AWSでWEBサイトを構築する際に必須のAWSサービスたちをご紹介

はじめに

私は普段開発エンジニアをしているのですが、仕事上AWSでWebサイトを構築させていただきましたので、タイトルにもある通り、AWSでWEBサイトを構築する際に必須のAWSサービスたちをご紹介しようと思います。

まず初めに必ずしてほしいこと

下記はWebサイトの運用以外でも必須レベルの設定だと私は思っています。

• ルートユーザーに多要素認証(MFA)を設定する

• ルートユーザーの代わりに管理者権限が付与されたIAMユーザーを作成。以降、ルートユーザーは極力使用しない

• 作成した管理者ユーザーに、請求とコスト管理用の管理者アクセス権限を付与する

• CloudTrailを設定して、AWS APIの呼び出しをすべて記録する

• AWS Configを有効にして、AWSリソース(EC2やVPCなど)の構成変更を記録する

• Cost Explorerを有効にして、使用料を確認できるようにする

• Cost Explorerで予算を設定し、メールで通知設定を行う

• Amazon GuardDutyを有効にして、セキュリティの脅威を監視する

• 動作をテストするには、最初のサーバーを作成し、ログインできることを確認する。確認できたら削除する

• PCでAWS CLIを起動して操作する(任意)

[引用] AWSの基本・仕組み・重要用語が全部わかる教科書 (見るだけ図解)

MFAに関しては、ルートユーザーに設定していない状態だとAWSのコンソール画面上で警告のような通知がされるので特段意識する必要はないでしょう。

AWS CloudTrail

いつ誰(ユーザーやAPIなど)が何を行ったかをJSON形式で記録できるサービスです。
これは言わずもがな、チームで開発する際には必須だということはお分かりいただけるでしょう。

AWS Config

ルールを自分で設定し、そのルールが守られていないアーキテクチャや設定になっていた場合に警告してくれるサービスです。また、EC2やVPCなどのリソース構成も記録してくれます。ルールで言うと例えば、「ssh接続をインバウンドルールで許可している場合にIP制限がかかっている」などがあり、それが守られていなければ警告されます。リソースの構成もなんでも記録できるのですが、私は予算の関係で利用するサービスのみ記録しています。

AWS Cost Explorer

主にコストに関する設定や管理などができるサービスです。特に予算を決定してemail通知しておくことはとてもおすすめです。

Amazon GuardDuty

これ簡単です。有効にするだけ、以上です。

Amazon EC2 (Elastic Compute Cloud)

これはAWSサービスの中で一番有名なサービスなのでは無いでしょうか。主にサーバーの役割を担います。と言うかサーバーです。笑
余談ですが、僕は案外昔からサーバーに興味があったのですが、実機を買うわけにもいかず、かといって高いお金を払って買ったパソコンにLinuxをぶちこんで弄ると言うのも少し気が引けていてあまりサーバーに関わることができませんでした。(もちろんVirtual Boxなどでは触っていました)
ところがどっこいこのサービスを見つけた当初はサーバーへの愛が上がりましたね。(これからは好きなように君をいじれるんだね、、、と)

Amazon S3

主にストレージとして扱います。静的ウェブサイトのホストとしても扱えますが、やはりログや画像ファイルなどを保存するストレージの用途として扱うことが多いのでは無いのでしょうか。
S3 Glacierというサービスも併せて利用することをお勧めします。こちらは簡単にS3のアーカイブバージョンだと思っていただいて大丈夫です。90日S3に保存されているデータはS3 Glacierに移行などしてコスト削減を図れます。(ただデータを取り出す際に少々手間がかかることにご注意ください)

Amazon RDS

データベースとして利用します。MySQLやPostgreSQLなど多種多様なデータベースエンジンを選択できます。

余談なのですが、RDSやECSなど元はEC2なんですね。(まあサーバーなので当たり前の話ですが)
EC2をAmazonさんがデータベース専用に作成してくれたのをRDS、コンテナ専用に作り替えてくれたのがECS。
ざっくり言えばこんな具合なのですが、サーバー系のサービスはEC2で全て実現可能ということを知っていただきたかったのです。

