atlax blogs

  • AWS で よくあるお問い合わせ 3選

    - 2022/09/15

    花岡 大輔




はじめに

こんにちは、NRIの 花岡です。社内外への AWS 環境提供や、よろず相談を受ける窓口を担当しております。

今回は、そんな窓口に届いたお問い合わせの中から、よくある 3つをピックアップしてご紹介しようと思います。



1. つながらないんだけど ...?

まずは、何と言っても「ネットワークの問題」です。

AWS 環境における ネットワークの問題は、

- マネジメントコンソールに 接続できない
- Amazon Elastic Compute Cloud (以下、EC2)に ログインできない(認証すら聞かれない)
- サーバー間通信ができない

等々、いろいろな場面で発生します。

解決のために 大切なポイントを 2つご紹介します。(オンプレミスと考え方は変わりません)


ポイント 1 - 構成・設定を 確認する

基本的なことですが、非常に大事なことです。

まず、構成図通りに EC2 等のリソースが配置されていることを確認します。次に、問題が発生しているネットワーク経路に関係する「セキュリティグループ」「ネットワーク ACL (Access Control List)」「ルートテーブル」が 想定通り設定されていることを 確認します。

これらの確認を行い、「配置先が 間違っていた」「設定するセキュリティグループを 間違っていた」等があれば、修正して 再度接続を試行してみましょう。大抵のネットワーク問題は、これで解決するのではないかと思っています。


ポイント 2 - 疎通できないポイントを 絞り込む

構成・設定は 設計通りだったが、まだ接続できない場合は、設計自体に誤りがある可能性が高いです。こういう場合、どこに問題があるのか 被疑部位の特定を行っていきます。

接続経路を構成図と照らし合わせ、通信できている区間、出来ていない区間を確認していきます。被疑部位を絞り込む手段は、「経路上の リソースのログを 確認する」「経路上に テストリソースを作る」等が考えられます。そのほか、ネットワークのトラブルシュートに役立つ 以下のような AWS サービスがあります。


VPC Reachability Analyzer

VPC(Virtual Private Cloud)内の リソース間の接続テストを行い、ネットワーク構成に問題がないか
分析することができます。

・Amazon VPC ドキュメント / What is VPC Reachability Analyzer? ※外部サイトへ

・Amazon Web Services ブログ / 新機能 - VPC Reachability Analyzer ※外部サイトへ


被疑部位が特定できたら設定を修正し、接続を試行してみましょう。


Tips

どれだけ設定が問題なくても、通信できないケースがあります。私が知る限り、そういった通信に EC2 からのメール送信があります。(ポート 25 の アウトバウンド通信)

このケースに該当する場合は、「Eメール送信制限解除申請」を行ってみましょう。

・AWS サポート / ナレッジセンター / EC2 インスタンスから ポート 25 の制限を削除する ※外部サイトへ



2. API が 実行できません

「API(Application Programing Interface)が 実行できない」問題は、ネットワーク または 実行権限が原因となる可能性が高いです。

ネットワークの問題は、先述の「 1. つながらないんだけど ...?」で ご紹介した切り分け方法と同じように 解決を図りましょう。ここでは、実行権限の問題に対する、基本的な切り分けポイントをご紹介します。


ポイント 1 - 使用している IAM ユーザー・ロールは何かを 確認する

まずは、API を実行する環境が、どういった権限を有しているかを 確認します。例えば、実行環境において、「aws sts get-caller-identity」コマンドなどを実行することで、使用中の IAM (Identity and Access Management)の情報が 確認できます。


ポイント 2 - 使用中の IAM は 実行権限を有しているかを 確認する

実行権限を 許可・禁止する設定箇所は多く、対象の リソースによって増減します。基本的な項目を 以下に記載します。

- AWS 組織全体で 許可されている・禁止されていない 操作か(AWS Organizations / サービスコントロールポリシー での 許可・禁止)
- IAM ポリシーで 許可されている・禁止されていない 操作か
- IAM Permissions boundary で 許可されている・禁止されていない 操作か
- アクセス先の リソースの リソースポリシーで 許可されている・禁止されていない 操作か(例: Amazon S3 バケットポリシーなど)

この全てにおいて、操作が許可されていることが必要です。一つ一つ確認していくことが 一番の近道です。



3. AWS を 安全に運用したいのだが どうすれば良い?

インターネットで気軽にアクセスできる AWS 環境は、便利な反面、攻撃を受けやすいとも言えます。企業において、AWS を 安全に運用するためのポイントをご紹介いたします。


ポイント 1 - ルール作り

AWS 環境上で稼働するシステムが、どういったセキュリティ対策を行う必要があるか、ルール作りを行いましょう。AWS の ベストプラクティスや ベンチマークなどを活用すると良いと思います。(もちろん、オンプレミス同様、関連する法令、業界特有のガイドライン、社内規定などに 順守していくことも重要です)

この時に運用フェーズのことを想定し、ルールの適用に無理がないか チェックしておくことをお勧めします。
適用に無理があるルールは、守られなくなっていく恐れがあるためです。


ポイント 2 - ルールに沿った 日々の運用

作成したルールを順守するため、セキュリティ対策を行いましょう。セキュリティ対策が機能しているか、ルール通り運用できているか、定期的にチェックしていくことが重要です。

こういった定期的なチェックには、AWS Security Hub や AWS Config といった AWS のサービスや、サードパーティの CSPM (Cloud Security Posture Management)製品が 利用されるケースが多いです。


ポイント 3 - 定期的な見直し

AWS は アップデートが 頻繁に行われます(月間 100 ~ 200 件程度)。出来なかったことが 出来るようになり、ベストプラクティスや ベンチマークも変化していきます。それに合わせて ルールを見直し、より適切なセキュリティ対策を実施していきましょう。



おわりに

これまで紹介した 3つのトピックに、思い当たることはありましたか?

何かの折に思い出して、参考にしていただければ幸いです。



関連リンク・トピックス

・atlax / クラウドの取り組み / AWS(Amazon Web Services) ※カテゴリーTOPページ

・atlax / ソリューション / クラウド運営・統制 - クラウドサービス運営サポート、クラウド統制サポート、クラウドデザインパターン -

・atlax ブログ / 初の NRI社内向け AWS GameDay に 100名近くが参加しました - 花岡 大輔 が リーダーとして参加した「チーム shiriagari 」が 優勝 -



NRI 関連サービス・ソリューション



  • クラウドを使って できることをもっと広げる パブリッククラウド運営サービス「 QUMOA (クモア)」

    QUMOA[クモア]

    「クラウドを導入したものの、運営に疲れてしまった ... 」
    そのような お悩みは、NRIが提供する パブリッククラウド運営サービス「 QUMOA(クモア)」が まるごと解決します。最大の特長は、NRIが クラウド黎明期から 多数のお客様の クラウド導入・運用を支援してきた「ノウハウと人材」。それらを 新しいナレッジや テクノロジーと掛け合わせ 多彩なサービスとしてご提供します ...

    ・詳細を見る




※ 記載された会社名 および ロゴ、製品名などは、該当する各社の登録商標または商標です。
※ アマゾン ウェブ サービス、Amazon Web Services、AWS および ロゴは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。