1. Amazon Virtual Private Cloud
Hands-on Training
Amazon Data Services Japan K.K.
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

2. ハンズオンのシナリオ
システム構築を3つのフェーズに分けて実施頂きます。
最初はEC2インスタンスが1台という小規模なシステムで開
始します。
従業員数の増加に伴って、システムリソース増強のため、シ
ステムを拡張していきます。
システム規模の拡大に伴い、システムの重要性も増してきま
すので、可用性も高めていきます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

3. ハンズオンで作成する構成
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
AZ-A-CRM1
10.0.0.7
AMI
Internet Internet
Gateway
AZ-B-CRM2
10.0.2.8
EC2 Instance
Amazon RDS
Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

4. Phase 1

5. ハンズオンで作成する構成 - Phase 1
Availability Zone - A
Public Subnet 10.0.0.0/24
EC2 Instance
Anyone
Elastic IP Web Server
10.0.0.7
Internet Internet
Gateway
Availability Zone - B
VPC 10.0.0.0/16

6. VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

7. VPCの作成
“Get Started createing a VPC”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

8. VPCの作成
“VPC with a Single Public Subnet Only”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

9. VPCの作成
SubnetのAvailability Zoneの指定を行います。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

10. VPCの作成
“No Preference”を“ap-northeast-1a”に変更して”Create VPC”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

11. VPCの作成
VPCが作成されます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

12. VPCの作成
左ペインの”Your VPCs”にてVPCが出来ているか確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

13. VPCの作成
SubnetメニューにてSubnetが1つ作成されていることを確認ください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

14. VPCの作成
Subnetの“Route Table”をご確認ください。
Local IPのTargetが“local”、それ以外が”igw-e0348f89”になっています。
Internet Gatewayの名前はランダムに生成されます。
この例の場合、”igw-e0348f89“はInternet Gatewayです。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

15. EC2の配置
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

16. EC2の作成
“Launch Instance”からEC2を起動します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

17. EC2の作成
“Classic Wizard”を選択 します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

18. EC2の作成
「Community AMIs」タブを選択し、Viewingは「All Images」を選択。
Bitnami-SugarCRMのAMI “ami-3cbf153d”を検索して選択。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

19. EC2の作成
EC2を配置するSubnetを選択します。
“VPC”タブを選択し、配置するSubnetを選択します。Instance Typeは”Small”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

20. EC2の作成
ローカルのIPアドレスを指定します。
指定しない場合は自動的にIPアドレスが割り当てられます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

21. EC2の作成
管理を分かりやすくする為、タグを付けます。
この例では”AZ-A-CRM1”とします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

22. EC2の作成
Key Pairは既存のものを使用します。
もし無い場合は“Create a new Key Pair”を選択して作成してください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

23. EC2の作成
VPC内で使用できるSecurity Groupを作成します。
22(SSH)と80(HTTP)のポートをアクセス可能に設定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

24. EC2の作成
設定内容を確認し、Launchします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

25. EC2の作成
下記リンクからEC2 Instance情報を確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

26. ELASTIC IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

27. Elastic IPの割当て
“Allocate New Address”からウィザードを開始します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

28. Elastic IPの割当て
“VPC”を選択し、“Yes, Allocate”をクリックすると、Elastic IPが割当てられます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

29. Elastic IPの割当て
割り当てるElastic IPを選択し、”Associate Address”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

30. Elastic IPの割当て
プルダウンメニューからElastic IPを割り当てるEC2インスタンスを選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

31. Elastic IPの割当て
Instance画面にてElastic IPが割当てられていることを確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

32. Elastic IPでのアクセス
Elastic IPを使って、SSHでログインが出来るか確認します。
ログイン名は”bitnami”です。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

33. Elastic IPでのアクセス
ブラウザからElastic IPでアクセスしてみます。
アクセスできたら”Access my application”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

34. SugarCRMの設定
ユーザ名「user」、パスワード「 bitnami」でログインします。
“Your Information”ページまで[Next]をクリックして進みます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

