Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Control Tower で マルチアカウント運用を試した話
Search
akita
March 27, 2024
Programming
0
20
AWS Control Tower で マルチアカウント運用を試した話
akita
March 27, 2024
Tweet
Share
More Decks by akita
See All by akita
AWSやJAWS-UGとの出会いを振り返る
yoyoyopg
1
210
CDK + ecspressoでお手軽コンテナ3分クッキング
yoyoyopg
0
490
Other Decks in Programming
See All in Programming
How to implement a RubyVM with PHP?
memory1994
PRO
2
990
JavaScript Closure
asoluka
0
2k
スタックトレース始めてみた
kuro_kurorrr
5
1.2k
TypeScript Custom GitHub Action Development Tips
peaceiris
5
840
教えて!スクラムコーチ品質とスピードのバランスはどうすりゃいいの?
pinboro
0
160
How to improve maintainability and readability of your automated tests? ( #scrumniigata )
teyamagu
PRO
1
130
The Design of Everyday APIs - PyCon 2024
roguelynn
1
220
Deep Dive into React Stream/Serialize
mugi_uno
4
880
Documentation testsの恩恵 / Documentation testing benefits
ssssota
1
570
TypeScriptのパフォーマンス改善
yajihum
14
5.2k
The World is a Network (and We Are Just Nodes)
whatyouhide
0
100
Open standards for building event-driven applications in the cloud
meteatamel
0
230
Featured
See All Featured
WebSockets: Embracing the real-time Web
robhawkes
59
7k
Navigating Team Friction
lara
179
13k
Fireside Chat
paigeccino
22
2.7k
Robots, Beer and Maslow
schacon
PRO
155
8k
Making the Leap to Tech Lead
cromwellryan
125
8.6k
Facilitating Awesome Meetings
lara
43
5.6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
117
18k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
15
1.6k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
7k
Fantastic passwords and where to find them - at NoRuKo
philnash
39
2.5k
Product Roadmaps are Hard
iamctodd
45
9.8k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
34
6.1k
Transcript
社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話
• あきた(@yoyoyo_pg) • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用
• 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2
3 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい
4 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能
5 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能
6 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能
7 🤔…?
8 順に解説していきます
9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control
Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化
10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 •
AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している • これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している
11 統合サービスの紹介(一部) • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能
• AWS Service Catalog ◦ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能
12 コントロール • Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応
• Control Tower に関する物は必須コントロールとして デフォルトで有効化されている
13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理
◦ ポリシーに非準拠のリソースを検出する ◦ AWS Config ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現
14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕 組み
• Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に
15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる • これにより、ユーザは各アカウントに対するシングル
サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)
16 まとめ • 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います • とはいえ、マルチアカウント運用に関する
AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります