Organizational Unit (OU) AWSアカウント 7
  8. 8. 共有できるリソース Subnets Transit Gateway Resolver Rules License Configuration 8
  9. 9. 共有できるリソース Route 53 Resolver ルールのサポートを開始 (昨⽇、Shaunの素晴らしい記事で発表) し、 近いうちにさらに多くの種類のリソースを追加します。 [新しい AWS Resource Access Manager – クロスアカウントでのリソース共有 | Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/new-aws- resource-access-manager-cross-account-resource-sharing/)より 9
  10. 10. Subnets VPC SubnetをAWSアカウント間で共有する 同⼀組織内のみ共有可 Shared Subnet上で以下のサービスを起動できる EC2 RDS Redshift Lambda SecurityGroupは共有されないため各AWSアカウント毎に作成する必要がある 10
  11. 11. Subnets 請求は分割される アプリケーションリソース所有者 アプリケーションリソース(EC2, RDS, Redshift, Lambda) データ転送(AZ間、VPCピアリング、DirectConnect) VPCリソース所有者 NAT Gateway、Virtual Private Gateway、Transit Gateway、Private Link、VPCエンド ポイント 11
  12. 12. 複数のVPCや拠点間の相互接続を可能にす るマネージドサービス マルチアカウントのVPCを接続する場合は Resource Access ManagerでTransit Gatewayを共有する Transit Gatewayの詳細は @mominosin さ んのLTにて Transit Gateway 図は[新機能 – トランジットゲートウェイでネットワークアーキテクチャをシンプルに | Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/new- aws-transit-gateway/)より引⽤ 12
  13. 13. VPN/DirectConnectで接続したオンプレミ ス・VPCの相互名前解決が簡単に実現でき る オンプレミス環境からVPCの AmazonProvicedDNSへリクエストが 可能 VPCからオンプレミス環境のDNSへリ クエストが可能 Resolver Rules 図は[New – ハイブリッドクラウド⽤ Amazon Route 53 Resolver | Amazon Web Services ブログ](https://aws.amazon.com/jp/blogs/news/new-amazon-route-53- resolver-for-hybrid-clouds/)より引⽤ 13
  14. 14. License Configuration 商⽤ソフトウェアのライセンス管理を⾏うサービス Resource Access Managerと併⽤することで、複数アカウントのライセンス⼀括管理が可 能︖ 14
  15. 15. 共有リソースに対する権限 リソース所有者 リソース被共有者 リソース利⽤ O O リソース編集 O X リソース削除 O X リソース再共有 O X リソース共有解除 O △(後述) リソース所有者にはリソース被共有者が作成したリソース(例えばSharedVPC上のEC2イ ンスタンスなど)は⾒えない 15
  16. 16. 共有リソースに対する権限 タグは共有されない 細かい挙動はサービスに依る(編集・閲覧できなかったり、AWSアカウント毎に設 定できたり) リソース共有に対するIAM Policyのようなアクセス制御はない 16
  17. 17. AZ ID To ensure that resources are distributed across the Availability Zones for a Region, we independently map Availability Zones to names for each account. For example, the Availability Zone us-east-1a for your AWS account might not have the same location as us-east-1a for another AWS account. For more information, see Regions and Availability Zones in the Amazon EC2 User Guide. To coordinate Availability Zones across accounts, you must use the AZ ID, which is a unique and consistent identifier for an Availability Zone. For example, use1-az1 is an AZ ID for the us-east-1 Region and it is the same location in every AWS account. AZが同じでもアカウントAとアカウントBでロケーションが異なる可能性がある ロケーションを揃えるにはAZ IDを使⽤する 17
  18. 18. ハマったところ License Configuration 被共有者アカウントからLicense configurationの更新ができなかった。 Organizationの権限設定ミスが原因︖調査中。 18
  19. 19. ハマったところ 共有リソースに対する権限 リソース被共有者から共有リソースの共有解除ができなかった。原因調査中。 Organizationの権限設定ミスが原因︖調査中。 19
  20. 20. 理解できていないところ AZ ID AZが同じでもアカウントAとアカウントBでロケーションが異なる可能性がある。 ロケーションを揃えるにはAZ IDを使⽤する。 どうやってアカウント間でAZ IDを揃えるのか︖ 20
  21. 21. 所感 AWS Organization(re:Invent2016発表)を始め、マルチアカウント環境向けのサービス が登場している 組織でAWSを利⽤する場合、ほぼマルチアカウント運⽤になる プロジェクト毎、環境毎(開発/本番アカウント) ⼀括請求、SCP 今後、よりアカウント間でリソースが密接に共有された形でのマルチアカウント運⽤が 実現する︖ アカウント間がスパゲッティにならないよう注意する必要あり︖ 21
  22. 22. まとめ AWS Resource Access Managerについて調べたこと&触ったことを発表した AWSアカウト間でのリソース共有を⾏うサービス 共有できるリソース Subnets, Transit Gateway, Resolver Rules, License Configuration 更に増える予定 22

×