AWS履修者のためのAzure入門

AWS履修者のためのAzure入門 2023年8月25日株式会社BeeX 半田大樹

Copyright © 2023 BeeX Inc. All Rights Reserved. 2 自己紹介
⚫ 名前半田大樹(Handa Daiki) ⚫ 所属部署バリューアッドコンサルティング本部データインテリジェンス部 Data Management ＆Engineeringグループ ⚫ 最近の趣味猫(ラグドール)を可愛がること DP-900

Copyright © 2023 BeeX Inc. All Rights Reserved. 3 アジェンダ
1. 本資料の目的と必要な前提知識 2. 本資料の注意点 3. 本文 • AWSとAzureの開始フローの違い • AWSとAzureの課金構成の違い • AWSとAzureのセキュリティ概念の違い • AWSとAzureの全体構成の違い • AWSとAzureの権限管理の違い • AWSとAzureの権限付与方法の違い • AWSとAzureのユーザー管理の違い • AWSとAzureのリソース管理の違い • AWSとAzureのリソース操作方法の違い • AWSとAzureのグローバルインフラの違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 4 アジェンダ
3. 本文(続き) • AWSとAzureのネットワーク系サービスの違い • AWSとAzureのネットワークセキュリティ系サービスの違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 5 本資料の目的と必要な前提知識
• 本資料はAWSをある程度触ったことがあるエンジニア向けにAzureとの違いを整理した資料になります。 • そのため、最低でもソリューションアーキテクトアソシエイト資格レベルの知識を持っていることを前提とします。 • また、Azureにおける機能の詳細や利用上の制約などの細かい部分までは記載しておらず、あくまで AWSと比較することによるAzureの概念理解を目的としています。

Copyright © 2023 BeeX Inc. All Rights Reserved. 6 本資料の注意点
• 本資料ではスライド右上にスライド内に記載されているクラウドの名前が書かれたマークを載せております。 • どちらかにしかない機能・仕組みであれば、そのクラウドのマークのみ右上に記載されています。 • また、記載された内容は2023年7-8月時点のものになるため、閲覧する時期によっては最新のものではない内容が含まれている可能性があります。 • 本資料の内容は公式のドキュメントなどを元に整理した内容になりますため、一部解釈が間違っている可能性があります。必要に応じて公式ドキュメントなども確認しながらご覧ください。 • 詳細な料金やサービスの機能までは詳細に取り上げません。 AWS Azure

Copyright © 2023 BeeX Inc. All Rights Reserved. 7 本資料のゴール
１２ AWS←→Azureのサービスの読み替えができるようになる Azureの仕組みについて”少し”詳しくなる

AWSとAzureの利用フローの違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 10 AWSとAzureの利用フローの違い
初めて各クラウドを利用する際の開始フローは以下になります。 (Azureは後述する課金方法MOSPを利用する場合) MSアカウントまたはGitHubアカウントの作成 Azureアカウントのサインアップ Azureアカウントへのサインイン・ログイン「従量課金制」へのアップグレード AWSアカウントのサインアップ AWSアカウントへのサインイン・ログイン AWS Azure

AWSとAzureの課金構成の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 13 AWSとAzureの課金構成の違い
AWSは集約型か個別型、Azureは契約形態によって複数の種類があります。 MS Account or GitHub Account Azure Account Billing Account Billing Role Billing Profile Subscription Subscription Invoice Payment methods Invoice Payment methods Invoice Payment methods Account Management Account Account Invoice Payment methods Account Invoice Payment methods AWS Azure 集約集約集約型個別型

Azureは課金アカウントの種類が4種類あり、種類によって請求書や課金データの管理場所が異なります。 Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 集約集約集約型個別型

Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 個人や小規模組織が利用する場合はこちら MOSPでは、請求書やその他課金情報はサブスクリプションに紐づけられるようになっています。集約集約集約型個別型

Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 大規模組織がEAを締結して利用する場合はこちら ※EA：Enterprise Agreement EAでは、1つ以上の部署やアカウントの課金情報が課金アカウントに紐づけられます。集約集約集約型個別型

顧客契約(MCA)では、課金プロファイルに請求や課金情報が紐づけられ、セクションを作成して課金対象をまとめることが可能です。また、課金アカウントは1つ以上の課金プロファイルを含みます。 Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription 中小規模組織がCAを締結して利用する場合はこちら ※CA：Customer Agreement 集約集約集約型個別型

Account Management Account Account Invoice Payment methods Account Invoice Payment methods Azure Microsoft Online Services Program Enterprise Agreement Microsoft 顧客契約 Microsoft Partner Agreement Billing Account Subscription Invoice Payment methods Billing Account Invoice Payment methods Department Account Subscription Billing Account Billing Profile Invoice section Subscription Invoice Payment methods Billing Account Billing Profile Invoice Payment methods Customer Subscription MSパートナーがリセールする場合はこちら MPAでは、MCAと同じく課金プロファイルに請求や課金情報が紐づけられ、セクションではなくリセールする顧客ごとに課金対象をまとめられます。課金アカウントは1つ以上の課金プロファイルを含みます。集約集約集約型個別型

