転職をしてはや10ヶ月ほど経ちました。業務で英語を使うようになったので、私もしくは同僚がよく使う英会話のフレーズを紹介します。自分のメモも兼ねています。

私のバックグラウンド

エンジニアとして某会社に勤務しております。会社のメンバーは外国の方が多く、状況にもよりますが全体の40~50%くらいは英語でミーティング、Slackでも英語でやり取りすることが多々あります。そんな中で気付きとしてあったのが、同じ表現を使って会話をすることが多いなという点です。ある程度パターンとしていくつかのフレーズを覚えておけばそれなりに業務の会話ができるのでは？と思いこの記事を書いています。なお、以下私の環境については注意してください。

• 外国の方が多いといっても、ノンネイティブや日本人も多く、英語ができない人に対しても理解がある環境です。（ネイティブ90%以上といった環境とは違う）
• エンジニア同士の会話が多いので、職種によって使う表現も異なるかもしれません。
• 英語を使うのは社内メンバーなので、社外のフォーマルなビジネスシーンで英会話をする機会は無いです。

それではシーン別にフレーズを紹介していきます。

初対面の挨拶

• Nice to meet you. （初めまして〜）

を使うこともあるのですが、実際は事前にSlackなどでやり取りした後ミーティング。みたいなことが多いので、

• Hi, XX（相手の名前）. How are you?

くらいカジュアルになることが多いです。

• Hi, I'm Fumiaki from XXX team and I work as Cloud Engineer!
  (XXXチームでクラウドエンジニアとして働いているFumiakiです！）

多くのチームメンバーがいる場合や、自分から何かプレゼンする場合にここまで紹介するパターンが多いです。

2回目以降の挨拶

• Hi XX, How are you? （XXさん、元気ですか〜？）

ちなみに相手から先に言われたら,

• I'm good/great. How are you? （元気だよ、元気〜？）

で返しましょう。これに加えてI'm busy with XX（XXで忙しくてさ〜）といった感じで付け加えることも自分はあります。

• It's been a while! （久しぶりだね！）
• (It's) good to see you! （会えて良かったよ！）
• How was your weekend/holiday? （休みはどうだった？）

と挨拶を書きましたが、打ち合わせは時間が無いこともあるので次に書くフレーズでいきなり本題に入ることも多いです。

本題への入り方

• Hi everyone, thanks you for attending this meeting.
  （打ち合わせに参加いただきありがとうございます。）
• Today I'd like to talk about/discuss XX. （今日はXXについて話がしたいです。）
• The topic today is XX. （今日の議題はXXです。）
• Let's start. / Let's get started.（始めましょう）

トピック変える時

• Let's move on to XX. (XXの話に移りましょう）
• (Then/Next), Let's talk about XX. (次はXXについて話しましょう）

説明が終わった時、打ち合わせを終える時

• That's all from my/our side. （私たちからはこれで以上です）
• We’ve looked at XX. / We've talked about XX. （今日はXXについて話をしました）
• In conclusion, （結論としては、）
• Let’s wrap up/finish this meeting. （会議終わりにしましょう）
• The next action is XX. （次やることはXXだね）
• Thank you for joining the meeting today. （参加ありがとう）
• Have a good one. / Have a good day. / Have a good weekend. （よい日を〜、よい週末を〜）
• Take care.
• Bye bye.

会議あるあるやファシリテート関連

• Sorry I was muted. （すいませんミュートでした）
• XX, You are muted. （XXさん、ミュートですよ）
• Yes XX, please go ahead. （はいXXさん、どうぞ喋ってください。（誰かが喋りたそうなとき））
• Is XX joinng? （XXさん来ます？）
• Is anyone else joining? （他誰か来ます？）
• Can you hear me? （聞こえてます？）
• Let me share my screen. / I'd like to share my screen. （画面シェアしますね）
• Are you sharing something? （もしかして何か画面シェアしようとしてます？）
• Any questions or comments so far? （ここまでで質問やコメントありますか？）
• We’re running out of time.（時間が無くなってきたね）
• Time is up. （時間切れですね）
• Are there any topics we need to cover today?（その他議題ありますか？）
• I'll share the link of the document later. （資料のリンク後でシェアしますね〜）
• I have a question.（質問があります）
• Sorry for interrupting.（しゃべっている最中にすいません）
• I hope that answers your question. （質問の答えになっていたら幸いです）

