Amazon Web Services ブログ

Amazon CloudFront SaaS Manager を利用して今すぐ運用上のオーバーヘッドを削減しましょう

4 月 28 日、Amazon CloudFront SaaS Manager の一般提供の開始を発表いたしました。これは、Software as a Service (SaaS) プロバイダー、ウェブ開発プラットフォームプロバイダー、複数のブランドやウェブサイトを持つ企業が、複数のドメインにわたる配信を効率的に管理するのに役立つ新機能です。お客様は既に CloudFront を利用して、低レイテンシーと高速転送でコンテンツを安全に配信しています。CloudFront SaaS Manager は、これらの組織が直面する重要な課題、すなわち、TLS 証明書、分散型サービス拒否 (DDoS) 攻撃に対する保護、パフォーマンスモニタリングを必要とするテナントウェブサイトの大規模な管理に対処します。

多数のドメインを管理するウェブ開発プラットフォームプロバイダーやエンタープライズ SaaS プロバイダーは、CloudFront Saas Manager を利用することで、世界中の CloudFront エッジロケーション、AWS WAFAWS Certificate Manager を利用するシンプルな API と再利用可能な設定を利用できるようになります。CloudFront SaaS Manager は、あらゆるお客様ドメインのために、高パフォーマンスのコンテンツ配信とエンタープライズグレードのセキュリティを提供しながら、運用上の複雑さを大幅に軽減します。

仕組み
CloudFront では、マルチテナント SaaS デプロイを使用できます。これは、単一の CloudFront ディストリビューションが複数の異なるテナント (ユーザーまたは組織) のためにコンテンツを提供する戦略です。CloudFront SaaS Manager は、マルチテナントディストリビューションと呼ばれる新しいテンプレートベースのディストリビューションモデルを使用して、設定とインフラストラクチャを共有しながら、複数のドメインでコンテンツを提供します。ただし、単一のウェブサイトまたはアプリケーションをサポートしている場合は、標準ディストリビューションの方がより適しているか、または推奨されます。

テンプレートディストリビューションは、オリジン設定、キャッシュ動作、セキュリティ設定など、ドメイン全体で使用される基本設定を定義します。各テンプレートディストリビューションには、ウェブアクセスコントロールリスト (ACL) のオーバーライドやカスタム TLS 証明書など、ドメイン固有のオリジンパスまたはオリジンドメイン名を表すディストリビューションテナントが含まれています。

オプションで、複数のディストリビューションテナントは、視聴者にコンテンツを提供する CloudFront ルーティングエンドポイントを提供するのと同じ接続グループを使用できます。DNS レコードは、Canonical Name Record (CNAME) を使用して接続グループの CloudFront エンドポイントをポイントします。

詳細については、「Amazon CloudFront デベロッパーガイド」の「Understand how multi-tenant distributions work」にアクセスしてください。

CloudFront SaaS Manager の実際の動作
CloudFront SaaS Manager の機能をより良くご理解いただけるよう、例を挙げて説明します。MyStore という人気の e コマースプラットフォームを運営している会社があるとします。このプラットフォームは、顧客がオンラインストアを簡単に立ち上げて管理するのに役立ちます。MyStore のテナントは、優れたカスタマーサービス、セキュリティ、信頼性、使いやすさを既に享受しており、ストアの立ち上げに必要な設定はほとんどなく、直近 12 か月間のアップタイムは 99.95% です。

MyStore の顧客は、ブロンズ、シルバー、ゴールドの 3 つの異なる料金階層に均等に分散されており、各顧客には永続的な mystore.app サブドメインが割り当てられています。これらの料金階層は、さまざまな顧客セグメント、カスタマイズされた設定、運用リージョンに適用できます。例えば、ゴールド階層で、高度な機能として AWS WAF サービスを追加できます。この例では、MyStore は、プラットフォームでホストされるアプリケーションの増加に伴い、TLS 接続とセキュリティを処理するために独自のウェブサーバーを維持しないことにしました。同社は、CloudFront が運用上のオーバーヘッドの削減に役立つかどうかを評価しています。

MyStore の立場になり、CloudFront SaaS Manager を利用して、複数の階層に分散されている顧客のウェブサイトをどのように設定するのかを見てみましょう。まず、MyStore が提供する 3 つの料金階層 (Amazon CloudFront コンソール[SaaS] メニューの [マルチテナントディストリビューション] に示されている [ブロンズ]、[シルバー]、[ゴールド]) のそれぞれに対応するテンプレートとして機能するマルチテナントディストリビューションを作成できます。

マルチテナントディストリビューションを作成するには、[ディストリビューションを作成] を選択し、同じ設定を共有する複数のウェブサイトまたはアプリケーションがある場合は [マルチテナントアーキテクチャ] を選択します。ステップに従って、ディストリビューションの名前、タグ、ワイルドカード証明書などの基本的な詳細を入力し、ウェブサイトやアプリケーションなどのコンテンツのオリジンタイプと場所を指定して、AWS WAF ウェブ ACL 機能を使用してセキュリティ保護を有効にします。

マルチテナントディストリビューションが正常に作成されたら、左側のナビゲーションペインの [ディストリビューションテナント] メニューで [テナントを作成] を選択して、ディストリビューションテナントを作成できます。ディストリビューションテナントを作成して、アクティブな顧客をブロンズ階層に関連付けることができます。

各テナントは、最大 1 つのマルチテナントディストリビューションに関連付けることができます。顧客の 1 つ以上のドメインをディストリビューションテナントに追加し、オリジンドメインやオリジンパスなどのカスタムパラメータ値を割り当てることができます。ディストリビューションテナントは、関連付けられているマルチテナントディストリビューションの TLS 証明書とセキュリティ設定を継承できます。また、テナント専用の新しい証明書をアタッチしたり、テナントのセキュリティ設定をオーバーライドしたりすることもできます。

ディストリビューションテナントが正常に作成されたら、このディストリビューションテナント内のドメインにトラフィックをルーティングするように DNS レコードを更新し、CloudFront アプリケーションエンドポイントをポイントする CNAME を作成することで、このステップを完了できます。詳細については、「Amazon CloudFront デベロッパーガイド」の「ディストリビューションを作成する」にアクセスしてください。

これで、各ディストリビューションテナント内のすべての顧客を表示して、マルチテナントディストリビューションを関連付けることができます。

顧客のビジネスニーズが高まった場合、ディストリビューションテナントを適切なマルチテナントディストリビューションに移行することで、顧客をブロンズ階層からシルバー階層にアップグレードできます。

月次メンテナンスプロセス中に、非アクティブな顧客アカウントに関連付けられており、かつ、安全に廃止できるドメインを特定します。ブロンズ階層を非推奨にして、現在ブロンズ階層にいるすべての顧客をシルバー階層に移行することを決定した場合は、マルチテナントディストリビューションを削除してブロンズ階層を関連付けることができます。詳細については、「Amazon CloudFront デベロッパーガイド」の「ディストリビューションを更新する」または「Distribution tenant customizations」にアクセスしてください。

デフォルトでは、AWS アカウントにはすべての CloudFront トラフィックを処理する 1 つの接続グループがあります。左側のナビゲーションペインの [設定] メニューで [接続グループ] を有効にすると、追加の接続グループを作成でき、トラフィック管理とテナント分離をより細かく制御できます。

詳細については、「Amazon CloudFront デベロッパーガイド」の「Create custom connection group」にアクセスしてください。

今すぐご利用いただけます
Amazon CloudFront SaaS Manager は本日よりご利用いただけます。詳細については、CloudFront SaaS Manager の製品ページドキュメントページにアクセスしてください。AWS での SaaS の詳細については、AWS SaaS Factory にアクセスしてください。

今すぐ CloudFront コンソールで CloudFront SaaS Manager をお試しいただき、AWS re:Post for Amazon CloudFront に対して、または通常の AWS サポート担当者を通じて、フィードバックをお寄せください。

Veliswa

原文はこちらです。
_______________________________________________

ニュースブログはいかがでしたか? こちらの 1 分間のアンケートにぜひご協力ください!

(このアンケートは、外部の企業によって実施されます。AWS は、AWS プライバシー通知に記載されているとおりにお客様の情報を取り扱います。AWS はこのアンケートを通じて収集されたデータを所有します。また、収集された情報をアンケートの回答者と共有することはありません。)