AWSとAzureのセキュリティ概念の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 21 AWSとAzureのセキュリティ概念の違い
クラウドにおけるセキュリティの概念としては、AWSとAzureでそこまで大きい違いはありません。 AWSやAzureがどこまでのセキュリティを担保するかは提供するサービスモデルによって異なります。 AWS Azure 責任共有モデル共同責任モデル

大まかに分類したサービスモデルごとの責任範囲は以下の通りです。サービスによっては、1つのレイヤー内で更にユーザーとAWS/Azureで責任範囲を分担しているものもありますが、以下表では割愛します。レイヤー SaaS PaaS FaaS DaaS DBaaS MLaaS CaaS IaaS ユーザーデータユーザーユーザーユーザーユーザーユーザーユーザーユーザーユーザー IDとアクセス管理ユーザーユーザーユーザーユーザーユーザーユーザーユーザーユーザーアプリケーション AWS Azure ユーザーユーザーユーザーユーザーユーザーユーザーユーザーゲストOS AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザーユーザーネットワーク設定 AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure ユーザーユーザー仮想ネットワーク AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure 仮想マシン AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure 物理ホスト AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure データセンター AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure AWS Azure

参考までに各サービスモデル間の構成と各クラウドでの該当サービス例を以下に記載します。 IaaS CaaS PaaS FaaS DBaaS MLaaS DaaS SaaS EC2 ECS Beanstalk Lambda RDS SageMaker WorkSpaces WorkDocs VM AKS App Service Functions SQL Database Machine Learning Virtual Desktop OneDrive 抽象度高包括関係 AWS Azure

AWSとAzureの全体構成の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 26 AWSとAzureの全体構成の違い
以下にAWSとAzureの構成について記載します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account Tenant (MS Entra ID) MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure

請求はAzureのほうがより細かい単位で設定できるようになっています。(MOSPの場合) Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)

最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)

環境ごとや組織体制に併せてグルーピングするにはAWSはOU、AzureはMGを利用します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)

ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 Identity Center AWS Azure Tenant (MS Entra ID)

AWSとAzureの権限管理の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 33 AWSとAzureの権限管理
AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。ユーザーアクセスユーザーアクセス方法アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role Subscriptions Resource Groups Resources アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Management Groups

IAM UserからIAMロールのスイッチロールを使用してアカウントにアクセスを行うことも可能です。ユーザーアクセスユーザーアクセス方法アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role Subscriptions Resource Groups Resources アクセス制限 SCP Azure Policy Permissions boundary AWS Management Groups IAM Role

AWSのIAM Policy(Role含む)とAzureのAzure ロールは同じ役割(ユーザーへの権限の付与)を持っています。ユーザーアクセスユーザーアクセス方法アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Subscriptions Resource Groups Resources Management Groups

AWSのSCP・Permissions boundaryとAzureのAzure Policyは同じ役割(アクセス制限)を持っています。ユーザーアクセスユーザーアクセス方法アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Subscriptions Resource Groups Resources Management Groups

アクセス制限を行うポリシーは、構成の上にあるリソースから下にあるリソースに対して権限を継承します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS Azure

全ての権限をAND条件で判定し、許可された範囲のみ操作を行うことができます。(拒否・除外について) SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy すべて許可すべて許可 EC2以外拒否 EC2のみ操作可すべて許可すべて許可東京リージョンのみ可東京リージョンのみ操作可すべて許可 AWS Azure メモ許可よりも拒否のほうが上になる

AWSはアカウント配下のリソース、Azureは許可したスコープ配下のリソースに対してアクセスを許可します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS Azure

AWSとAzureそれぞれで、デフォルトで準備されているポリシーと手動作成ポリシーの2種類があります。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理ポリシーカスタム管理ポリシー組み込みポリシーカスタムポリシー AWS Azure

ユーザーに対して権限を付与するPolicy/ロールにもデフォルトとカスタムがあります。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理ポリシーカスタム管理ポリシー組み込みポリシーカスタムポリシー AWS管理ポリシーカスタム管理ポリシーインラインポリシー組み込みロールカスタムロール AWS Azure

AWSは更に追加でUserに1対1で紐づくインラインポリシーというものもあります。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理ポリシーカスタム管理ポリシー組み込みポリシーカスタムポリシー AWS管理ポリシーカスタム管理ポリシーインラインポリシー組み込みロールカスタムロール AWS

尚、AWSにはリソースに対してアタッチできるリソースベースポリシーというものも存在します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Azure Policy Azure ロール Organizations Root Resources Resources Azure Policy AWS管理ポリシーカスタム管理ポリシー組み込みポリシーカスタムポリシー AWS Resource base policy

そのため、厳密にはAWSのアクセス制限方法は全部で3種類あります。ユーザーアクセスユーザーアクセス方法アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role アクセス制限 SCP Azure Policy Permissions boundary AWS Resource base policy Subscriptions Resources Management Groups

AzureにはAzure Policyを1つにまとめることができる、イニシアチブ定義というものが存在します。 SCP Permissions boundary Organizational unit Account IAM User SSO User SCP IAM Policy IAM Policy 上から下に継承 Management Groups Subscriptions Resource Groups ID User SCP Azure Policy Azure Policy Initiative definition Azure ロール Organizations Root Resources Resources Azure Policy AWS管理ポリシーカスタム管理ポリシー組み込みポリシーカスタムポリシー Azure Resource base policy