あいづち、返事

• Yes / Yeah （はい、そうだね）
• I see. （なるほど、わかりました。）
• Understood. （わかりました）
• Sure. （OK、いいですよ）
• got it. （わかりました、了解）
• Thanks / Thank you / (I) appreciate it （ありがとう）
• Same here.（こちらもです）
• I'm on it. （すぐやっときますよ）
• no worries. （問題ないよ、心配ないよ）
  ※相手がSorry等謝ってこられた時に使うことが多いです。
• Looks good to me. / Sounds good to me. （良さそうです）
  ※資料系見てるならLooks、言葉聞いてる系ならSounds
• That would be great!（良さそうです）
• Let me check.（確認します）
• I'll check it.（確認します）

相手に何かを依頼する、質問

• Could you please XX? （XXお願いできますか？）

  • Could you please review this PR? Thanks in advance! （このPR見てもらえます？先にありがとうと言っておくね！）
  • Could you please try it again? （もう1回やってみてもらえます？）
  • Could you please look into it?（これ見ておいてもらえませんか？）

• I'd like to XX.（XXしたいです）

  • I'd like to use AWS.（AWS使いたいです）

• I'd like you to XX.（XXをお願いしたいです）

  • I'd like you to set up a meeting. （打ち合わせの設定をお願いしたいです）

• Do you have a minute?（ちょっと時間あります？）

• I'm sorry to bother you.（お手数おかけしてすいません）

• Are you familiar with XX?（XXについてはよく知ってる？）

  • Are you familiar with Kubernetes? （Kubernetesは詳しい？）

質問の基本として、5W1Hは業務でも普通に使います。

• What is the difference between A and B?（AとBの違いってなんですか？）
• What does XX stand for? （XXって何の略ですか？）
  ※私の周りだけかもしれないですが、色々なものがアルファベットで略されるのでよく聞きます
• Who should we ask about XX?（XXについては誰に聞けば良いですか？）
• When will you be back from holidays?（休みからはいつ戻るんですか？）
• When is the deadline?（締切いつですか？）
• Where can we get the template of presentation?（プレゼン用のテンプレートってどこで手に入りますか？）
• How can I access XX page?（XXページにはどうやってアクセスできますか？）
• How long have you worked here? （ここで働いてどれくらいですか？）

聞き返す、確認

• Sorry?（ん？なんと言いました？）
• Could you say that again?（もう1回言ってもらえませんか？）
• Sorry, I couldn't catch you. （すいません、聞き取れませんでした。）
• Could you elaborate on that?（もう少し詳しく教えてくれませんか？）
• Does it make sense?（意味通じてますでしょうか？）
  ※「Do you understand？」は上から目線な印象を受けるので私はあまり使わないです。
• Is it answeing your question?（質問の回答になってますか？）
• What do you mean?（どういう意味ですか？）
• What does XX mean?（XXってどういう意味ですか？）
• What is XX?（XXってなんですか？）
• How can I say it in English?（英語でなんて言うんだっけ？）
• What do you call it in English? （英語でなんて言うんだっけ？）
• (I'm) not sure.（わからないです）
  ※ I don't know単体だとストレートすぎるのでnot sureの方が私は使うことが多いです。
• (I have) no idea. （まったくもってわからないです）
• I'm a little bit confused.（ちょっと混乱しています）

その他便利なフレーズなど

• I would say XX.（XXだと思うな〜）
  • I would say option 1 is better than option 2.（オプション１の方がオプション２より良さそうだな〜）
• I think XX.（XXだと思うな〜）
  • I think your idea is great.（あなたのアイディアは素晴らしいと思うよ）
• I believe XX.（XXのはずだ）
  • I believe that is correct.（それで正しいはずだ）

I would say（or I'd say）の方がI thinkより少しだけ控えめな印象を受けます。

• In my understanding, （私の理解では、）

• As far as I know, （私の知る限りでは、）

• Hmm / Well / Um / Like（ええと・・）

• kind of like（〜みたいな）

  • This is kind of like a preview version of our system. （これは僕たちのシステムのプレビュー版みたいな感じなんだ）