35. SugarCRMの設定
First Name, Last Name, Email Addressを入力し次に進みます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

36. SugarCRMの設定
タイムゾーンを”Asia/Tokyo(GMT+9)”に設定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

37. SugarCRMの設定
“Next >”で次に進みます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

38. SugarCRMの設定
“Finish”で設定を完了します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

39. SugarCRMの設定
設定したユーザ名を確認します。必要に応じてパスワードを変更ください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

40. ハンズオンで作成する構成 - Phase 1
Availability Zone - A
Public Subnet 10.0.0.0/24
EC2 Instance
Anyone
Elastic IP AZ-A-CRM1
10.0.0.7
Internet Internet
Gateway
Availability Zone - B
VPC 10.0.0.0/16

41. Amazon Web Services：セキュリティプロセスの概要
物理的セキュリティ
AWS は大規模データセンターの設計、構築、運用において、長年の経験を有しています。この経験
は、AWS プラットフォームとインフラストラクチャに活かされています。AWS のデータセンター
は、外部からはそれとはわからないようになっています。ビデオ監視カメラ、最新鋭の侵入検出シス
テム、その他エレクトロニクスを使った手段を用いて、専門のセキュリティスタッフが、建物の入口
とその周辺両方において、物理的アクセスを厳密に管理しています。権限を付与されたスタッフが2
要素認証を最低2回用いて、データセンターのフロアにアクセスします。すべての訪問者と契約業者
は身分証明書を提示して署名後に入場を許可され、権限を有するスタッフが常に付き添いを行いま
す。
AWS は、必要とする正規の手続きを有する従業員や業者に対してのみ特権を与え、データセンター
へのアクセスや情報を提供しています。従業員がこれらの特権を必要とする作業を完了したら、たと
えかれらが引き続き Amazon または Amazon Web Services の従業員であったとしても、そのア
クセス権は速やかに取り消されます。AWS 従業員によるデータセンターへのすべての物理的アクセ
スは記録され、定期的に監査されます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

42. Amazon Web Services：セキュリティプロセスの概要
環境的セーフガード
Amazon のデータセンターは最新式で、革新的な構造的かつ工学的アプローチを採用しています。
火災検出と鎮火
自動火災検出および鎮火装置が取り付けられ、リスクを軽減しています。この火災検出システムは、
全データセンター環境、機械電気インフラ空間、冷却室および発電機設備室において、煙検出セン
サーを使用しています。これらのエリアは、充水型、二重連結予作動式、またはガス式スプリンク
ラーシステムによって守られています。
電力
データセンターの電力システムは、完全に冗長性をもち、運用に影響を与えることなく管理が可能と
なっています。1日24時間体制で、年中無休で稼動しています。施設内で重要かつ不可欠な負荷に対
応するために、電力障害時には無停電電源装置（UPS）がパックアップ電力を供給しています。デー
タセンターは、発電機を使用して施設全体のバックアップ電力を供給しています。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

43. Amazon Web Services：セキュリティプロセスの概要
天候と温度
サーバーその他のハードウェアの運用温度を一定に保つために、天候コントロールが必要です。これ
によって過熱を防ぎ、サーバー停止の可能性を減らすことができます。データセンターは、大気の状
態を最適なレベルに保つように設定されています。作業員とシステムが、温度と湿度を適切なレベル
になるよう監視してコントロールしています。
管理
AWS は、電気、機械、生命サポートシステムおよび設備をモニタリングし、問題が速やかに特定さ
れるようにしています。予防的メンテナンスが実行され、設備を継続的な運用性が保たれています。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

44. Phase 2

45. ハンズオンで作成する構成 - Phase 2
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
Elastic IP AZ-A-CRM1
10.0.0.7 AMI
Internet Internet
Gateway
Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

46. SUBNETの追加(DB用)
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

47. VPCのページ、Subnetメニューから”Create Subnet”にてSubnetを追加作成します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

48. DB用に2つのSubnetを作成します。
それぞれAvailability ZoneがA / Bに属する様に作成する必要があります。
下記の様に設定して”Yes, Create”をクリックしてください。
for Availability Zone - A for Availability Zone - B
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

49. 合計3つのSubnetが出来ていることを確認ください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

50. DB Subnet Groupの作成
RDSのページに移動して、データベース用のDB Subnet Groupを定義します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

51. まずはAvailability Zone-AのSubnetをリストに追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

52. さらにAvailability Zone-BのSubnetをリストに追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

53. これでDB Subnet Groupが定義されました。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

54. 次にRDSを作成します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

55. 今回はMySQLを選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

56. 下記の様に設定します。今回はMulti-AZは”No”とします。
※ 後程使用するので、メモしておくこと
Master User Name: root
Master User Password: 任意の8文字以上
Multi-AZは“No”とします
ユーザ名は”root“とします
Passwordは8文字以上で設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

57. 下記の様に設定します。
“bitnami_sugarcrm”とします。
VPCを選択。
先ほど作成したDB Subnet Groupを選択。
AZはAを選択。
今回は特に選択しない。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

58. 今回は下記の様に設定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

59. 最後の設定内容を確認して”Launch DB Instance”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

60. 下記のリンクから、RDSが作成されているか確認します。
DB作成に数分かか
ります。 ©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

61. データベースのEndpointを確認する
RDSのステータスが”available”になったら、Endpointを確認します。
DB作成に数分かか
ります。 ©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

62. DB Security GroupにEC2を追加
RDSに割当てられているDB Security GroupにAPサーバのSecurity Groupを追加します。
これによって、APサーバからRDSにアクセス可能になります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

63. DB Security GroupにEC2のSecurity Groupが追加されていることを確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

64. MYSQLのデータ移行
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

65. データダンプの取得
まず、データベースのダンプを取得します。
現在EC2上で稼働しているMySQLからデータをダンプします。
コマンドは次のページに記載してあります。なお、OSユーザは”bitnami”です。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

66. データのダンプには下記コマンドを参考にしてください。
データのダンプを取得
$ cd
$ mkdir backups
$ mysqldump –u root –pbitnami bitnami_sugarcrm > backups/backup.sql
ダンプファイルの確認
$ cd backups
$ ls -al
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

67. データのインポート
先ほどダンプしたデータをRDSへインポートします。
SSHの端末から下記コマンドを実行します。[パスワード]は先ほどRDSに設定したもの
を指定します。
$ mysql –u root –p[パスワード] --database=bitnami_sugarcrm --host=[RDSのEndpoint]
< ./backups/backup.sql
例.
$ mysql –u root –ppasswordcrm --database=bitnami_sugarcrm
--host=awsworkshop1.cvsyptdwlwhh.ap-northeast-1.rds.amazonaws.com < ./backup/backup.sql
※パスワードは”passwordcrm”
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

68. APの接続先をRDSへ切替
DBの接続先もRDSのEndpointへ変更します。
$ cd /opt/bitnami/apps/sugarcrm/htdocs
$ sudo vi config.php
array ( 変更
'db_host_name' => 'localhost',
'db_host_name' => 'awsworkshop1.cvsyptdwlwhh.ap-northeast-1.rds.amazonaws.com',
'db_user_name' => 'root',
'db_password' => 'bitnami', 変更
'db_password' => 'passwordmatsu',
'db_name' => 'bitnami_sugarcrm',
'db_type' => 'mysql',
),
[ESC]キーを押し、“:wq”で書き込み完了。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

69. アクセス可能か確認
設定変更後、Webにログインできるか確認します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

70. EC2のAMI化
ここでAPサーバのAMIを作成しておきます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

71. 任意の名前を付けて作成します。No Rebootオプションはチェックしないでください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

72. APサーバが再起動してAMIが作成されます。
AMI作成に数分かかります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

73. ハンズオンで作成する構成 - Phase 2
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
Elastic IP AZ-A-CRM1
10.0.0.7 AMI
Internet Internet
Gateway
Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

