re:invent2018に行ってきた(day2)

re:invent2018に行ってきた(day2):

こんにちは、ひろかずです

前回に引き続き、書いていきます。

例によって、ヒアリング能力ゼロの上にリアルタイム執筆なので、いろいろ勘弁してください。

ARC217 - Foundations of AWS Global Cloud Infrastructure

AWSのアクティブユーザーは増え続けていて、安いコストで高いキャオパシティを得て、高い信頼性を得るという好循環

始めの5年間は4リージョンで始まったけど、今では19リージョン

さらに4リージョンの開設が予定されている

リージョンの構造

アベイラビリティゾーン

完全に分離された、十分なパワーを備えた施設

電源も独立している

100,000のサーバがスケールできる

分離されたメトロファイバーぜ完全に冗長化されている

メトロファイバー、AZ内のコネクションはフルメッシュで引かれている。

AZ間のコネクションもAZ単位でフルメッシュで引かれている

各センターに5つのAZがある

Amazonのグローバルネットワークは、常用化された100GBの回線で相互接続されている

グローバルインフラストラクチャ

どうやってリージョンのデータセンターを作っているか？

• 計画
• デザイン
• 憲法？

電力インフラのスケール

• スケールする電力インフラ
• 革新的な商用電源契約
• 再生可能電力へのコミット

再生可能電力へのコミット

• 100%再生可能電力をコミットしている
• 4.8MWバッテリーのPilotをテスラに提供
• ACORE(American Council on Renewable Energy)
• 拡張された電力供給者グループ
• インディアナに風力発電ファームがある(150MW)
• バージニアに太陽光発電ファームがある(260MW)
• バージニアでは政府やテック企業が太陽光発電に力を入れていて、AWSも例外ではない
• 北カルフォルニアの風力発電ファーム(208MW)

利用する水の再生

• 冷却ユニットのOperation
• その場所の水を汚さない
• 水の再利用(飲料水のレベルまで)

Cloudの効率

• 電力効利用リソース利用
• サーバー利用率は、Cloudは65%なのに対して、オンプレは15%
• PUE(電気効率)は、Cloudが1.07-1.15に対して、オンプレは1.7
• これは84％のエネルギー削減を意味する

専用のカスタムインフラを構築する

• カスタムチップ
• カスタムサーバー
• 世界的なインフラ

カスタムサーバのアドバンテージ

• メモリ、HDD、CPUにダイレクトに働く
• 特定のワークロードに適したデザイン

なんでAWSグローバルインフラ名の？

• 未曾有のスケール

感想的な何か

AWSの冗長性と高エネルギー効率、エコであることがよく分かるセッションでした！

STG379-R2 - [REPEAT 2]: Chalk Talk: Deep Dive on Security in Amazon S3 & Amazon Glacier

s3のアクセスコントロールのメカニズム

• IAMポリシー
• SCP
• VPCEポリシー
• バケットポリシー
• ACL
• ブロックパブリック・アクセス(新機能)

s3の暗号化

• 通信の暗号化：HTTP/HTTPS
• RESTでの暗号化

S3デフォルト暗号化

• 一度バッケっとレベルで設定
• すべての新しいオブジェクトは暗号化される
• シンプルなコンプライアンス
• SSE-S3とSSE-KMSをサポートしている

Security設定のモニタ

• S3コンソールでのバケットアクセスコントロールの確認
• Macie
• Trusted Adviser
• AWS Config
• オブジェクト暗号化ステータスの確認
• s3サーバアクセスログ
• CloudTrail

グレイシアのデータセキュリティ

• restベースでの暗号化
• s3からのライフサイクル
• Glacier Vault Access policy
• Glacier Vault Lock
• CloudTrailインテグレーション

データレイクの一般的なパーミッションモデル

• 最小権限
• 認証されないユーザーのアクセス拒否
• 許可されたリソースへのアクセス許可

QA

新しいバケットを作って暗号化をセットしたら、キーを設定しないといけない？

• キーの設定は不要です

マスターアカウントのマスターキーは必要ですか？

• KMSはマルチリージョンなのでrootアカウントであれば使える

SSEとKMSの違いは？

• 違いはない

KinesisがBucketに入れる場合のRollポリシー

• E: Allow
• A: s3プットオブジェクト
• R: w(書き込み) /'xxxx'
  

KinesisがBucketに入れる場合のBucketポリシー

• E: Allow
• A: s3プットオブジェクト
• R: w(書き込み) /'xxxx'
  
• P: KinesisRoll

ベンダーがBucketにデータを入れる場合のBucketポリシー

• E: allow
• A: s3put
• R: W /*
• P: ベンダーのIAM ARN

加えて、ベンダーポリシーが以下の設定をする

• E: Allow
• R: W/*
• A: s3Put
• C: x-aws-Bucket-owner-full-control

ベンダーがBucketにデータを入れさせない場合のBucketポリシー

• E: deny
• A: s3put
• R: W /*
• P: ベンダーのIAM ARN

Bucketコピーのポリシーを使えば、s3syncはいらない？

• 同じBucket名は付けられないけど、Bucketコピーのポリシを使えば代用できる

感想的な何か

時間が空いてたのでchack talkに突入しましたが、なかなかにハードでした汗

2xx系のセッションは行けたんですがね...

次からはちょっと考えたいと思います

今日はここまでです

お疲れ様でした。