• Let me clarify XX.（XXについて確認させてください）

• Apparently, XX.（どうやらXXのようだ）

• Obiously, XX.（明らかにXXだよね）

• It seems（〜みたいだ）

  • It seems I don't have a permission to see the document. （その資料の閲覧権限がないみたいだ）
  • It seems to be working well.（うまく動いてそうです）

• What I wanted to say is XX.（私が言いたかったのはXXです）

• Regarding XX（XXに関して）

• Other than XX（XX以外は） ※exceptでもOK

  • You can use everything other than A feature. （A機能以外はすべて使えるよ）

• I appreciate XX. （XXに感謝します）

  • I appreciate your help with the project.（プロジェクトで支援してくれて感謝します）
  • I appreciate that you took the time for me.（時間を取ってくれてありがとう）

• Apologies for XX.（XXの件すいません）

  • Apologies for the delay.（遅くなってすいません）

さいごに

できるだけ自分が使ったり同僚が使っているフレーズを中心に書いてみました。もっとある気がするので気が向いたら足していきます。口頭の会話を基本は意識してますがSlackなどのチャットで使える表現も多いと思います。

スピーキング力を鍛えるにはこういったフレーズをできるだけ多く声に出すことだと思います。自分としては業務のミーティングだけではスキルアップには不足している感があるのでどうやって練習すべきか悩んでいるところです・・。

英語を業務で使い始めた方など、何かの役に立てば幸いです！

Amazon Web Services（AWS）の学習を始めるための入門書、たくさんありますね。

今回、めでたく（？）、私も新しい本を書かせていただきました。本日発売です！！

本書を書く参考として、他の入門書もいくつか読ませてもらいました。

せっかくなので、各入門書の紹介をしつつ、どのように選んだら良いのかポイントをまとめてみます。

紹介する本は以下の３つと今回書いた本です。

１．

２．

３．

1. AWS認定資格試験テキスト　AWS認定 クラウドプラクティショナー

AWS認定の基礎クラスである、クラウドプラクティショナーの対策テキストです。認定取得を最初の目標としている方はこれに決まりです。以下の特徴があります。

• AWS認定資格や受験の流れなど、AWSの紹介以外にも認定に役立つ情報が豊富
• 各章に練習問題も付いており、受験対策になる
• AWSの主要なサービスがひととおり、丁寧に紹介されている

システム構築の経験が少しでもある場合は、とても分かりやすく理解がどんどん進むと思います。私の知り合いの若手メンバーもこの本を読んで試験合格したという人が多いです。

オンプレミスやデータセンター、IPアドレスといったシステムの基礎用語は理解している前提になっているかなと思います。

2. 図解即戦力　Amazon Web Servicesのしくみと技術がこれ1冊でしっかりわかる教科書

表紙で「AWSの一番やさしい本」と言っていることもあり、難しい言葉を使わず、AWSをイメージでつかめるようやさしくわかりやすく記載されています。以下の特徴があります。

• システム構築経験が少ない方でもわかりやすく、難しい用語が出てこない
• 「オンプレミス」の紹介など、システムの基本的な紹介もある
• 紹介するサービスはEC2、RDS、S3、VPCがメインで、無理に多くのサービスを紹介していない
• カラーでわかりやすい

AWS、クラウドってなんだっけ？という方やシステム構築経験が無い方、使用予定のサービスがEC2やRDSだけなど限られる場合はこの本が合うと思います。

AWSには現在200以上のサービスがありますが、広く知ろうとすると混乱することもあるので、まずは基本サービスに絞って理解したいという方はこの本がおすすめです。先ほどのプラクティショナー対策本よりもやさしい内容になっていると思います。

3. AWSではじめる クラウド開発入門

この本は紹介した2冊とはまた系統が異なります。ハンズオン中心です。「認定とか概要理解は興味ない、オレはAWS上で何かを作りたいんだ！」って方は是非こちらの本をどうぞ。以下の特徴があります。

• ハンズオン中心なので、作ることが好きな人は楽しい。PCの横にこの本を置いて学習を進める形になりそう
• AWSアカウントやGit、AWS CLIなどの環境セットアップが必要。楽しい人は楽しいが、未経験の人は少し苦労するかもしれない
• サーバーレスSNSアプリや、深層学習アプリなど、ハンズオンで作成するものが本格的。最後までやればかなり力がつく

技術者向けの本になっています。本の難易度としては今回紹介する中で一番高いかなと思います。

（New!） 図解 Amazon Web Servicesの仕組みとサービスがたった1日でよくわかる

私含め4名で書いた本となります。レベル感やイメージとしては、2で紹介した図解即戦力の本に近いです。以下の特徴があります。

• システム構築経験が少ない方でもわかりやすく、難しい用語が出てこない
• 「オンプレミス」や「IPアドレス」、「データベース」の紹介など、システムの基本的な紹介も多い
• 紹介するサービスが多いので、AWSで出てくる単語を網羅的に理解できるようになる
• カラーで図も多くわかりやすい

わかりやすさと幅の広さを重視して書きました。

最近では、最初のシステム構築がAWSになる新人さんや、いきなりAWSの営業をしてこいと言われる営業社員も増えているのではないでしょうか。 そんな方が増えるなか、AWSをバリバリ使っている人は容赦なくAWS用語を繰り出してきます。

そういった新入社員や営業社員が、クラウド・AWSの理解を深め、AWSエンジニアの会話についていけるようになることを目指して書いた本になっています。

AWSってなんだっけ？その前にシステム構築やオンプレミスってなんだっけ？って方は是非本書を読んでもらえると嬉しいです。逆に、ある程度システム構築経験のある方や、認定合格知識や構築スキルを身に付けたい方はこの本は簡単すぎるところもあるのでご注意ください。

4冊の比較表

私の主観も多いですが、各本の比較をまとめてみました。紹介サービス数は多ければ良いというものでは無いので、好みや状況に合わせて比較材料としてみてください。

表紙	ターゲット	やさしさ	ページ数	紹介サービス数
	認定合格を目指す方	★★★★☆	291	★★★★☆
	主要サービスを中心にAWSを理解したい方	★★★★★	240	★★☆☆☆
	AWS構築スキルを身に付けたい方	★★★☆☆	368	★★★☆☆
	AWSを幅広く理解したい方	★★★★★	260	★★★★★

その他紹介できなかった本

今回は私が中身を読む機会があった本を紹介しましたが、入門書はほかにも多く発売されています。 表紙とAmazonページの情報からですが、簡単に紹介しておきます。

---

「学習ロードマップ」という学習の進め方・順序に合わせて紹介してくれる本ですね。AWSを深く理解しようとすると自分で学習することが必須となるので、その進め方を教えてくれるのは良いですね。

---

フルカラー、AWSマネジメントコンソールの画像も多く使用し、AWSの利用イメージとともにわかりやすく解説されているようです。

---

AWSに詳しいエンジニアがたくさん在籍するクラスメソッドさんのメンバーが書かれている本です。私もいつもブログにはお世話になっています。526ページとボリュームが多く、深く理解できそうな本です。

---

AWS社員の方が書かれている本です。社員ならではのディープな情報もサンプルを見るとありそうでした。AWSさんの説明（セミナー）や資料はよく拝見するのですが、どれもわかりやすいのできっと本も読者にわかりやすい仕様になっていると思います。

---

AWS上のEC2とRDSでWordPressをセットアップしながら、システム構築の流れを理解するといった内容になっています。（目次より）AWSだけでなく、EC2上でのソフトウェアインストールなど、システム構築一般的な知識も身に付きそうです。

まとめ

いっぱい入門書があって選ぶのが大変ですね・・（汗）

今回私たちが書いた本は、入門書の中でもかなりやさしい部類に入ると思いますので、手に取っていただけたら嬉しいです。

試し読みもできますので、気になる方は是非チェックしてみてください。

r.binb.jp

ひととおり、各サービスについてOrganizationsを使用した集約設定方法をまとめました。本記事でまとめていきます。

Organizationsの復習

Organizationsは元々、複数アカウントの利用料請求を一括にまとめる機能でしたが、現在では各サービスの情報を組織内で一括管理できる機能があります。

デフォルトではManagement（親）アカウントに情報が集約されます。（以下CloudTrailの例）

アカウントの委任という機能に対応しているサービスもあり、これを利用することで集約するアカウントをOrganizations配下のメンバーアカウントに変更できます。（以下Configの例）