Amazon VPC

VPCはVirtual Private Cloudの略です。ここでのご紹介になり少し遅く感じますが、これは一言で言うと仮想ネットワークです。この仮想ネットワークの中に自分のEC2やRDSなどを構築して初めてインターネットと通信ができます。

Amazon CloudFront

俗に言うContents Delivery Networkというものです。キャッシュサーバーとしての役割を担ってくれます。これによりユーザービリティの向上が測れるだけでなく、サーバーのネットワーク負荷を下げたり、DDoS攻撃などに対してセキュリティ対応力を高めることができます。

Amazon Route 53

主にドメインを取得・管理するサービスです。AWSではDNSサーバーを明示的に構築する必要はなく、このサービスを利用してIPアドレスとドメイン名を紐づけるだけで自動でDNSとしての役割を担ってくれる便利なサービスです。また、SSL化もこのサービスで実装可能です。

AWS Certificate Manager

先ほどRoute 53の部分で述べたSSL/TLS証明書の発行をこのサービスで行います。Route 53とセットで利用されることが多いのではないでしょうか。

AWS IAM

ユーザーやユーザーキーの管理をします。このサービスで権限なども設定できるため、必須のサービスです。Linuxシステムでいう、ユーザーやユーザーグループなどと同じだとイメージしていただけると取っ付きやすいかと思います。

AWS WAF&Shield

少しAWS Configと似ているところがありますが、サービス内容としては全く違います。構築したWEBサーバーへアクセスするリクエストを制御したりDDosの影響範囲を小さくしてくれるWEBアプリケーション単位のファイアウォールの役割をしてくれます。より低レイヤーのファイアウォールの役割を担ってくれるサービスにはセキュリティグループやACLなどがありますが、こちらもセキュリティ面では必須のサービスて言っても過言ではないでしょう。

Amazon CloudWatch

殆どのサービスのログやアプリケーションの状況を管理できます。ただし、EC2のメモリなどは標準で準備されているのですが、CPUやその他サービスのログ状況などは、AWS CLIを利用してCloudWatchとコネクションしたり、Data Kinesis Firehouseを利用してCloudWatchが読み取れる形式に変更すると言ったことをしなければいけないため注意が必要です。

AWS Lamda

私が一番好きなサービスです。(だから画像が大きいわけではないです)
正直このサービスがあればなんでも実現可能。とまでは言いませんが、非常にインフラアーキテクチャの拡張性に長けているサービスです。前に説明したCloudTrailにも実は裏側でLamdaが動いていたり(自動)と、万能サービスです。利用方法としてはトリガー(特定の事柄が発生)されるとイベント(特定の事柄を発生)させるといった具合です。これらの内容は関数で定義するため、開発エンジニアの方々も触っていて楽しいのではないのでしょうか。

AWS Auto Scaling

これはやはり、EC2のEC2 Auto Scalingで利用されることが多いのではないでしょうか。というのもECSやEKSでは特に設定しなくても標準でAuto Scalingが搭載されているからです。
設定例としては、EC2のメモリが60%を超えたらもう一つ全く同じ設定のEC2を構築するといった具合でしょうか。その名の通り設定した基準に基づいて自動でEC2などのインスタンスをスケールアウト・スケールインしてくれるサービスです。

AWS KMS

データを暗号化してくれるサービスです。そのデータを暗号化するキーをCDKというのですが、それをさらに暗号化するCMKを利用してオーナーはデータを扱います。(ちなみにそのCMKもAWS上で暗号化されています笑)
企業でのプロジェクトなど、データ漏洩によって信頼を失うことができない状況である方は特に必須のサービスとなります。また、キーというとユーザーが利用するイメージがありますが、CloudTrailなどのリソースもそのキーを扱うよう設定することができます。(というかそうしないと暗号化されない)

まとめ

いきなりインフラを任されたり、自分で本格的なインフラを構築してみたいが何から手をつけたらわからないという方は、まずは上記でご紹介したサービスに一度触れてみることを強くお勧めします。
慣れてきたら詳細な設定や何が自分のプロジェクトに必要でそうでないかなど分かってくると思います。
それではまた別の記事でお会いしましょう。ご精読ありがとうございました。