AWSとAzureの権限付与方法の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 48 AWSとAzureの権限付与方法の違い
AWSは特定のアカウントに対して操作を許可し、Azureは特定のスコープに対して役割(ロール)で許可します。 User User IAM User ID User Account IAM Policy Azure Role Subscriptions Resource Groups Resources アクセス元アクセスユーザー操作スコープ許可する操作 AWS管理ポリシーカスタム管理ポリシーインラインポリシー組み込みロールカスタムロール AWS Azure ロール Account Resource Resources 操作対象 Management Groups

AWSとAzureのどちらも権限設計時は役割で整理する必要があるため、以下に役割ごとの図を記載します。アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS Azure 継承継承権限許可単位・・・・・・

AWSとAzureのどちらもユーザーに直接権限を付与する方法とグループを介する方法があります。アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS Azure 継承継承権限許可単位・・・・・・

AWSはサービス単位の権限設計、Azureはサービスも含めたスコープ単位の権限設計が必要になります。アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS Azure 継承継承権限許可単位・・・・・・サービスごとの権限設計が必要スコープごとの権限設計が必要

AWSのIdentity Centerを利用時、権限の付与はIAMロールに対して行います。(権限セットの説明は割愛) アクセス元 User User 役割単位 IAM User IAM Group IAM User ID User ID Group ID User 権限付与方法 Azure Role Azure Role IAM Policy IAM Policy AWS 継承継承権限許可単位・・・・・・ SSO User/Group IAM Role IAM Policy

操作権限を付与できる対象は決まっており、AWSは3種類、Azureは4種類の付与対象が存在します。 Azure Role IAM Policy 権限付与方法権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM User IAM Group IAM Role ID Group ID User Managed ID Service Principal 権限付与対象 AWS Azure

その中でも一部の付与対象はAWSとAzureの各サービスから利用することも可能です。 Azure Role IAM Policy 権限付与方法権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM User IAM Group IAM Role ID Group ID User Managed ID Service Principal 権限付与対象 AWS Azure

サービスで利用する場合は、AWSはロールをリソースに直接紐づけ、AzureはEntra IDのIDに紐づけられます。 Azure Role IAM Policy 権限付与方法権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM Role System Managed ID 権限付与対象 AWS Azure ・・・・・・アタッチアタッチ User Managed ID Service Principal

AzureのManaged IDには2種類あり、リソース作成時に自動作成されるものとユーザー作成のものがあります。 Azure Role IAM Policy 権限付与方法権限種類 Managed Policy Custom Policy Inline Policy built-in Role Custom Role IAM Role System Managed ID 権限付与対象 Azure ・・・・・・アタッチアタッチ User Managed ID Service Principal

サービスから利用する場合の仕組みは以下になります。 IAM Role EC2 STS ・・・アクセス許可紐づけリソースアクセス先認証サービス AWS Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行一時的な認証情報でアクセス・・・紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application

AWSはSTSサービスが一時認証情報を発行し、AzureではMS Entra IDがAccess Tokenを発行します。 IAM Role EC2 STS ・・・アクセス許可紐づけリソースアクセス先認証サービス AWS Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行一時的な認証情報でアクセス・・・紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application

Azureのロールの付与は厳密にはManaged IDではなく、Entra ID内のService Principalに対して付与されます。 IAM Role EC2 STS ・・・アクセス許可紐づけリソースアクセス先認証サービス Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行一時的な認証情報でアクセス・・・紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application

そのため、アクセス許可を与えているというよりは、認証リクエスト元と呼称するのが適切かもしれません。 IAM Role EC2 STS ・・・認証リクエスト元紐づけリソースアクセス先認証サービス Azure VM Managed ID 信頼関係確立 AssumeRole 一時的な認証情報発行一時的な認証情報でアクセス・・・紐づけ Access Token Request Access Token Access Tokenでアクセス Entra ID Service Principal Application

Managed IDを利用しない場合は、Entra IDにService PrincipalとApplicationを登録して利用も可能です。 IAM Role EC2 STS ・・・紐づけリソースアクセス先認証サービス Azure User 信頼関係確立 AssumeRole 一時的な認証情報発行一時的な認証情報でアクセス・・・ Access Token Request (ID/Secrets/証明書付加) Access Token Access Tokenでアクセス Entra ID Service Principal Application Onpre Application Azure CLI Application 認証リクエスト元

AWSとAzureのユーザー管理の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 65 [再掲]AWSとAzureの全体構成の違い
ユーザ管理はAzureはIDに集約、AWSは各アカウント内のIAMユーザーかIdentity Center(SSO)を利用します。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 Identity Center AWS Azure Tenant (MS Entra ID)

Copyright © 2023 BeeX Inc. All Rights Reserved. 66 [再掲]AWSとAzureの権限管理
AWSはアカウント単位で許可が可能、Azureは管理グループ単位から許可が可能となっています。ユーザーアクセスユーザーアクセス方法アクセス許可先 User IAM User SSO User User ID User IAM Role Account Resouce Account Resouce IAM Policy IAM Policy 権限付与方法 Azure Role Subscriptions Resource Groups Resources アクセス制限 SCP Azure Policy Permissions boundary AWS Azure Management Groups

Copyright © 2023 BeeX Inc. All Rights Reserved. 67 AWSとAzureのユーザー管理の違い
AWSはAccount内のIAM UserかIdentity Center(SSO)で管理され、AzureはMS Entra IDで一括管理されます。ユーザー User User Management Console login Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力ログインユーザーユーザ管理ログイン方法操作対象許可されているアカウント内リソース IAM Userがあるアカウント内リソース許可されているスコープ内リソース AWS Azure

AWSのIAM Userは特定Accountに対してのみログインでき、それ以外のAccountにはログインができません。 ※IAMロールのスイッチロールを利用する場合を除くユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力ログインユーザーユーザ管理ログイン方法操作対象許可されているアカウント内リソース IAM Userがあるアカウント内リソース許可されているスコープ内リソース AWS Management Console login

AWSのIdentity Centerは複数のAWS Accountに対してIAMロールのスイッチロールでログインができます。ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力ログインユーザーユーザ管理ログイン方法操作対象許可されているアカウント内リソース IAM Userがあるアカウント内リソース許可されているスコープ内リソース AWS Management Console login

AzureはEntra IDでユーザー管理され、ログイン後の操作対象は付与された権限で制御されます。ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力ログインユーザーユーザ管理ログイン方法操作対象許可されているアカウント内リソース IAM Userがあるアカウント内リソース許可されているスコープ内リソース Management Console login Azure

MS Entra IDはAzure専用のサービスではないため、M365へのログイン等でも利用されます。ユーザー User User Identity Center login Microsoft Azure login Account Identity Center MS Entra ID IAM User SSO User ID User Management Console Management Console Azure Portal 認証情報入力ログインユーザーユーザ管理ログイン方法操作対象許可されているアカウント内リソース IAM Userがあるアカウント内リソース許可されているスコープ内リソース Azure Microsoft 365 オンプレミスシステム Management Console login

AWSとAzureのリソース管理の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 74 [再掲]AWSとAzureの全体構成の違い
最小のリソースをまとめる単位はAWSはAccount、AzureはResourceGroupとなります。 Organizations Root Organizational unit Account Subscriptions Root Management Groups Resource Groups Azure Account MS Account or GitHub Account Root User Root User 1 N N N 1 N N N 1 Management Account 1 1 1 1 Management Groups N 1 N N N 1 1 N 1 N N N 1 AWS Azure Tenant (MS Entra ID)

Copyright © 2023 BeeX Inc. All Rights Reserved. 75 AWSとAzureのリソース管理の違い
AWSは課金とリソース管理が纏められており、Azureは課金単位とリソース管理単位が別々になっています。 AWS Azure Root Management Groups 工場部門情シス部門本番用本番用開発用・・・・・・・・・・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・

Azureではリソースグループを削除すると、紐づくすべてのリソースが同時に削除されます。 Azure Root Management Groups 工場部門情シス部門本番用本番用開発用・・・・・・・・・・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・

AWSではアカウントを削除しても全てのリソースが自動的に削除されるわけではありません。 AWS Root Management Groups 工場部門情シス部門本番用本番用開発用・・・・・・・・・・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・

AWSにはCloudFormation等の関連リソースを一括作成・削除・管理できる仕組みが別途存在します。 AWS Root Management Groups 工場部門情シス部門本番用本番用開発用・・・・・・・・・・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation

CloudFormationを削除することで、アカウントを削除せずにリソースをまとめて削除することができます。 AWS Root Management Groups 工場部門情シス部門本番用本番用開発用・・・・・・・・・・・・ Aシステム Bシステム Cシステム PoC Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation

Azureにも別途CloudFormationに相当する仕組みがあり、ARM Templateを使用すると同様のことが可能です。 Root Management Groups 工場部門情シス部門本番用本番用開発用・・・ Aシステム Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation ARM Template ・・・ Bシステム ARM Template ・・・ Cシステム ARM Template ・・・ PoC ARM Template Azure

AWSはAccountで課金単位とリソース管理単位を兼ねているため、リソースのみの扱いが若干複雑ですが、 AzureはResource Groupで管理単位が分離されているため、リソース管理がしやすい構成となっています。 Root Management Groups 工場部門情シス部門本番用本番用開発用・・・ Aシステム Organizations Root Resource Sandbox 工場部門本番用 Aシステム・・・工場部門本番用 Bシステム・・・情シス部門 PoC ・・・ CloudFormation CloudFormation CloudFormation ARM Template ・・・ Bシステム ARM Template ・・・ Cシステム ARM Template ・・・ PoC ARM Template Azure AWS

AWSとAzureのリソース操作方法の違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 84 AWSとAzureのリソース操作方法の違い
AWSとAzureのどちらも、ブラウザでのGUI・CUI操作とローカルPC等からのコマンド操作に対応しています。 Azure Portal Azure Cloud Shell Azure PowerShell / Azure CLI AWS Management Console AWS CloudShell AWS Command Line Interface (AWS CLI) ブラウザでのGUI操作対応ブラウザでのCUI操作対応場所を限定しないコマンド操作対応 AWS Azure

