
2025.02.12
職員一人あたり52時間の残業削減に成功 kintone導入がもたらした富士吉田市の自治体DX“変革”ハウツー
リンクをコピー
記事をブックマーク
小野晃路氏(以下、小野):最初はじゃあどうしようかっていうのもあったんですが、いろいろマルチアカウント向けのサービスが充実してきました。(スライド参照)これは2017年のサミットの資料です。マルチアカウントをやられる方は、こんな構成あるんだって見た方も多いと思うんですよね。私もこれをけっこう参考にしました。
支払いアカウントとか、ロギングとか、セキュリティとかいろいろ書いていますが、「あ、こういうかたちでアカウントを分ければいいんだな」っていうのを知ることができました。そのためには先ほどのOrganizationsや、その中でSCPですね、Service Control Policy、CloudTrail、GuardDuty、Control Towerとかいろいろサービスが出てきたわけですね。
そこで、マルチアカウント向けの対応ができるよねというのが1つ。それから2つ目はネットワーク的なお話です。Transit Gatewayは2018年のリーンイベントで発表されましたよね。オンプレと複数のアカウント間のVPCの接続、これが管理しやすくなるということです。
リーンイベントの2017でDirect Connect Gatewayが発表されて、複数リージョンで閉域、Direct Connect1本使えば接続可能になりました。これはいいサービスだということでDirect Connect Gatewayを準備したんですよね。
2018年末ぐらいに開通するように準備していたら、2018年のリーンイベントでTransit Gatewayが発表されて、もっといサービスが出てきてしまって、ちょっと焦ったんですけど。
これでVPC間の接続が管理しやすくなったので、つい最近ウェザーニューズもこのTransit Gatewayを使った構成をやっと準備できるようになりました。これが2つ目。
あともう1つはAWS SSO、Single Sign-Onですね。何回か前のZOZOの光野さんがこれについてお話ししたと思うんですけど、複数のアカウントのログインを一元管理できるサービスです。MicrosoftのADとかを使って一元管理できるのですが、ウェザーニューズはADではなく、G Suiteでアカウント管理をしています。ですから、G SuiteでSAML認証をしようと思ったんですよ。いろいろ試しましたが、実はアカウント間で細かい権限設定が面倒くさそうだなと思いました。
どうしようかと思いましたが、結局はAWS SSOでのユーザー管理を選択しました。でも、今CLIで一覧情報が取れないので、僕的には目先でなんとかならないかなぁと思っています。
たぶんこういう話もみなさん聞かれているかもしれませんが、IAMユーザーとかスイッチRoleとか、そういった方式があると思うんですよね。なぜ選択しなかったかというと、僕なりの結論は、要は両方とも複数アカウント間で入って設定しなくちゃいけないってことです。
IAMユーザーは管理者も利用者側もそのアカウントごとに1個1個設定します。MFAを設定するときに、利用者側は自分のMFAのパスワードがアカウントごとにたくさんできるのが嫌じゃないですか? 私もそうで、ちょっとこれは嫌だなぁっていうのが1つ。
スイッチRoleも入り口のアカウントがあって、そこからスイッチRoleして別のアカウントにっていう構成でできるのですが、結局スイッチRoleもスイッチRoleする先のアカウントに設定をしなくちゃいけないということで面倒くさい。SSOは1つのマスターアカウントで設定管理ができるので、「あ、これは絶対いいや」というところで使っています。
次は、実際の運用ではどうしたかという話です。マルチアカウントの運用に向けていろいろなことを検討しました。実は、もともとウェザーニューズの中に運用ガイドライン、標準ガイドが準備できていなかったという背景があります。
そこで、いろいろなところを決めていかなくちゃいけないねっていうときに、AWSのプロフェッショナルサービスを利用しました。要は社内にそんなにノウハウがない。マルチアカウントでクラウド利用を推進していこうってなったときに、短時間でできるかって言うと、それは無理だろう、厳しいというのもあり、プロフェッショナルサービスの利用で時間と質を買うことにしました。
