超便利そうな Amazon Lightsail の落とし穴を確認してみる

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

AWS re:Invent 2016のキーノートで、新サービス”Amazon Lightsail”が発表されました。
Amazon LightsailはVPSサービスです。
Amazon Lightsailは月額5ドルから利用可能。
数回のクリックで仮想マシンの起動、お好みであればアプリケーションまでセットアップしてくれます。

Amazon Lightsailは「検証環境を早く簡単に提供したい」というニーズに現実的にどのようにこたえられるかについて確認をしてみました。

Amazon Lightsail これはできる・できない

ブラウザから秘密鍵の指定なしでSSH接続できる

便利だけど秘密鍵をもっていなくてもマネジメントコンソールにログインできて一定以上の権限があればだれでもSSH可能になってしまいます。
便利と恐怖の表裏一体。
試しにiPhoneからSSH接続してみたらログインができました。
ただ入力ができないのでコンソールをながめておしまいです。

そもそも細かい権限管理ができない

「自動でいい感じ」のトレードオフとして、細かい制御はできません。
誰でもインスタンスを操作できるようです。

ただしReadOnlyユーザーでアクセスをしたら403ページで以下のように告げられました。
403
今後はもう少し権限コントロールできるようになるかもしれませんね。

22番ポートはどこからでも接続可能

利用するポートは選択した環境にあわせていい感じに設定してくれます。すばらしい。
設定の追加や変更はNetworkingのFirewallでポートの制限は可能です。
ただしセキュリティーグループの「送信元」に相当する設定は見当たりません。

アタッチしていない Static IP は課金対象になるので自己管理が必要

このあたりはEC2と同じです。
管理画面が単純化されていてわかりやすい一方、リソースも数が増えたら管理しづらそうです。
Lightsailではたくさんのリソースは扱わない前提なのかもしれません。

staticip

CloudTrailにログは残っていない

Lightsail 各リソースのHistoryで確認可能です。
CloudTrailと比較して簡易的なログになります。

history

CloudWatchでメトリクスが見れない

Lightsail 各リソースのMetricsで確認可能です。
期間は現状2週間でメトリクスの種類、グラフは簡易的です。

metrics

まとめ

Amazon Lightsailは検証などの用途として個人的な利用はとても便利そうです。
AWSを利用すればインスタンスをすばやく簡単に用意できます。
でもAmazon Lightsailならさらに簡単に”いい感じ”で用意することができそうです。
ただ、ある程度の規模の組織においては現時点では「管理」をすることが難しそうです。
このあたりは適材適所で選んでいく必要がありそうですね。

AWS運用自動化サービス「Cloud Automator」