Copyright © 2023 BeeX Inc. All Rights Reserved. 85 AWSとAzureのリソース操作方法の違い
リソースの操作方法で分類すると以下のようになります。 API操作はJsonファイルやプログラム言語などでAPIを直接操作するものを対象として記載しています。 GUI操作コマンド操作 API操作 Azure Portal Azure Cloud Shell AWS Management Console AWS CloudShell Azure PowerShell / Azure CLI AWS Command Line Interface (AWS CLI) AWS Tools and SDKs AWS CloudFormation Azure SDK Azure Resource Manager Template AWS Azure

AWSとAzureのグローバルインフラの違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 88 AWSとAzureのグローバルインフラの違い
AWSとAzureは世界中にあるDCとそれを結ぶネットワークで構成されています。 DCはリージョンとAZという概念で論理的にまとめられており、物理的に冗長化されています。 AWS Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

AWSとAzureともに1つのリージョンには1つ以上のAZが含まれるように構成されており、 AZを使用してリソースの冗長化を行うことができます。 AWS Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

Azureで特定のAZを指定してリソースを構築する場合、最低でもリージョンに3つのAZが存在する必要があるため、2023年7月時点では西日本リージョンでAZを指定することができません。(Availability Setは利用可能) Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

また、 AWSとAzure共にAZの冗長化以外にもリージョンを跨いで冗長化を行うことも可能です。 AWS Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

Azureは地域ごとにリージョンがペアで構成されており、1つのリージョンに別のリージョンがペアとして登録されています。リージョンペア間であれば、低遅延の通信や自動レプリケーションを行うことができます。 Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

AzureではAvailability Setという、DC内のサーバーラックを分散できる機能があり、これを使用すると1つのDCのサーバーラック単位でリソースを冗長化させることができます。 Azure AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

AWSでは異なるサーバーラックでのリソース構築やリージョンペアのような概念はないため、 AZ単位での冗長や各サービスを組み合わせたリージョン間同期パイプラインを別途構築する必要があります。 AWS AWS Cloud Tokyo Region Osaka Region Availability Zone A Availability Zone C Availability Zone D Availability Zone A Availability Zone B Availability Zone C Azure Eastern Japan Region Western Japan Region Availability Zone 1 Availability Zone 2 Availability Zone 3 Availability Zone 1 Availability Zone 2

ネットワーク系サービスの違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 97 ネットワーク系サービスの違い
AWSはVPCとSubnetを利用してAWS上に仮想ネットワークを構築するようになっており、 AzureはVNetとSubnetを利用してAzure上に仮想ネットワークを構築するようになっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway AWS Azure

AWSでは明示的にPublicなSubnetとPrivateなSubnetが定義されていますが、Azureは明示的にPublicと Privateの定義がされていないため、Subnet内に構築されているリソースでの判断が必要です。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway AWS Azure

具体的には、AWSはIGWの有無によってInternetとの通信の有無を制御しますが、Azureは標準でInternetへの外部送信が可能で、Public IPの有無によって受信側の通信制御を行います。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure ※IPv4を前提として記載しています

Public IPアドレスには静的に設定できるものと動的に設定されるものがあり、AWSとAzure共に静的と動的のどちらも設定が可能となっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure 静的動的静的動的 ※IPv4を前提として記載しています

AWSは動的なPublic IPアドレスであれば無料で利用できますが、Azureは動的Public IPアドレスであっても有料で利用するようになっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure 静的動的静的動的 EC2作成時に自動割当可能無料で利用可能 VM作成時に自動割当可能有料で利用可能 ※IPv4を前提として記載しています

ただ、現在ではAzureの動的IPアドレスは利用不可になっており、2025年9月30日に動的IPアドレスは完全に廃止される計画が立てられています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス暗黙的NAT Public IPアドレス Public IPアドレス Azure 静的動的静的動的 EC2作成時に自動割当可能無料で利用可能 VM作成時に自動割当可能有料で利用可能 ※IPv4を前提として記載しています

AWSの静的Public IPアドレスはEC2作成後のみ割り当てができるようになっており、AzureはVM作成時に割り当てができます。コスト的にはAWS・Azureで同じ料金設定となっています。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス暗黙的NAT Public IPアドレス Public IPアドレス AWS Azure 静的動的静的動的 EC2作成後に割当可能 1つあたり$0.005/h VM作成時に割当可能 1つあたり$0.005/h ※IPv4を前提として記載しています

AWSではこれまで利用中の静的なIPに対しては料金が発生しません(EC2のセカンダリIPは除く)でしたが、 2024/2/1より有料で提供されるように変更になると2023年7月に発表がありました。 VPC Private subnet Public subnet AWS Cloud Azure VNet Subnet Subnet Internet gateway Public IPアドレス Public IPアドレス暗黙的NAT Public IPアドレス Public IPアドレス AWS 静的動的静的動的 EC2作成後に割当可能 1つあたり$0.005/h VM作成時に割当可能 1つあたり$0.005/h ※IPv4を前提として記載しています

仮想ネットワーク間の通信を行う場合の構成例を以下に記載します。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering AWS Azure

仮想ネットワーク間の通信を行いたい場合、AWSであればVPC Peeringを利用すると相互に通信でき、 Azureであれば仮想ネットワークピアリングを利用することでVnet間の通信を行うことができます。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering AWS Azure