74. Amazon Web Services：セキュリティプロセスの概要
事業継続性管理
Amazon のインフラストラクチャは高いレベルの可用性を備え、回復機能を持つ IT アーキテクチャ
を配備する機能を顧客に提供します。AWS のシステムは、顧客への影響を最小限に抑えながらシス
テムまたはハードウェア障害に耐えられるように設計されています。また、AWS におけるデータセ
ンターの事業の継続性は、Amazon Infrastructure Group の指示に従って管理されます。
可用性
データセンターは、世界各地にクラスターの状態で構築されています。すべてのデータセンターはオ
ンラインで顧客にサービスを提供しており、「コールド」の状態のデータセンターは存在しません。
障害時には、自動プロセスが、顧客データを影響を受けるエリアから移動します。重要なアプリケー
ションは N+1 設定で配備されます。そのためデータセンターの障害時でも、トラフィックが残りの
サイトに負荷を分散させるのに十分な能力が存在することになります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

75. Amazon Web Services：セキュリティプロセスの概要
AWS は、各リージョン内の複数のアベイラビリティゾーンだけでなく、複数の地理的リージョン内
で、インスタンスを配置してデータを保管する柔軟性を顧客に提供します。各アベイラビリティゾー
ンは、独立した障害ゾーンとして設計されています。つまり、アベイラビリティゾーンは、一般的な
都市地域内で物理的に分離されており、洪水の影響が及ばないような場所にあります（洪水地域の分
類はリージョンによって異なります）。個別の無停電電源装置（UPS）やオンサイトのバックアップ
生成施設に加え、シングルポイントの障害の可能性を減らすために、別々の電力供給施設から異なる
配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に、複数の Tier-1 プ
ロバイダに接続されています。
顧客は AWS の使用量を計画しながら、複数のリージョンやアベイラビリティゾーンを利用する必要
があります。複数のアベイラビリティゾーンにアプリケーションを配信することによって、自然災害
やシステム障害など、ほとんどの障害モードに対して、その可用性を保つことができます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

76. Amazon Web Services：セキュリティプロセスの概要
事故への対応
Amazon の事故管理チームは、業界標準の診断手順を採用しており、事業に影響を与えるイベント
時に解決へと導きます。作業員スタッフが、24 時間 365 日体制で事故を検出し、影響と解決方法を
管理します。
役員による全社的検査
Amazon の内部監査グループは、最近になって AWS サービスの復元プランを検査しました。この
プランは、上級役員管理チームと取締役の監査委員会のメンバーによっても定期的に検査されていま
す。
2011 年4月 21 日、米国東部で EC2 のサービス停止が発生し、顧客が影響を受けました。サービス
停止の詳細については、「Summary of the Amazon EC2 and Amazon RDS Service
Disruption in the US East Region」（http://aws.amazon.com/message/65648/）をご覧く
ださい。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

77. Amazon Web Services：セキュリティプロセスの概要
バックアップ
Amazon S3、Amazon SimpleDB、または Amazon Elastic Block Store（EBS）に保存される
データは、これらのサービスの通常操作の一部として、複数の物理的ロケーションで冗長的に保存さ
れます。追加費用はかかりません。Amazon S3 および Amazon SimpleDB では、最初の書き込み
時に複数のデータセンターで複数回オブジェクトを保存し、デバイスが利用不能になる際、または
ビット崩壊時にさらにレプリケーションを行うことによって、オブジェクトの堅牢性を実現していま
す。Amazon EBS のレプリケーションは、同一のアベイラビリティゾーン内に保存され、複数の
ゾーンにまたがって保存されることはありません。そのため、長期的なデータ堅牢性のために、
Amazon S3 の定期的なスナップショットを作成することが強く推奨されています。EBS を使用し
て複雑なトランザクションデータベースを構築した顧客は、配信されるトランザクションやログが
チェックポイントでチェックされるように、Amazon S3 に対するバックアップがデータベース管理
システム経由で実行されるようにすることが推奨されています。Amazon EC2 で実行中のインスタ
ンスに添付された仮想ディスク上で管理されるデータのバックアップを、AWS が実行することはあ
りません。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