その中で決めていったのが、これからあとの話です。1つはガバナンスの決定っていうところで。AWSを利用するためにガバナンスをガチガチに重視する方法を取るのか。いやいや利用者側にAWSの利用権限をお任せして、そこでやっていく権限委譲型。あとはバランス型。
ガチガチでガバナンスを設定して利用者もガチガチで使うのは、ウェザーニューズという会社には向かないので、これはなし。
では、ユルユルで利用者側にお任せしていいかと言うと、さすがにそれも厳しいだろういうことでバランス型になりました。ガードレール方式ですかね。先ほどのコンフィグの設定をする話と同じなのですが、最低限やっちゃいけないことをルール化したバランス型を選択しています。
あとはですね、アクターの整理っていうのをやりました。これはどんなタイプの利用者がいるかをまとめました。アプリの開発担当、開発の責任者ですね。各事業部の管理者は、事業部ごとにコスト管理をするとかがあると思うので、これも定義しています。
あとは監視を担当する人たち。インフラを管理する、インフラネットワークとかそういったところをやる人たち。それからセキュリティ。AWS全体のコストを見るっていうところ。それぞれの役割の人たちがいて、それぞれに応じて必要な権限セットがあるよねっていうことで最初に定義しました。
また、アカウントを複数作るときの命名規則というのを決めておきました。環境、所属、目的みたいなかたちで。環境っていうのは、要は運用環境なのか開発環境なのかみたいなことですね。
あとは所属チーム。事業部だったりチームだったりっていうので、ウェザーニューズの場合は海関係とか空関係とかいろいろなチームがあるので、そういったチームですね。あとはそのチームごとに、システムごとにもうちょっと細かくアカウントを分けたいニーズもあるだろうということで、システムごとでも分けられるようにしています。
メールもこういったかたちで、メールアドレスの命名規則も作りました。ただメールは、運用アカウントと開発アカウントで結局作ったりすると思いますが、2個も3個も作るのは嫌じゃないですか。
なので、{+env}を使って分けています。メールアドレスは1つだけれど、{+prod}とか{+dev}を付けて、1つのメールアドレスで受け取ることができるようにこの名前の付け方をしています。
あとはですね、VPCの払い出しCIDRの検討というところです。オンプレとかほかのVPC、ほかのチームとのデータのやり取りとかっていうのがあるので、VPCのCIDRがバッティングしないように、そこはインフラ管理、ネットワーク管理チームがどのCIDRを払い出すかを決めて割り振ることを今やっています。
あとはマスターアカウント、ここらへんの管理のところです。インフラ側としてはマスター、それから基盤管理、それからセキュリティ、ログみたいなかたちのアカウントで分けています。利用者側は運用とか開発、検証、こんな感じのアカウントを作っています。
あとネットワーク構成ですね。ちょっと(スライドには)簡単に書きすぎているんですけど。オンプレがまだまだありますので、オンプレ環境とデータのやり取りがあります。先ほどTransit Gatewayという話をしましたが、若干Transit Gatewayの推進コストが高いというのもあって、データの配信周りに関してはDirect Connectでまずはデータ配信用のVPCにオンプレから送ります。
必要な別のシステムに関してはVPCピアリングをしてデータを送っています。そうは言ってもこのままだとシステムごとのアカウントがオンプレとは疎通できなくなってしまうので、こういったところをTransit GatewayとDirect Connect Gatewayをつないだかたちのネットワークでオンプレとも一応通信できるようにしています。
ここに共通基盤と書いてあるのは認証周りや、あとは社内のDNSを引くっていうところを、ここの、Route 53のDNSフォワーダをこちらに設定して社内のIPを引けるようにっていう構成にしています。
アカウントをたくさん作るとなるとやっぱりコードでやりたいので、ネットワークチームのほうでガイドラインの作成のタイミングで併せてCDKを使って対応しています。
CDKだけでは全部まかないきれないので、そこはCLI使ったりとかっていうことで、基本的にコードベースで対応ということを今進めています。
