AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理

Transcript

1. AWS Systems Managerの ハイブリッドアクティベーションを使用した ガバメントクラウド環境の統合管理 久保田 亨 株式会社大崎コンピュータエンヂニアリング Ops-JAWS Meetup39

2. 自己紹介 久保田 亨 株式会社大崎コンピュータエンヂニアリング 最近の業務内容 地方公共団体のガバメントクラウド案件 2025 AWS Community Builder

   （Cloud Operations） 2023 - 2024 Japan AWS All Certifications Engineers 生成 AI 活用によるガバメントクラウド環境運用管理補助業務の効率化 https://aws.amazon.com/jp/blogs/news/gov-cloud-ops-with-genai/ ガバメントクラウド運用改善から SaaS 製品の開発へ https://aws.amazon.com/jp/blogs/news/lg-gov-cloud-workshop-2025-osaka/ @infra365

3. 本セッションの内容 ・ 自治体システム標準化について ・ ガバメントクラウドについて ・ オンプレミスサーバ管理の例 ・ Amazon WorkSpacesのパッチ適用管理

   ・ まとめ

4. 自治体システム標準化 • 自治体ごとに異なっていた基幹業務システムを全国共通の標準仕様へ統一 (対象:標準準拠20業務) • 標準準拠システムの移行先として、ガバメントクラウドの利用が努力義務化 • 自治体基幹業務システムは2025年度末までに標準準拠システムへ移行 • 移行が困難なシステムは特定移行支援対象システムとして2030年度末まで

   延長

5. ガバメントクラウドの概要 • デジタル庁が整備する政府共通のクラウド基盤 • 国の行政機関、地方公共団体などで利用

6. ガバメントクラウドの特徴① • デジタル庁側の親アカウントで統制 • 自治体側ではAWS Organizationsの子アカウントを利用 • 自治体側ではAWS Organizationsの管理機能を利用できない デジタル庁親アカウント

   自治体利用アカウント 自治体利用アカウント 自治体利用アカウント 自治体利用アカウント 自治体利用アカウント 自治体利用アカウント AWS Organizations 自治体利用アカウント AWS Control Tower セキュリティテンプレート AWS Security Hub Amazon GuardDuty AWS Config ・・・その他セキュリティ関連サービス

7. 例)C社 例)B社 例)A社 ガバメントクラウドの特徴② 閉域ネットワーク / ハイブリッド構成 / マルチベンダー ネットワークアカウント

   自治体 アプリケーション用アカウント 運用管理アカウント 保守拠点 業務用VPC アプリケーション インターネット用VPC Internet gateway Direct Connect Direct Connect Transit Gateway Transit Gateway 例)D社 アプリケーション用アカウント 業務用VPC アプリケーション

8. 制約事項が多い環境

9. 制約がある環境の中ですが、 効率的に管理できる方法を検討中 AWS Systems Manager

10. ハイブリッドアクティベーション 非EC2マシンをSSMのマネージドノードとして管理 運用管理 AWSアカウント オンプレミス VPC Server ssm.region. amazonaws.com ssmmessages.region.

    amazonaws.com ②アクティベーションコードを使用して SSM Agentのインストール System Manager Role Permissions ①アクティベーションコード発行 ③VPCエンドポイントに接続 ④SSMのマネージドノード Direct Connect Transit Gateway

11. 運用管理アカウント オンプレミスサーバ管理の例 マネージドノードとして管理するアカウントは別アカウントでも可能 ネットワークアカウント オンプレミス VPC Server ssm.region. amazonaws.com ssmmessages.region.

    amazonaws.com System Manager Role Permissions アプリケーションアカウント 業務用VPC アプリケーション ①アクティベーションコード発行 ②アクティベーションコードを使用して SSM Agentのインストール Direct Connect Transit Gateway ③VPCエンドポイントに接続 ④SSMのマネージドノード Patch

12. インターネット経由でWindowsやLinux の仮想デスクトップ環境にアクセス Amazon WorkSpaces

13. Amazon WorkSpacesへの接続 • 通常はインターネット経由で利用 • VPC内のネットワークインターフェースを利用 • VPN / Direct

    Connectにより閉域環境でも利用可能 AWSアカウント VPC Internet gateway Global側のIP オンプレミス Client VPC側のIP Internet Amazon WorkSpaces Direct Connect オンプレミス Client

14. AWSアカウント Amazon WorkSpacesのパッチ適用管理 ハイブリッドアクティベーション後、Patch Managerで管理 AWSアカウント System Manager Role Permissions

    VPC ssm.region. amazonaws.com ssmmessages.region. amazonaws.com Amazon WorkSpaces Patch WSUS プロキシサーバなど ①アクティベーションコード発行 ②アクティベーションコードを使用して SSM Agentのインストール ③VPCエンドポイントに接続 ④Patch Managerで管理

15. まとめ • 自治体がガバメントクラウドを利用する際、様々な制約がある • ハイブリッドアクティベーションによる管理アカウントの集約 • ハイブリッドアクティベーションでAmazon WorkSpacesの管理も可能

16. Thank You !!