78. Phase 3

79. ハンズオンで作成する構成 - Phase 3
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
Elastic IP AZ-A-CRM1
10.0.0.7 AMI
Internet Internet
Gateway
AZ-B-CRM2
10.0.1.8
EC2 Instance
Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

80. EC2インスタンスの追加とELBの配置
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

81. AP用Subnetの追加
VPC-SubnetsページでSubnetを追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

82. 下記の設定にてAP用のSubnetを追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

83. 合計4つのSubnetが出来ていることを確認ください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

84. 今作成したSubnetのRoute Tableを変更します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

85. TableにInternet Gatewayが含まれていることを確認し”Yes, Replace”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

86. Route Tableが変更されていることを確認します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

87. AMIからのAPサーバ追加
先ほど作成したAMIを使ってAPサーバを追加します。
AMIを選んで”Launch”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

88. VPC内の10.0.2.0/24のSubnetを選択します。Instance Typeは”Small”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

89. ローカルのIPアドレスを指定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

90. 管理を分かりやすくする為、タグを付けます。
この例では”AZ-B-CRM1”とします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

91. Key Pairは既存のものを使用します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

92. Security Groupも既存のものを指定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

93. 設定内容を確認し、Launchします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

94. EC2 Instanceが起動しているか確認します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

95. EC2 Instanceが2つ起動しています。
“Show/Hide”にて表示項目を変更できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

96. Zoneの表示
Availability Zoneを確認しやすくするため、Zone表
示を追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

97. ELBの作成
2台のAPサーバに処理を振り分ける為、ELBを追加します。
Availability Zoneを跨いだ振り分けが可能です。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

98. VPC内にELBを作成します。内外ともにHTTP(80番)とします。
チェックしない。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

99. 設定は変更せず、”Continue”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

100. ELBの属するSubnetを選択します。
APサーバのSubnetである”10.0.0.0/24”と”10.0.2.0/24”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

101. ELBのSecurity Groupを作成します。 HTTP(80番) を許可します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

102. ELB配下に置くサーバを選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

103. 設定を確認し、”Create”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

104. ELBが作成されました。下記のリンクから確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

105. ELBの配下に2台のEC2が確認できます。しばらくするとStatusが変わります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

106. Statusが”In Service”になると、振り分けされるようになります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

107. ELBのEndpointの確認
ELBのPropertyの”Description”タブにてELBのEndpointが確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

108. ELBのEndpointにアクセスできることを確認します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

109. SECURITY GROUPの設定変更
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

110. Security Groupの設定変更
よりセキュリティを高める為に、Security Groupの設定を変更します。
VPCの設定タブにて行います。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

111. APサーバの80(HTTP)のアクセス許可をDeleteします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

112. APサーバの80(HTTP)のアクセス許可が無くなりました。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

113. 次にAPサーバのSecurity GroupにELBのSecurity GroupをSourceとして追加設定します。
ELBのSecurity Group IDをコピーします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

114. Portを80(HTTP)、
Sourceに”ELB Security Group ID”
を設定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

115. ブラウザからELB経由でアクセスできるか確認します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

116. ハンズオンで作成する構成 - Phase 3
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
Elastic IP AZ-A-CRM1
10.0.0.7 AMI
Internet Internet
Gateway
AZ-B-CRM2
10.0.1.8
EC2 Instance
Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