また、いくつかのサービスは、組織へアカウントが追加されたときに、そのアカウントでサービスを自動有効化する機能もありました。（以下GuardDutyの例）

各サービスの対応状況

1. Organizations集約に対応
2. メンバーへの委任
3. アカウント追加時の自動有効

の３点について、各サービスがどう対応しているか表にまとめました。各サービス名をクリックすると設定方法の記事へ遷移します。

サービス名	1.Organizations対応	2.メンバー委任	3.メンバー自動有効	補足
ルートユーザーの保護	×	×	×	各アカウントで個別に実施する必要あり
AWS SSO(IAM)	〇	×	-	権限セットとしてグループごとにIAMポリシー管理
Cost Explorer	〇	×	〇
AWS Budgets	〇	×	-	メンバーアカウント単独で予算設定は可能
CloudTrail	〇	△	〇	証跡S3バケットをメンバーアカウントに設定することは可能 メンバーアカウントから閲覧は追加設定が必要
AWS Config	〇	〇	×	メンバーアカウントはあらかじめ有効が必要
GuardDuty	〇	〇	〇
IAM Access Analyzer	〇	〇	×	組織とメンバーのアナライザーは別扱い
AWS Security Hub	〇	〇	〇
Detective	〇	〇	〇	※2021年12月アップデート 集約するとメンバー側は情報が見れない
Personal Health Dashboard	〇	×	-	PHD単体は自動有効
Trusted Advisor	〇	×	-	TrustedAdvisor単体は自動有効

※アカウント単体で一律有効にするサービスではないAWS SSO、AWS Budgetsの③は「-（対象外）」としています。

※PHDとTrustedAdvisorはアカウント単体で自動有効なので同じく「-（対象外）」としました。

一括設定の方針

もし新規のOrganizationsでこれらの設定を一気にやるにはどうやったら良いのか考えてみます。

流れとしては以下のとおりです。私の1案となります。

1. 組織の作成、すべての機能の有効化

   これを行うことで、Organizationsの組織が作成され、各サービスでOrganizationsと連携ができるようになります。 AWS CLIでも実行できますが、特に初めての方はマネジメントコンソールがわかりやすいです。

2. CloudFormationテンプレートの作成、CloudFormation StackSetsのデプロイ

   AWS Config、IAM Access Analyzerはメンバーアカウントでサービスを手動で有効にする必要があります。

   アカウントの追加時に自動で有効になってほしいこの2つは、有効にするCloudFormationテンプレートを作成しておきます。

   それをCloudFormation Stack Setsとして登録しておくことで、アカウント追加時に自動有効化することができます。

   

   ※佐々木さんのブログより拝借しました。StackSetsの詳細はこのブログで書かれています。

3. 各サービスのOrganizations機能有効化

   これまでの記事で紹介してきた手順のとおり、各AWSサービスでOrganizationsを使用した集約設定をやっていきます。記事のとおりマネジメントコンソールでやるのもわかりやすいし、面倒な方はCLIでも良いと思います。ルートユーザの保護（MFA設定）は手動で行う必要があります。

   一度設定すると変更する機会も少ないので、CloudFormationまで作るのは微妙かもしれませんが、複数のOrganizationsでやるには良いかもしれません。CloudFormationが各Organizationsの機能に対応しているかは確認する必要があります。

   AWS SSOは設定する権限、Budgetsは予算額を決定して設定する必要があります。

初期の設定はここまでやっておけば大丈夫かと思います。そのほか環境に応じて必要なサービスがあれば合わせて有効にすると良いでしょう。

新規アカウント追加時の対応

自動有効でもなく、CloudFormation StackSetsでも有効にできない以下のサービスおよび設定はアカウント追加時に手動で作業を行う必要があります。

• ルートユーザーの保護
• AWS SSO(IAM)　⇒必要に応じて権限セットも追加
• AWS Budgets　⇒予算額を設定して設定。組織のみで管理であれば不要
• Detective　⇒1アカウントに集約する場合は招待、承認の作業が必要

SSO、Budgetsは本来アカウント単位で権限や予算を設定すべきものなので、手動なのは仕方ないかなと思います。

ルートユーザーの保護は、悩ましいです・・。作成時は利用者がわからない自動生成されたパスワードが設定されますが、 きちんと手動でMFA設定が良いと私は考えています。

