AWSは構築よりも運用フェーズが圧倒的に長いです。本記事では、長期運用を前提にしたときに押さえるべきノウハウを整理します。
目次
1. アカウント設計を最初にやる
運用が始まってからアカウントを分けるのは大変です。Organizationsで最初から分けておきます。
- 管理アカウント(請求・組織管理のみ。ワークロードは置かない)
- 監査ログ集約アカウント
- 共有サービスアカウント(DNS, AD, CI/CD)
- 環境別アカウント(dev / stg / prd)
2. IAM Identity Center で人とシステムを分ける
人間のアクセスは IAM Identity Center(旧 SSO)に統一。IAMユーザーは原則作らない。システム連携用にだけIAMロール/OIDCを使います。
3. AWS Configで構成変更を追跡
「いつ・誰が・何を変えたか」が分かるだけで、障害調査の時間が劇的に短縮されます。Configルールでコンプライアンス違反も検知可能。
- S3バケットがパブリック公開されていないか
- セキュリティグループで0.0.0.0/0が許可されていないか
- 必須タグが付与されているか
4. CloudTrailを全アカウントで有効化
監査ログ集約アカウントへ Organization Trail で集める。S3バケットのオブジェクトロックを有効化しておけば、攻撃者でも消せません。
5. アラート設計はSLOから逆算
「アラート出しすぎ → 全員ミュート → 本物の障害を見逃す」が一番のアンチパターン。SLOから本当に必要なアラートだけを残します。
- SLO違反 / バーンレート超過:人を起こす(PagerDuty)
- 劣化兆候:チャンネル通知(Slack)
- 定期確認系:ダッシュボード閲覧で十分
6. パッチ管理はSystems Managerに寄せる
SSM Patch Manager と Maintenance Window を組み合わせれば、「土曜深夜にOSパッチ」が完全自動化できます。手動運用から脱出する第一歩。
7. セキュリティグループの命名規則
増えてくると「これ何のSG?」が頻発します。命名規則を最初に決めましょう。
sg-{env}-{service}-{role}
例: sg-prd-orderapi-alb
sg-prd-orderapi-ecs
sg-prd-orderapi-rds8. バックアップは AWS Backup で集約
EBS・RDS・DynamoDB・EFSなど、サービス別のスナップショット運用は破綻しやすい。AWS Backup で「ポリシー → 全部のリソース」と管理する方が運用がシンプル。
9. Cost Anomaly Detection を全アカウント有効化
無料で使えて、急なコスト変動を機械学習で検知してくれます。最初の防衛線として必ず入れましょう。
10. ドキュメントは「Runbook + Architecture」
ドキュメントは2種類で十分です。
- Runbook:障害・運用作業の手順書(コピペで動くコマンド付き)
- Architecture:構成図と「なぜこの構成か」の判断記録
まとめ
運用ノウハウは「人が変わっても回る仕組み」を作ることに尽きます。最初は手間に感じても、数年スパンで見れば必ずペイします。
