AWS Well-Architected Frameworkとは?
システム設計・運用の大局的な考え方、数多くの経験から作り上げたものです。
種類
運用の優秀性
セキュリティ
ワークロード(プロジェクト)の認証情報と認証の管理
AWSルートアカウントには必ずMFA(多要素認証)を適用して最小限の利用に止める。
AWSサービスへの人為的なアクセス制御方法
ユーザー各個人に固有の認証情報(IAMユーザー)を払い出し必要に応じた権限を設定する。
AWSサービスのプログラムによるアクセスをどのように制御するか?
認証情報(アクセスキー/シークレットキー)をハードコーディングせずに、IAMロールを活用する。
ワークロードのセキュリティイベントをどのように検知するか?
- セキュリティ関連のCloudTrailによりログ取得し、一元的に監視と分析をする。
- AWS Configを有効化する。(EC2等の構成変更の履歴を残せます。)
- その他ログを有効化する。(VPC Flow Logs、CloudFront、API Gateway、ELB、S3)
ネットワークをどのように保護するか?
各レイヤでのセキュリティ対策を実施する。アクセス設定は必要最低限にする。(EC2のセッションマネージャー等)
- AWS WAF
- AWS Shield
どのようにデータをバックアップしていますか?
バックアップを取得し、定期的なリカバリテスト(年1回程度が望ましい)でRTO、RPOを満たすことを確認している。
バックアップ手法
- EC2のAMI
- EC2のEBSのスナップショット
- RDSの自動バックアップ機能(1日1回のスナップショット、5分前までのトランザクションログ)
信頼性
システムがコンポーネントのエラーに耐えれるようにどのように設計されているか?
- マルチAZでシステムが実行されている。(単一障害点を作らない。)
- 疎結合なアーキテクチャを採用している。
- 障害を監視し自動的に回復する仕組みがある。
マルチAZの例
- RDSのマルチAZデプロイメント(オプション)
パフォーマンス効率
コスト最適化
AWS使用量とコストをどのようにどのようにモニタリングしていますか?
「請求ダッシュボード」や「AWS Cost Explorer」で積極的に使用料金を把握し分析している。
コスト目標を達成するためにインスタンスタイプとサイズをどのように選択しますか?
メトリクスに基づき、サイジングを実施する。
コスト削減のために料金モデルをどのように選択するか?
利用率を分析し、購入オプションを検討している。リージョン毎の料金差も考慮している。
この記事へのコメントはありません。