Detectiveは、そのうちOrganizations対応すると思いますｗ

今後期待する新機能

一つ前に書いたルートユーザーの自動保護と、DetectiveのOrganizations対応に期待しています。

また、請求情報をまとめたり、ボリュームディスカウントを効かせるために、プロジェクトA、プロジェクトBといった複数プロジェクトを1つのOrganizations組織に入れることも多いのですが、この場合AWS SSOやセキュリティサービスはプロジェクト単位で実施したくなります。

※ボリュームディスカウントやSavingsPlansの割引は、組織全体で効かせることができます。

紹介したサービスはOrganizationsの1組織全体で行う前提なので、今後、たとえばOU単位でサービスの設定ができたり、複数のOrganizations組織の請求部分だけ1つにまとめるといった機能に期待しています。

さいごに

Organizationsを活用したサービスシリーズ、10サービスについて書きました。謎の達成感を感じております。

今回はセキュリティをトピックにサービスをピックアップしましたが、他のサービスでもOrganizationsは活用できます。

たとえばAWS Backupで使用すると組織単位でバックアップ管理ができたり、AWS RAM（Resource Access Manager）を使用してTransit Gateway等のリソースを組織内に承認なく共有できたりします。

アカウント間の連携で課題を感じる部分があれば、このOrganizationsを活用することで幸せになれることがあるかもしれません。

それでは良いマルチアカウントライフを！

AWS Organizationsシリーズは今回一旦休憩です。

1/24(日)に行われた、インフラエンジニア向けのカンファレンスJuly Tech Festa 2021 winterでお話しました。せっかくなのでブログにも内容をまとめます。

発表資料

speakerdeck.com

なぜこのテーマでしゃべろうと思ったのか

Infrastructure as Code（以下IaC）は、構築や環境の複製を楽にするもの。

だけではない！

インフラ環境の品質UPにもつながるはずだ！と私は信じております。

私はオンプレミスのインフラ構築も多く行ってきており、手動のインフラ構築・運用も行ってきました。IaCでは多くの手動管理の課題が解決できるなと感じているのですが、まだまだIaCが浸透せずに手動管理となっている現場を多く見かけます。

この発表をきっかけにIaC始めてみよう、難しくないんだ！と思ってもらえると良いなと思い発表に至りました。（CFP通って良かった）

発表内容

資料を貼りながら補足部分を書いていきます。

対象は先ほど書いたとおりIaC初心者としております。ここでいう初心者とはインフラ・クラウド構築の初心者ではなく、AWSなどクラウド環境の構築経験はありつつも、手動管理を行っているIaC初心者ということになります。

IaCを使わない手動インフラ管理

まずはIaCを使わない場合（＝手動でインフラ構築、管理）どういった流れになるのかをお話しました。

最初はまずインフラってなんだっけというところです。

そしてインフラ構築の流れ。V字モデルですね。

手動管理では通常、パラメータ設計で設定するパラメータを決定しそれに従い構築、構築ができたら設計したパラメータ通りになっているかテストする。という流れで構築を行っていきます。

具体的なパラメータ内容は構築してみないとわからない部分もあり、設計と構築を行ったり来たりすることも多いですね。

手動管理の課題

1つ目の課題です。

この課題が1番わかりやすいかなと思います。すべて手作業になるため、環境数分の作業時間（手間）がかかります。

また、環境をコピーしている訳ではないため、すべての環境で想定通りのパラメータになっているかテストする必要があります。

実際の開発現場では、アプリ開発チームに、「開発環境もう一つ必要だから作って」と言われることもあります。予定してないから無理と断るか、同じ手間をかけて作るかの2択です。

2つ目の課題。

これも手動構築の現場ではよく見てきました。開発でうまくいっていた設定が、本番では入っていない！？というやつです。

こういった事象を無くすために、各環境できちんとテストをしていくのですが、テストするのも人間であるため、100%ミスを無くすのは難しいです。

3つめの課題。

設計どおり構築をしてもうまくいかない、本番運用中に障害があった場合、その場で急遽設定変更をします。その場でうまく動いたことがとても嬉しいので、たいていの場合設計書への反映が忘れられます。

