catch-img

AWSサンドボックス環境をAWS Control Towerで運用しています

こんにちは。ラーニングサービス本部 テクニカルトレーニング部 第1チームの山下です。
私のメインの仕事はAWS認定クラスルームトレーニングを受講者さんに提供することです。
AWS認定クラスルームトレーニングはAAI(AWS Authorized Instructors)にのみ実施する権限があります。

 

AWS 認定インストラクタープログラム

https://aws.amazon.com/jp/training/aai/

 

AAIは、弊社のようなATP(AWS Training Partner)に所属し、AWS社による書類と実技のチェックプロセスをすべて通過したインストラクターです。
トレノケートには私も含む現在5名の正社員AAIと候補が1名在籍しています。
受講者さんに効果的なデモをご覧いただいたり、触れていただいたり、サービス機能の検証を行うためにはAWSアカウントが必要です。
そのAWSアカウント組織を検証やデモが中心ですので、「サンドボックス」と呼んでいます。
砂場です。
子供が砂場で遊ぶようにAWSのサービスや機能を検証できる、そんな環境として運用しています。
AWSサンドボックス環境をAWS Control Towerで構築、運用しています。
それによりどのような効果があったかを紹介します。

ランディングゾーン

2-Dec-16-2023-09-23-10-9674-AM

Control Towerで作成するOrganizations組織のベストプラクティス構成はランディングゾーンと言います。
Control Towerを使用するとこのランディングゾーンを数クリックで作成できます。
トレノケートでは1人のインストラクターあたり10,000円と管理機能向けに15,000円で予算をとっています。
現在候補者を含んでAAIは6名ですので、75,000円の予算です。
充分に下回って運用できています。
超えそうな場合は事前相談として稟議を通していますが、すぐに相談するのではなく、Well-Architectedコストの柱にもとづいて無駄を発生させないように見直すべきと考えています。

コストのアラームや管理については次のサービス、機能を使用して無駄が発生しないようにしてます。

  • Amazon CloudWatch請求アラーム
  • AWS Cost Explorer
  • AWS Budgets
  • AWS Cost Anomaly Detection
  • AWS Compute Optimizer
  • 各種リザーブドオプション
  • Savings Plans

各アカウントのルートユーザーメールアドレスは、会社ドメインからサブドメインを1つもらって、マスターアカウントのRoute 53で管理しています。
Amazon SESにメールが届くようにMXレコードを設定しています。
SESのメールはS3バケットで受信して、Lambda関数により会社のメールアドレスに転送しています。

ログ

3-Dec-16-2023-09-23-16-2090-AM

CloudTrailログとConfigスナップショットはランディングゾーンのデフォルトどおりに、ログ用アカウントのS3バケットに収集されます。
CloudTrailログファイル検証を有効にしていますので、検証用のダイジェストファイルも生成されています。
CloudTrailはランディングゾーンのデフォルトではデータイベントは有効化されていませんので、後から有効にしています。

S3に蓄積されたログデータはAthenaでクエリーできるようにGlueのデータカタログテーブルを作成し、Partition Projectionを設定していますので、パーティションが自動で反映されて管理が楽です。

通知

4-Dec-16-2023-09-23-21-3941-AM

監査用に作成されているAuditアカウントのAmazon SNSトピックには、各アカウントのSNSトピックとLambda関数から通知が送信されています。
AuditアカウントのSNSトピックのサブスクライバーとしてLambda関数を作成して、会社で使用しているMicrosoft Teamsに通知内容を送信しています。
これでAAI全員が見える場所に通知が届きます。

Configアグリゲータもランディングゾーンによって自動でAuditアカウントに設定されているので、監査用のロールを使って確認できます。

コントロール(ガードレール)

SCP、Configルールで実装されているコントロールは、必須のみ有効にしています。
ほかのコントロールも今後必要に応じてコントロールライブラリから有効化します。

5-Dec-16-2023-09-23-26-3345-AM

そのほか、独自のSCPも設定しています。
AAIがそれぞれ自由に検証はしてほしいのですが、高額なものや長期契約のものは全員で検討したいので、個別には操作できないようにSCPでOUに対して一括拒否しています。

アウトプット

サンドボックスを使って検証して、トレノケートのAAIが発信したアウトプットをいくつか紹介します。

  [Track_A][14:00-14:20]AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(シスコ認定インストラクター監修!) | JAWS DAYS 2021 セッション内容 ネットワークに馴染みのないエンジニアさんが DirectConnect や VPN でオンプレミスと触れ合うときに出てくる数々の謎ワード、たくさんありますよね。「動的ルーティング」「BGP」「ロンゲストマッチ」「Autonomous System」などなど、、、これらの用語を、AWS認定インストラクターがわかり易く解説致します。内容はトレノケートのシスコ認定インストラクターが監修し JAWS DAYS 2021 -re:Connect-

金井さんは、JAWS DAYSで「AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(シスコ認定インストラクター監修!)」と題して、知っておいたほうがいいネットワークの用語や設計基礎知識について発表されました。
トレノケートにはCiscoのアワードに選ばれるようなインストラクターも複数在籍していますので、監修協力してもらえました。

髙山さんはさまざまなコーストレーニングで使うツールを開発されていて、それらについてまとめてJAWS DAYS前夜祭で発表されていました。

 

▽ツールはToolという名前のOUを作ってそこで展開して共有利用しているものもあります。


演習成果物を共有するファイル共有システムを AWS SDK で作った話
https://blog.trainocate.co.jp/blog/file_sharing_system_by_aws_037