AWSとAzure共に、仮想ネットワーク同士のPeeringはアカウント/サブスクリプション跨ぎ、リージョン跨ぎなどのケースにも対応しているため、インターネットを経由せずにネットワーク間通信が可能です。 AWS Account A Azure Subscription A VPC VNet VNet VPC Peering AWS Azure AWSAccount B VPC VPC Peering Eastern Japan Region Tokyo Region Osaka Region Western Japan Region Azure Subscription B Virtual network Peering

AWSではリージョンを跨いだPeeringの場合でも同リージョン間と同じVPC Peeringが可能ですが、 Azureでリージョン跨ぎでPeeringするためにはGlobal Vnet Peeringを使用する必要があります。 AWS Account A Azure Subscription A VPC VNet VNet VPC Peering Azure AWSAccount B VPC VPC Peering Eastern Japan Region Tokyo Region Osaka Region Western Japan Region Azure Subscription B Virtual network Peering

Peeringの共通制約として、直接Peeringした仮想ネットワーク同士であれば通信が可能ですが、直接 Peeringしていない仮想ネットワークに対してはネットワークを跨いで通信をすることはできません。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering AWS Azure

Azureの場合は、VNet Peeringの設定でRemote Gateway Tiransitを有効にすることで、直接PeeringしていないVNet間でもVPN Gateway経由でトラフィックが転送され、通信が可能となります。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPC Peering VPC Peering VPC Peering VPC Peering Virtual network Peering Virtual network Peering Azure

AWSでVPCを跨いだ通信を行う方法として、Transit VPCオプションを利用する方法があります。この場合、ハブとなるVPCにCisco CSR等の仮想ルーターをデプロイし、VGWとの接続を確立する必要があります。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet VPN Gateway VPN Gateway Virtual network Peering Virtual network Peering AWS VPN VPN

接続するネットワークが増加した場合、個別のPeeringやVPN接続の方法だと管理できなくなります。そのため、大規模ネットワークに対応したサービスのTransit GatewayやWANを利用する方法があります。 AWS Cloud Azure VPC VNet VPC VPC VNet VNet TGW Attachment AWS Azure WAN TGW Attachment TGW Attachment Transit Gateway

Copyright © 2023 BeeX Inc. All Rights Reserved. 113 AWS
Cloud AWS Direct Connect Location ネットワーク系サービスの違いオンプレネットワークとクラウドネットワークを接続する構成を以下に記載します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure

Cloud AWS Direct Connect Location ネットワーク系サービスの違いオンプレネットワークと各クラウド間を接続するには、Site to Site VPNを使用する方法と各クラウドネットワークとオンプレネットワークを直接接続する方法の2つがあります。 ※Point to Site VPNはクライアントネットワークからの接続になるため、説明を割愛します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure

Cloud AWS Direct Connect Location ネットワーク系サービスの違い Site to Site VPNを使用する方法の場合は、AzureはAzure VPN Gateway、AWSはAWS Site-to-Site VPNを利用します。どちらの場合もIPSecトンネルを使用して安全な接続を確立します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure

Cloud AWS Direct Connect Location ネットワーク系サービスの違い各クラウドネットワークとオンプレネットワークを直接接続する方法の場合は、AzureはExpressRoute、 AWSはDirect Connectを利用し、どちらの場合も指定されたパートナーネットワークを介して閉域接続を確立します。 On-Premis Azure VNet Partner edge Microsoft edge ExpressRoute回線 Subnet Local Network Gateway VPN Gateway VPN Gateway Express Route IPsec/IKE VPN ExpressRoute Gateway VPC Private subnet BGP Router Virtual Private Gateway Customer Gateway VPN Connection Transit Gateway Virtual Private Gateway Partner Cage AWS Cage Customer Gateway AWS Azure

各クラウドのロードバランサ―サービス例を以下に記載します。AWSのCLBやGLBについては後方互換性のためや、セキュリティアプライアンスとの通信を行うために利用されるので、今回は割愛します。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP AWS Azure PIP

AWSでロードバランサ―と名の付くサービスはALB/NLB/GLB/CLBの4種類がありますが、AzureではAzure Load Balancerの1種類しかありません。AzureのロードバランサーはL4レイヤーでの振り分けを行います。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP Azure PIP

AWSのApplication Load Balancerと同じ役割を持つAzureのサービスはApplication Gatewayが該当します。 ALBはIPの固定化はできませんが、AGWはIPの固定化を行うことが可能です。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP AWS Azure PIP

Azure Load Balancerと同じような役割を持つAWSのサービスはNetwork Load Balancerが該当します。 AWSのNLBはALBの前段に置けますが、Azure LBはApplication Gatewayの前段に置けません。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP AWS Azure PIP

Azure Load BarancerもApplication Gatewayと同じようにIPを固定化することができます。 Azure NAT Gatewayがリリースされるまでは、NAT GWの代わりとして利用することもあったようです。 VPC AWS Cloud Azure VNet Private subnet Public subnet Subnet Subnet Internet gateway Application Load Balancer Network Load Balancer Load Balancer Application Gateway Auto Scaling group EC2 EC2 VM VM Scale Sets VM PIP PIP : Public IP Azure PIP PIP

各クラウドのエンドポイントサービスを以下に記載します。 AWSとAzure共に2種類のエンドポイントサービスが存在し、用途に合わせて使い分けることが可能です。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure

PaaS等の各クラウド上で稼働するサービスに対して、インターネットを経由せずクラウドのグローバルネットワークを経由する方法として、AWSはVPC Endpoint、AzureはService Endpointがあります。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure

AWSのVPC EndpointはVPCコンソール画面から作成する必要があるのに対して、AzureのService Endpoint は各サービスのポータル画面で設定することで自動的に作成されます。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure

AWSのVPC EndpointにはInterface型とGateway型の2種類があり、Interface型の場合はSubnet内にENIが作成され、エンドポイントとENIが1対1で紐づきます。Gateway型の場合はVPCに直接紐づけられます。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS

AzureのService Endpointは(AWSで言うところの)Gateway型しかありませんが、Firewall機能も統合されているため、アクセス元の制限等が可能です。ただ、Subnet経由で別のネットワークからの利用はできません。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service Azure

ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネットワーク経由で提供したい場合、Private Linkを利用します。こちらはAWSとAzureで同じ名前となっています。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS Azure

AWSの場合は、ユーザー側で構築したアプリケーション等を異なるネットワーク上にプライベートなネットワーク経由で提供したい場合のみに利用します。EndpointへのアクセスはSGで制御が可能です。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service AWS

AzureのPrivate Linkはユーザー構築アプリケーション以外に、Azureサービスに対しても設定することが可能です。ただし、Endpoint経由の通信をNSGやFirewallで制御できないため注意が必要です。 VPC AWS Cloud Azure VNet Private subnet Subnet VPC VNet Private subnet Subnet EC2 VPC Endpoint (Interface/Gateway) Network Load Balancer EC2 Private Link VPC Endpoint (Interface) VPC Endpoint Service S3 DynamoDB KMS Storage Cosmos DB Key Vault Service Endpoint (Gateway) VM Load Balancer VM Storage Private Link Private Endpoint (Interface) Private Link Service Azure

ネットワークセキュリティ系サービスの違い

Copyright © 2023 BeeX Inc. All Rights Reserved. 132 ネットワークセキュリティ系サービスの違い
使用するネットワークの数が増えてくると、それに伴ってネットワークセキュリティについても考慮が必要です。以下にAWSとAzureで提供されているサービス例を記載します。 AWS WAF AWS Network Firewall VPC Network ACL Azure Firewall Azure WAF Azure Network Security Group アプリケーション向けネットワーク内部向けインターネットとの境界向け AWS Azure

AWSとAzureのどちらも安全な通信を担保するための仕組み・サービスがいくつか存在します。ざっくり大別すると以下のようになります。FirewallはL7とL4のどちらでも対応可能です。 AWS WAF AWS Network Firewall VPC Network ACL Azure Firewall Azure WAF Azure Network Security Group アプリケーション向けネットワーク内部向けインターネットとの境界向け AWS Azure

アプリケーションレイヤーのみのセキュリティにはWAFを利用します。 WAFは特定のサービスに対して設定することができ、対象のサービスはAWSとAzureで若干異なります。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront regional regional global global global Amazon API Gateway regional Azure API Management regional 対象外 AWS Azure L7ロードバランサ― コンテンツ配信ネットワーク API管理サービス

WAFがアタッチ可能なL7ロードバランサ―の役割を持つサービスはAWSが1つ、Azureが2つあります。 Azureはリージョン内で利用されるサービスとグローバルで利用されるサービスの2種類存在しています。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront regional regional global global global Amazon API Gateway regional Azure API Management regional 対象外 AWS Azure L7ロードバランサ― コンテンツ配信ネットワーク API管理サービス

次にWAFがアタッチ可能なAPI管理サービスの役割を持つサービスはAWSのみ存在します。 Azureにも同様の役割を持つサービスがありますが、WAFのアタッチはできません。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront regional regional global global global Amazon API Gateway regional Azure API Management regional 対象外 AWS Azure 「L7ロードバランサ ―」と組み合わせて利用することでWAF を間接的に適用する L7ロードバランサ― コンテンツ配信ネットワーク API管理サービス

WAFがアタッチ可能なコンテンツ配信ネットワークの役割を持つサービスはAWSとAzureともに1つずつあります。共にエッジネットワークで提供されるサービスのため、WAFもエッジネットワークで有効化されます。 AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront L7ロードバランサ― regional regional global global global コンテンツ配信ネットワーク Amazon API Gateway regional API管理サービス Azure API Management regional 対象外 AWS Azure Azure CDNにWAFをアタッチさせる仕組みはパブリックプレビューで提供され、現在は新規設定ができない

Azure Front Doorはカテゴリ上はコンテンツ配信ネットワークに含まれますが、ここでは敢えてL7ロードバランサ―として位置づけしています。(バランサー機能以外にコンテンツキャッシュ等の機能もあります) AWS WAF Azure WAF アプリケーション向け Azure Application Gateway Azure Front Door Azure Content Delivery Network Application Load Balancer Amazon CloudFront L7ロードバランサ― regional regional global global global コンテンツ配信ネットワーク Amazon API Gateway regional API管理サービス Azure API Management regional 対象外 AWS Azure