「たいていの場合」は言い過ぎかもしれませんが、私もこういった経験はあり、「この設計書本当にあってるの？実環境見てくるわ」ということもありました。今でもオンプレ環境だとあったりしますね。

4つめの課題。

「設定の履歴が残らない」です。

これが無いとどういった場合に困るのか、というところですが、たとえば、ファイアウォール（SGでもOK）で見知らぬIPアドレスからアクセス許可の設定が入っていたとします。 IPアドレスの値が入っているのみで、どこのIPアドレスなのかわかりません。

そうなると、誰が、いつ設定したんだ？となりますが、改定履歴がないとそれを聞く相手もわかりません。

そして、その設定は消していいのか、変更していいのかわからないため、怖くていじれなくなります・・

ということでいつ、誰が、何のために設定したのか履歴情報を残すことはとても重要です。

が、資料管理をきちんとやるのはとても難しです。人により履歴の書き方も変わってきます。

ということで課題4つ紹介しました。

IaCが解決する課題

いくつかIaCのツールはありますが、今回はAWSのCloudFormaitonを前提としてお話しました。

1つ目の課題解決。

1番わかりやすいIaCのメリットかと思います。テンプレートベースになるので環境の複製が容易にできますね。

2つ目の課題解決。

1つ目と似ていますが、ここは品質観点です。同じテンプレートベースになるため、環境間で差があるといったミスが発生しにくくなります。

ポイントとして書いているリソースを同一にというのは、たとえばサブネットの数が本番と開発で異なると、テンプレートも環境ごとに書き換えたり工夫をする必要があります。サブネット数など料金に影響を与えない部分は基本的に全環境同じにしたほうがテンプレートとして書きやすいのでおススメです。

また、人のミスを減らすという目的においては、CloudFormaitonのデプロイ作業もパイプラインからコマンド経由で行ったほうが良いです。

3つ目の課題解決。

これは、リポジトリで管理しているテンプレートから正しくリリースしている前提になりますが、実環境を見に行かなくても、テンプレートを見れば設定内容がわかるという点です。

特に運用する方にとって嬉しいポイントかと思います。

4つ目の課題解決。

IaCをGitリポジトリ管理にすることで、強制的に履歴を残せます。

コミットメッセージについては組織でルールを決めて正しく運用でカバーする必要がありますが、少なくとも「誰が、いつ」という情報は残るようになります。その人に聞きにいくことができますね。

課題の解決まとめです。

元々あった課題が完全に無くなるわけではないですが、かなり減らせる部分はあると思います。

CloudFormationの使い方

実際の書き方に入っていきます。

まずパラメータシート。手動管理の場合Excelを使用して以下のような資料を作りますね。VPCを例としています。

これをCloudFormaiton（YAML）で書くとこうなります。（右側）

太字で書いている部分が一番のポイントです。パラメータシートの場合も、CloudFormaitonの場合も書いている内容はほぼ同じです。

おそらくここで難しいと感じる場合は、CloudFormaitonが難しいのではなく、AWSの設定がわからなくて難しいと感じているのだと思います。

CloudFormaitonはYAMLの場合コメントも残せるため、設計で大事となる根拠や補足なども書き込むことができます。

CloudFormtaionのポイント

書き方を覚えたら活用のポイントです。

まずParameters。ほぼ必須で使用する機能です。

環境ごとに変わる値（名前で使用する環境名Env、VPCのCidr）をParametersとして別出ししています。

コードも貼っておきます。

Parameters:
  Env: 
    Description: "Environment"
    Type: String
    Default: "dev"

  VpcCidr: 
    Description: "VPC CIDR"
    Type: String
    Default: "10.0.0.0/16"

Resources:
  vpc: 
    Type: "AWS::EC2::VPC"
    Properties: 
      CidrBlock: !Ref VpcCidr
      InstanceTenancy: default
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags: 
        - Key: Name
          Value: !Sub "${Env}-sys-vpc"