▽髙山さんは最近ではファイル共有システムを開発しました。


AWS CDK を使って新入社員研修用の演習環境を構築した話
https://blog.trainocate.co.jp/blog/iac_by_cdk_037



▽ほかには新入社員研修向けの環境をCDKで構築しました。
もちろんこのCDKの開発、テストもサンドボックスで行われました。



Amazon Connectで毎日1時間の業務を自動化し削減しました
https://blog.trainocate.co.jp/blog/dayduty_022



▽全社で使うAPIもサンドボックスで検証して、Control Towerからランディングゾーンに追加してアカウントで運用しています。この件は日本各地の勉強会で発表しました。



ご質問フォームの最近のアーキテクチャ~2020年10月~
https://blog.trainocate.co.jp/blog/qaforma-2020_022



▽受講者さんの質問を匿名で受ける仕組みもサンドボックスから始まりました。


Zoomの投票作成をAPIで秒処理
https://blog.trainocate.co.jp/blog/zoom-api-tool_022



ZoomのAPI呼び出しをして業務の効率化をしたときも、すぐにチャレンジして実現できることを確認できました。

まとめ

AWS Control Towerを使用して、子供が砂場でけがをせず楽しく遊びながら学ぶように、安全に検証できる環境を構築、運用できています。
そうしてAAIは受講者さんに見たり触ったりしていただくデモを構築したり、コースで使用するツールを開発したり、社内サービスを内製したりできています。
それをアウトプットすることにより、社内外への共有と情報提供にもなっています。
会社としても社員の成長とコース品質の向上、社外へのPR要素など、充分に価値のある運用が続けられています。
もしも今、サンドボックスがないという組織は、ぜひ企画していただいて、所属されているエンジニアさんの成長とサービス向上、社外へのアウトプットに繋げていただく。
そんなご検討にこの記事を使っていただけますと幸いです。

 

トレノケートのAWS研修(AWS認定トレーニング)

トレノケートのAWS認定トレーニングでは、AWS社の厳格なテクニカルスキル及びティーチングスキルチェックに合格した認定トレーナーがコースを担当します。AWS初心者向けの研修や、AWS認定資格を目指す人向けの研修をご提供し、皆様のAWS知識修得のサポートをいたします。
トレノケートのAWS研修(AWS認定トレーニング)はこちら


▼AWS初心者の方は、 AWS Cloud Practitioner Essentialsから!
座学中心の研修で、AWSを初めて学ぶ方や、営業などで提案に関わる方におすすめです。
「AWS Certified Cloud Practitioner」資格取得を目指す方の基礎知識修得にも最適です。
AWS Cloud Practitioner Essentials 詳細・日程はこちらから

山下 光洋(やました みつひろ)

トレノケート株式会社 講師。AWS Authorized Instructor Champion / AWS認定インストラクター(AAI) / AWS 認定ソリューションアーキテクト - プロフェッショナル /AWS認定DevOpsエンジニア - プロフェッショナル / AWS 認定デベロッパー - アソシエイト / AWS 認定 SysOps アドミニストレーター - アソシエイト / AWS 認定クラウドプラクティショナー / kintone認定 カスタマイズスペシャリスト他。AWS認定インストラクターとしてAWS認定コースを実施。毎年1,500名以上に受講いただいている。AWS 認定インストラクターアワード2018, 2019を日本で唯一受賞。著書『AWSではじめるLinux入門ガイド』(マイナビ出版社)。共著書『AWS認定試験対策 AWS クラウドプラクティショナー』(SBクリエイティブ社)。前職では2016年にAWS Summitにパネラーとして参加。その前はLotus Technical Award 2009 for Best Architectとして表彰されている。また、各コミュニティの運営にも個人的に関わり、勉強会にてスピーカーや参加をしている。

無料ダウンロード

オススメコンテンツ

オススメ記事

AWS プロジェクトマネジメント PMP 人材育成 田中淳子 Microsoft ビジネススキル PMBOKⓇ IT資格 ITスキル 山下光洋 人材育成応援ラジオ クラウド AMA コミュニケーション Azure 人材開発用語集 PMBOK®ガイド入門 新入社員 横山哲也 AWS認定トレーニング DX re:Invent セキュリティ AI(人工知能) PMP試験問題に挑戦 Cisco PMBOKⓇガイド 第6版 イベント・セミナー 試験体験記 キャリア PMBOK®ガイド第6版の変更点 人材開発 CCIE CCNA 生成AI 研修 AI人材 DX人材育成 IT人材 スキルアップ テレワーク ネットワーク リモートワーク 人材トレンド GCP PMP(R)試験問題 第6版対応 PMP合格体験記 Windows Server voicy リーダーシップ AWS_Q&A Active Directory IT資格解説 アセスメント デジタルビジネス ヒューマンスキル 人気コースランキング 大喜利 部下の育成 PMの心得 reinvent2023 グローバル人材 リスキリング 新入社員研修といえば IoT OJT reinvent2022 プログラミング 1on1 AWS_DiscoveryDay CCNP Security Windows PowerShell クリエイティビティ コーチング AWSトレーニングイベント Google Cloud ITインフラ ITエンジニア PMP試験対策一問一答 ダイバーシティ プロジェクト プロトタイプビルダー 試験対策問題 GCP無料セミナー Google Cloud Platform G検定 Linux Power Platform oVice アワード クリティカルシンキング サンプル問題 ステークホルダー ディープラーニング リーダー ワーケーション 女性活躍 新入社員研修