まとめですね。間に合ったかな? マルチアカウントを運用するのにおすすめはSSOを使いましょう、ですね。SSOはいいと思います。使ってください。それとあと運用ルールを事前に決めておきましょう。
その都度メールを決めたりとか、いろいろ名前を決めたりするとやっぱりバラバラになるので、事前に決めておいたほうがいいですよという話。あとはコード管理で運用しましょう。ここはたぶん「そうだよね」ってみなさん言うと思います。
あと課題は、実はマスターアカウントが運用アカウントで最初に作ったアカウントなんですね。ここは支払いアカウントやSSOの管理をする役割になります。この運用アカウントにまだいろいろなシステムが載っているので、どのように新しいアカウントにシステム移行するのかが課題になっています。
ということで、私たちは新しい仲間を募集しています。ウェザーニューズでは、テクニカルサークルと言って、お昼のランチタイムをうまく使って自分の成果発表をしています。あとはAWSの方とSlackでいろいろ相談したり、幕張周辺のエンジニアの方と交流もしています。
これで最後です。ウェザーニューズのエンジニアブログを最近始めました。今2人目かな?が載っています。以上で私の発表を終わります。どうもありがとうございました。
司会者:小野さん、ありがとうございました。それではここからはSlidoでいただいた質問を見ていきましょう。時間の都合がありまして、すみませんが1点だけ取り上げます。
「コード管理で運用とのことですが、初期構築だけでなく運用を含めてすべてをコードで管理されているのでしょうか?」。こちらいかがでしょう?
小野:ごめんなさい、ちょっと私はくわしいところまで把握できていないので正しく答えられないかもしれないですけど。基本的には初期構築のあとで変更があれば、そこもコードで対応するかたちでやっていましたね。基本的にはコード管理です。
司会者:ありがとうございます。申し訳ありません。時間の都合がありまして、以上でこのパートを終了いたします。小野さんありがとうございました。
小野:みなさんありがとうございました。
2025.02.06
すかいらーく創業者が、社長を辞めて75歳で再起業したわけ “あえて長居させるコーヒー店”の経営に込めるこだわり
PR | 2025.02.07
プロジェクトマネージャーは「無理ゲーを攻略するプレイヤー」 仕事を任せられない管理職のためのマネジメントの秘訣
2025.02.06
落合陽一氏や松尾豊氏の研究は社会に届いているか? ひろゆき氏が語るアカデミアの課題と展望
2025.02.05
「納得しないと動けない部下」を変える3つのステップとは マネージャーの悩みを解消する会話のテクニック
2025.01.07
1月から始めたい「日記」を書く習慣 ビジネスパーソンにおすすめな3つの理由
2025.02.10
A4用紙を持ち歩いて殴り書きでアウトプット コクヨのワークスタイルコンサルタントが語る、2種類のメモ術
2025.02.05
エンジニアとして成功するための秘訣とは? ひろゆき氏が語る、自由な働き方を叶えるアプリ開発とキャリア戦略
2025.02.04
日本企業にありがちな「生産性の低さ」の原因 メーカーの「ちょっとした改善」で勝負が決まる仕組みの落とし穴
2025.02.03
「昔は富豪的プログラミングなんてできなかった」 21歳で「2ちゃんねる」を生んだひろゆき氏が語る開発の裏側
PR | 2025.02.04
能登半島地震で自宅は全壊、「これでどうやってDXするねん」 被災したサイボウズ社員と支援者らが語る災害支援のノウハウ
着想から2か月でローンチ!爆速で新規事業を立ち上げる方法
2025.01.21 - 2025.01.21
新人の報連相スキルはマネージメントで引きあげろ!~管理職の「他責思考」を排除~
2025.01.29 - 2025.01.29
【手放すTALK LIVE#45】人と組織のポテンシャルが継承されるソース原理 ~人と組織のポテンシャルが花開く「ソース原理」とは~
2024.12.09 - 2024.12.09
『これで採用はうまくいく』著者が語る、今こそ採用担当に届けたい「口説く」力のすべて
2024.11.29 - 2024.11.29
【著者来館】『成果を上げるプレイングマネジャーは「これ」をやらない』出版記念イベント!
2025.01.10 - 2025.01.10