次にテンプレートの分割です。実際の運用では1システムすべてを1テンプレートで書くことはあまりなく、いくつかのテンプレートに分割します。

たとえばネットワークのまとまりであるVPCやサブネットを1テンプレートにしたりします。

一方で、VPCの情報は他のリソースでもIDをインプット情報として与える必要があるため、テンプレート間で参照できる必要があります。

そこで紹介したのがOutPutとImportValueの機能です。

コードは以下のとおりです。

• VPC（参照される側）

Outputs:
  vpc:
    Value: !Ref vpc
    Export: 
      Name: vpc

• Security Group（参照側）

Resources:
 SecuritygroupEC2: 
    Type: "AWS::EC2::SecurityGroup"
    Properties: 
      GroupName: !Sub "${Env}-ec2-sg"
      GroupDescription: "for EC2"
      VpcId: !ImportValue vpc

その他には、SSM Parameter StoreやSecrets Managerを使用するやり方もあります。

次からは運用面。

テンプレートのデプロイやテストも人の手から離れて自動化したいため、以下のようなパイプラインを作ります。

パイプラインの要素ごとに見ていきます。まずはChange Sets。

aws cloudformation deployコマンドを実行すると、すぐさま変更が反映されるのですが、CloudFormaitonでは重要なリソースを管理している場合も多く、変更対象を間違えると意図しない変更や削除が発生する可能性もあります。

そのために本番環境へ反映される前に、事前に反映予定の内容を確認できる機能がChange Setsです。本番環境のパイプラインでは入れることをおススメします。

つづいてCloudFormaitonのテストツール。

cfn-nagやcfn-python-lintはコード解析のツールであるため、テンプレート開発中もローカルで実行することができます。各テストツールのリンクを貼っておきます。

TaskCatは、実環境にデプロイできるかという観点でテストができます。CloudFormaitonはテンプレート内容としてOKでも、実際の環境によってNGになることもあるため、デプロイを事前確認することで品質UPにつながります。

• cfn-nag
• cfn-python-lint
• TaskCat

パラメータチェックのツールです。

CLIとSDKはAWS標準のツールです。

たとえばCLIでVPCの情報を見たい場合はaws ec2 describe-vpcsというコマンドで確認できます。

awspecはテスト用のツールです。

以下のように書いてVPCのあるべき状態を書いてテストが可能です。

require 'spec_helper'

describe vpc('my-vpc') do
  it { should exist }
  it { should be_available }
  its(:cidr_block) { should eq '10.0.0.0/16' }
  it { should have_tag('Name').value('my-vpc') }
end

テスト手法について書きましたが、2つ目に書いたパラメータチェックは必要なのかというところについての考察です。

どちらが正解という結論はここでは出していませんが、私としては、IaCではテンプレートの内容がとても重要になるため、できればまず複数名でレビューを行って、テンプレートの品質UPを目指すのが良いと思っています。

テストツールを使ってパラメータチェックをするのも良いと思いますが、全パラメータをやみくもにチェックするのではなく、ポイントを絞って方針を決めることをおススメします。

たとえばセキュリティに関わるところとか、環境ごとに差が出そうなところです。

テストケース数や実施状況を報告しなきゃいけないという状況となり、関係者の品質共通認識としてテストツールを使うことが良い場合もあるかと思います。

まとめ

少しでもIaCで解決できそうな課題がありましたら是非ご使用を！

手動管理をやってきたインフラな方は、CloudFormaitonが取っ付きやすいと思います。

いただいた質問

「Go Formationのように、プログラム言語でCloudFormationを書く機能もあるがそれについてどう思うか。」

という質問をいただきました。ありがとうございます。

CloudFormation、全設定を見るという面では非常に優れていると思うのですが、これがツライ部分もあります。 たとえばマネジメントコンソールでは自動設定くれる場所も書かないといけないので、記述量が多くなりがちです。

また、ループのような処理もCloudFormation単体では難しいです。

そういった記述の柔軟さで言うと、Terraformのほうが優れているかなと思います。

AWS CDKも使ってみたいです。

ただ、組織全体で考えると、まだIaCに慣れていないメンバーがいる場合は、CloudFormationが入りやすいと思い選ぶことが多いです。

自分1人であれば、次はCDKで頑張ってみたいなという気持ちもあります。

登壇してみて

私にとってはとても大きなイベントでの登壇でした。

他の方の発表はとても専門性が高くて素晴らしく、私のはあまり見られないなと予測しておりましたが、それなりに見ていただけて良かったです。

運営されていた方、発表された方、視聴してくれた方、機会をいただき本当にありがとうございましたm(__)m

アーカイブされたらほかの方の発表もじっくり見たいと思います。