各クラウドの内部ネットワークとインターネットの境界でのセキュリティとしてはFirewallを利用します。 AWSのFirewallは提供されているプランが1種類なのに対して、Azureは全部で3種類のプランがあります。※ AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式ステートレス or ステートフルルール種類スループットステートフル NATルールネットワークルールアプリケーションルール送信用受信用送信用 (L3～L4) (L3～L4) (L7) ステートフルルールステートフルルール送信用受信用送信用受信用 (L3～L4、L7) (L3～L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛

Azureはステートフルルールしか設定できませんが、AWSはステートレスルールも設定が可能です。 AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式ステートレス or ステートフルルール種類スループットステートフル NATルールネットワークルールアプリケーションルール送信用受信用送信用 (L3～L4) (L3～L4) (L7) ステートフルルールステートフルルール送信用受信用送信用受信用 (L3～L4、L7) (L3～L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛

Azureのルールは受信用と送信用で3種類あるのに対して、AWSは送信用と受信用が分けられていません。 Azureはレイヤーごとにルールが分けられていますが、AWSはレイヤーもまとめられています。 AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式ステートレス or ステートフルルール種類スループットステートフル NATルールネットワークルールアプリケーションルール送信用受信用送信用 (L3～L4) (L3～L4) (L7) ステートフルルールステートフルルール送信用受信用送信用受信用 (L3～L4、L7) (L3～L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛

Azureのプランについては記載している以外にも使用できる機能などの違いもありますが、AWSと比較したときに判断しやすいスループットのみ記載しています。Azureはスループット要件でプランを選択できます。 AWS Network Firewall Azure Firewall インターネットとの境界向け AWS Azure 提供プラン Standard Premium Only one Basic 制御方式ステートレス or ステートフルルール種類スループットステートフル NATルールネットワークルールアプリケーションルール送信用受信用送信用 (L3～L4) (L3～L4) (L7) ステートフルルールステートフルルール送信用受信用送信用受信用 (L3～L4、L7) (L3～L4、L7) 最大 250Mbps 最大 30Gbps 最大 100Gbps 45Gbps超 ※記載していないプランごとの細かな違いは割愛

各クラウドのネットワーク内部向けのセキュリティとして、AWSはNACLとSG、AzureはNSGがあります。 AzureのNSGはSubnetとVM(NIC)にアタッチでき、AWSはアタッチ対象ごとに分かれています。 VPC Network ACL Azure Network Security Group ネットワーク内部向け AWS Azure アタッチ対象制御方式デフォルトルールルール種類 Subnet Azure VM (NIC) Subnet Amazon EC2 (NIC) Private subnet Public subnet ステートレスステートフルステートフルインバウンドルールアウトバウンドルールインバウンドルールアウトバウンドルール受信セキュリティ規則送信セキュリティ規則送信受信許可なし全て許可送信受信優先度1: 全て許可優先度2: 全て拒否送信受信優先度1: VMのvNetからの着信を許可優先度2: ALBからの監視信号を許可優先度3: 全ての着信を拒否優先度1: 全て許可優先度2: 全て拒否優先度1: VMのvNetからの発信を許可優先度2: インターネットからの発信を許可優先度3: 全ての発信を拒否

AWSのNACLでは優先順位に従って通信の許可拒否が評価されますが、SGは許可のみなので通信の許可の有無で評価されます。AzureのNSGはNACLと同じく優先順位に従って許可または拒否が評価されます。 VPC Network ACL Azure Network Security Group ネットワーク内部向け AWS Azure アタッチ対象制御方式デフォルトルールルール種類 Subnet Azure VM (NIC) Subnet Amazon EC2 (NIC) Private subnet Public subnet ステートレスステートフルステートフルインバウンドルールアウトバウンドルールインバウンドルールアウトバウンドルール受信セキュリティ規則送信セキュリティ規則送信受信許可なし全て許可送信受信優先度1: 全て許可優先度2: 全て拒否送信受信優先度1: VMのvNetからの着信を許可優先度2: ALBからの監視信号を許可優先度3: 全ての着信を拒否優先度1: 全て許可優先度2: 全て拒否優先度1: VMのvNetからの発信を許可優先度2: インターネットからの発信を許可優先度3: 全ての発信を拒否

注意が必要な点として、仮想マシンを作成時にセキュリティグループを指定しない場合、AWSは通信ができない状態で作成されますが、Azureはインターネットから通信ができる状態で作成されます。(RDP等) VPC Network ACL Azure Network Security Group ネットワーク内部向け AWS Azure アタッチ対象制御方式デフォルトルールルール種類 Subnet Azure VM (NIC) Subnet Amazon EC2 (NIC) Private subnet Public subnet ステートレスステートフルステートフルインバウンドルールアウトバウンドルールインバウンドルールアウトバウンドルール受信セキュリティ規則送信セキュリティ規則送信受信許可なし全て許可送信受信優先度1: 全て許可優先度2: 全て拒否送信受信優先度1: VMのvNetからの着信を許可優先度2: ALBからの監視信号を許可優先度3: 全ての着信を拒否優先度1: 全て許可優先度2: 全て拒否優先度1: VMのvNetからの発信を許可優先度2: インターネットからの発信を許可優先度3: 全ての発信を拒否

AWS履修者のためのAzure入門

AWS履修者のためのAzure入門

More Decks by BeeX, Inc.

Other Decks in Technology

Featured

Transcript