117. Amazon Web Services：セキュリティプロセスの概要
ストレージデバイスの廃棄
AWS の処理手順には、ストレージデバイスが製品寿命に達した場合に、顧客データが権限のない
人々に流出しないようにする廃棄プロセスが含まれています。AWS は、DoD 5220.22-M
（「National Industrial Security Program Operating Manual（国立産業セキュリティプログラ
ム作業マニュアル）」）または NIST 800-88（「Guidelines for Media Sanitization（メディア
衛生のためのガイドライン）」）に詳細が記載されている技術を用いて、廃棄プロセスの一環として
データを破棄します。これらの手順を用いているハードウェアデバイスが廃棄できない場合、デバイ
スは業界標準の慣行に従って、消磁するか、物理的に破壊されます。
Amazon アカウントセキュリティ機能
AWS は、顧客が自身の ID を確認し、AWS アカウントに安全にアクセスできるよう様々な方法を
提供しています。AWS によってサポートされる証明書の完全なリストは、[Your Account] の下に
ある [Security Credentials] ページにあります。さらに、AWS には、AWS Identity and Access
Management（AWS IAM）、Multi-Factor Authentication（MFA）、キーローテーションなど、
追加のセキュリティオプションが用意されており、AWS アカウントの保護を強化し、さらに細かく
アクセスをコントロールできます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

118. Amazon Web Services：セキュリティプロセスの概要
Amazon Elastic Compute Cloud（Amazon EC2）のセキュリティ
Amazon EC2 のセキュリティは、ホストシステムのオペレーティングシステム（OS）、仮想インス
タンス オペレーティング システム、ゲスト OS、ファイヤウォール、署名された API 呼び出しな
ど、複数のレベルで提供されます。これら各アイテムは、他の機能に追加される形で構築されます。
この目的は、Amazon EC2 内に含まれるデータが、未許可のシステムまたはユーザーによって傍受
されないようにすると同時に、顧客によるシステム設定の柔軟性を犠牲にすることなく、Amazon
EC2 インスタンスそのものが、できるだけ安全であるようにすることです。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

119. Amazon Web Services：セキュリティプロセスの概要
Amazon Simple Storage Service（Amazon S3）のセキュリティ
共有されたストレージシステムにおいて、よく見られるセキュリティに関する質問は、未許可のユー
ザーが意図的に、または誤って情報にアクセスすることができるかということです。AWS 内に格納
されている情報をどのように、いつ、誰に対して開示するかを決定する柔軟性を顧客が有することが
できるようにするために、Amazon S3 API は、バケットおよびオブジェクトの両方のレベルのアク
セスコントロールを提供します。これらは、デフォルトでは、バケットおよび／またはオブジェクト
の作成者によって権限を付与されたアクセスのみを許可するよう設定されています。顧客が自身の
データに対して匿名のアクセス権を付与しない限り、ユーザー（AWS アカウント、または AWS
IAM で作成されたユーザーのいずれか）がデータにアクセスできるようになるための最初のステッ
プは、ユーザーの秘密鍵を使用して、リクエストの HMAC-SHA1 署名を利用する認証を行うことで
す。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

120. Amazon Web Services：セキュリティプロセスの概要
認証されたユーザーは、アクセス コントロール リスト（ACL）でオブジェクトレベルの読み取り権
限を付与された場合に限り、オブジェクトの読み取りを行うことができます。認証されたユーザー
は、バケットレベルで、または AWS IAM でユーザーに付与された権限を通じて、ACL で読み取り
と書き込み権限が付与された場合に限り、キーをリストアップし、バケットのオブジェクトを作成ま
たは上書きすることができます。バケットおよびオブジェクトレベル ACL は独立しています。オブ
ジェクトはそのバケットから ACL を継承しません。バケットまたはオブジェクト ACL の読み取り
または変更に対する許可は、デフォルトで作成者のみのアクセス権が設定されている ACL によって
コントロールされます。そのため、顧客は自身のデータに誰がアクセスするのかについて完全なコン
トロールを維持します。AWS アカウント ID または E メールまたは DevPay 商品 ID を使用して、
顧客は自身の Amazon S3 データに対するアクセス権を、他の AWS アカウントに付与できます。
また、自身の Amazon S3 データに対するアクセス権を、全 AWS アカウントまたは（匿名アクセ
スを有効にしている）すべての人に付与することもできます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

