顧客フロントSEのIT勉強ブログ

2022 Japan AWS Top Engineer / 2022-23 Japan AWS Certifications Engineer。AWS認定12冠、情報処理試験全冠。顧客フロントSEがなるべく手を動かしながらIT技術を学んでいくブログです。

【書評】AWS運用入門 押さえておきたいAWSの基本と運用ノウハウ

AWSにおける基盤運用の要素全部盛りの本です。これからAWS運用に取り組む方だけでなく、今現在AWSでシステム運用中の方もオススメの一冊です。

AWS運用入門

本の概要

2023年4月に初版発行。著者はサーバーワークスの佐竹さん、山﨑さん、小倉さん、峯さんです。Japan AWS AmbassadorやJapan AWS Top Engineerに選出されている方ばかりで、日本におけるTop of TopのAWSエンジニアが担当されています。

本書では「押さえておくべきAWS運用の基本と運用ノウハウ」を体系立てて解説します。EC2・S3・RDSといった基本的なサービスはもとより、「パッチ適用」「セキュリティ統制」「監査準備」に関わるサービスなども実際の業務を踏まえて1つずつ丁寧に解説しています。

(※出典)本書のそでコメントより

実際の業務を踏まえて、と言うのがポイントで、セキュリティ・監査・コスト最適化あたりの章は、まさにこの特徴が出ている印象です。単純にAWSサービスの機能やアーキテクチャの解説にとどまらず、 「完璧なセキュリティ対策は非現実的」「監査ってなに?」「コスト最適化は部署間で会話しよう」といった、システム運用に携わる読み手なら気になる・刺さるであろうポイントにも触れてくれています。

<<本書の対象読者>>
これからシステム運用に関わる新米エンジニアの方々
これまでオンプレミスで運用をしてきたエンジニアのみなさま

(※出典)本書のそでコメントより

対象読者から分かるように、内容自体は運用の基礎から触れてくれています。ただ、運用に費用な要素をここまで横断的に整理してくれている書籍は貴重だと思います。これまで数年AWSでシステム運用してきたぞ!という方にとっても「あれってどういう機能だったかな?」「こういう運用のときはどうするのがよいんだっけ?」という時に教科書・辞書的に使える本だと思います。

本の構成

Chapter 1 システム運用の全体像
Chapter 2 AWSクラウド
Chapter 3 運用において押さえておくべきAWSサービス
Chapter 4 アカウント運用
Chapter 5 ログ運用
Chapter 6 監視
Chapter 7 パッチ適用
Chapter 8 バックアップ/リストア運用
Chapter 9 セキュリティ統制
Chapter 10 監査準備
Chapter 11 コスト最適化

Chapter 1~3はシステム運用・AWSの初心者向けで、クラウドの前提知識や基本的なAWSサービスの解説、Chapter 4からが運用要素の解説です。
全体で489ページ。非常に分厚いですが、キャプチャや図表が沢山盛り込まれていて読みやすいです。

本の書評

全編にわたって参考になる情報がたくさんありましたが、AWSサービスの機能・アーキテクチャをまとめるにはボリュームが多すぎるので、今回は特に自分の印象に残った部分を取り上げていきます。

Chapter 1 システム運用の全体像

システム運用は、「業務運用」「基盤運用」「運用管理」に分類できます。(中略)本書で扱うシステム運用は、システムの特性によって変わることが少ない「基盤運用」に焦点を絞ります。

一口に運用と表現してしまうと、マスタメンテ等のオペレーションや教育、ルール策定なども含まれてしまいますね。最初にシステム運用を分類し、どこに焦点を絞るのかを述べることで、この後の解説が読み取りやすくなります。 ちなみに、各運用の定義は次の通りです。

  • 業務運用:アカウント利用権限の変更作業など、システム導入だけでは自動化できない業務をカバーする運用業務
  • 基盤運用:システムを維持し、安定的に稼働させるために必要な運用業務
  • 運用管理:運用に関する全社共通ルールや判断基準を取り決める業務

Chapter 5 ログ運用

Condition句で制御している利用としては、「混乱する代理問題」を回避する為です。

CloudWatch Logsに付与するIAMロールの信頼ポリシーの解説における文言です。 「混乱する代理問題」というのは初耳でしたが、AWS公式ドキュメントにも記載があります。

(※出典)AWS Identity and Access Managementユーザガイド

IAMロールで外部アカウントを信頼するときに、アカウントIDだけで信頼ポリシーを定義しちゃうと、意図しないユーザやアカウントにそのロールを使われちゃうかもしれないぞ、という問題です。信頼ポリシーのCondition句にAssumeRoleを許可するIAMロール等のARN(SourceARN)を指定することで防止します。
本書の主題ではないのですが、勉強になったポイントでした。

Chapter 9 セキュリティ統制

セキュリティを高めるという考え自体は誰も反対しない一方で、実際にはそれを完璧に行うのは難しいという「ジレンマ」として大きく3つ挙げています。

  • コストの問題:セキュリティ対策はコストとトレードオフの関係。
  • 周囲の理解が必要:効果が見えにくく利益をもたらさないので予算投下には理解が必要。
  • ウィルスなどの攻撃手法の進化:多額の資金を投じても新しい脅威によって破られる可能性はある。

企業におけるコスト・予算の課題に触れるあたりが、冒頭にも触れたこの書籍の特徴かなと思います。このようなジレンマがあるからこそ、一般的なセキュリティ標準(PCI DSS等)を基準にし、万が一リスクが顕在化した際には早期に発見・対処をする発見的統制が重要、という流れに繋がります。AWSサービスで言えば、AWS Security HubやAmazon GuardDuty、AWS Trusted Advisorになります。

Chapter 10 監査準備

「監査のためにAWS CloudTrailで監査ログを取っておきましょう」でとどまらず、「そもそも監査とは?」から説明してくれています。 内部統制報告制度(J-SOX)システム管理基準などの基準・ガイドラインに照らし合わせて評価・典型・検証することや、システム監査の目的は経営戦略上の目標達成に寄与することであると述べています。

普段の業務で、監査を気にしている人は一部かもしれません。その中で、監査とはどういうもので何の目的で行うのか、に触れているのは、監査を自分事にするために必要な要素だったのではないでしょうか。

まとめ

あえてAWSサービスには直接的には触れませんでしたが、本書の中では各章で

  • 基礎:各運用がどういう運用業務なのかを解説
  • 実務:運用で利用するAWSサービスやノウハウの解説とサンプルアーキテクチャの提示

を触れています。サンプルアーキテクチャをはじめとしたシステム構成図が分かり易くて、冒頭でも述べましたが、ここれまで数年AWSに触れてきた方にとっても教科書・辞書的に使える本でした。

以上、大石(@se_o_chan)でした。