121. Amazon Web Services：セキュリティプロセスの概要
Amazon Relational Database Service（Amazon RDS）のセキュリ
ティ
Amazon RDS を使用すれば、リレーショナルデータベースのインスタンスを素早く作成し、関連す
るコンピュータリソースやストレージ能力を柔軟に拡張して、アプリケーションの需要に適合させる
ことができます。Amazon RDS は、バックアップおよびフェールオーバー処理を実行し、データ
ベースソフトウェアを維持管理することにより、ユーザーに代わってデータベースインスタンスを管
理します。
Amazon RDS DB インスタンスへのアクセスは、Amazon EC2 セキュリティグループと同種の
データベース セキュリティ グループ経由で、顧客により管理されます。データ セキュリティ グ
ループはデフォルトで「すべて拒否」アクセスモードに設定されており、顧客はネットワークへのア
クセスを個々に承認する必要があります。これを行う方法は2つあり、ネットワーク IP 幅を許可す
るか、既存の Amazon EC2 セキュリティグループを許可します。データベースセキュリティグルー
プは、データベース サーバー ポートへのアクセスのみを許可します（他はすべてブロックされま
す）。また Amazon RDS DB インスタンスを再起動せずに更新できるので、顧客は自身のデータ
ベースへのアクセスを、シームレスに制御できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

122. Amazon Web Services：セキュリティプロセスの概要
AWS IAM を使用すると、顧客が自身の RDS DB インスタンスへのアクセスをさらに細かくコント
ロールできます。例えば、AWS IAM により、どの RDS 操作に対して、各 AWS IAM ユーザーが呼
び出し権限を持つようにするかをコントロールできます。
Amazon RDS は、各 DB インスタンスに対して SSL 証明書を生成します。これにより、顧客は自
身の DB インスタンス接続を暗号化し、セキュリティを強化できます。
Amazon RDS DB インスタンスの削除 API（DeleteDBInstance）が実行されると、DB インスタ
ンスには削除のマークがつきます。「削除中」ステータスが消えると、そのインスタンスは削除され
たことを意味します。この時点でインスタンスにアクセスできなくなります。また、最終スナップ
ショットのコピーを作成しなかった場合は、復元できません。また、ツールや API でリストアップ
されることもなくなります。
Amazon Web Services：セキュリティプロセスの概要 (ホワイトペーパー)
<http://d36cz9buwru1tt.cloudfront.net/jp/AWS%20Security%20Whitepaper%20-
%20May%202011.pdf>
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

123. Appendix
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

124. ハンズオンで作成する構成 – Multi AZ
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
Elastic IP AZ-A-CRM1
10.0.0.7 AMI
Internet Internet
Gateway
AZ-B-CRM2
10.0.2.8
EC2 Instance
Amazon RDS
Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

125. RDSのMULTI-AZ化
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

126. RDSのMulti-AZ化
RDSのタブから変更対象のRDSを選択し”Modity”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

127. “Multi-AZ Deployment”をYesに変更し、一番下の”Apply Immediately”にチェックをします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

128. RDSのStatusがmodifyingとなりますので、しばらく待ちます。
時間かかる
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

129. “Multi-AZ Deployment”がYesになっていることが確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

130. Primary AZの変更(強制フェイルオーバー)
現在のZoneが”ap-northeast-1a”となっていることを確認します。
次に”Reboot”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

131. “Reboot with failover?”にチェックを入れ、”Yes, Reboot”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

132. Statusが”rebooting”となるのでしばらく待ちます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

133. 設定の表示に少し時間がかかりますが、Zoneが変わっているのが確認できます。
Zone切替表示の反映まで時間かかる
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

134. ハンズオンで作成する構成
Availability Zone - A
Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24
EC2 Instance Amazon RDS
Anyone
AZ-A-CRM1
10.0.0.7
AMI
Internet Internet
Gateway
AZ-B-CRM2
10.0.2.8
EC2 Instance
Amazon RDS
Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24
Availability Zone - B
VPC 10.0.0.0/16

135. 環境を削除ください！！
ELBの削除
EC2(Elastic IP)の削除
RDSの削除
RDS DB Subnet Groupの削除
Subnetの削除
VPCの削除
AMIの削除
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission

136. ご受講、ありがとうございました
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission