JAWS-UG Kobe - Landing Zone Accelerator (LZA) on AWS を触ってみる

Transcript

1. クラスメソッド株式会社 arap!! Landing Zone Accelerator (LZA) on AWS を触ってみる

2. 荒平 祐次 (Arahira Yuji) クラスメソッド株式会社 クラウド事業本部 コンサルティング部 VMware vExpert 2021-2025,

   Japan AWS Top Engineer 2025, AWS Community Builder (Serverless)

3. マルチアカウント環境が欲しいけど・・・ • 逐一ベストプラクティスを調査するのがしんどい • セットアップ負荷を減らしたい • 設計上考慮点が多すぎる ◦ Organizations, OU,

   SCP, Security Hub, GuardDuty, ログ証跡集約 など • とにかくゼロから構築するのは無理 → そんなときに使えるのが Landing Zone Accelarator (LZA) on AWS こんな悩みありませんか

4. Landing Zone Accelerator (LZA)

5. Landing Zone Accelerator (LZA) とは • ⽶国の国防情報システム局 (DISA) の Secure

   Cloud Computing Architecture (SCCA)に準拠したランディングゾーンをデプロイするために作られたもの • LZA⾃体の料⾦は無料（使うリソースに課⾦） • AWS CDK製のOSS。GitHubで配布されている ◦ https://github.com/awslabs/landing-zone-accelerator-on-aws/tree/m ain • 35以上のAWSサービスに対応しておりControl Towerと組み合わせも◎ • v1.0の公開は2022年5⽉。v1.14.3の公開は先週と現役 ◦ AWS Transformを組み合わせてオンプレミスネットワーク展開にも使え るようになりました ◦ https://dev.classmethod.jp/articles/reinvent2025-mam222-arap/

6. Landing Zone Accelerator (LZA) とは 全体像 CFnで Installer Pipeline を

   デプロイ ↓ Installerが Core Pipeline を デプロイ ↓ Core Pipeline がYAMLに 基づくリソースを展開

7. 6つの必須ファイル + 1つのオプション設定で定義する Landing Zone Accelerator (LZA) とは

8. LZAがデプロイしてくれるもの • ID & アクセス管理: IAM, Identity Center, Organizations, Directory

   Service, RAM • 検知: Security Hub, GuardDuty, CloudWatch, Config, CloudTrail, VPC Flow Logs • インフラ保護: Network Firewall, VPC, Systems Manager • データ保護: Macie, KMS, Certificate Manager, VPN • インシデント対応: Detective, Config Rules • コンプライアンス: Audit Manager → YAMLのみでアカウントに展開できるので、管理が楽 Landing Zone Accelerator (LZA) とは

9. デプロイしてみた (v1.14.3)

10. Deployment of LZA GitHubのSettingsからトークンを⽣成しておく

11. Deployment of LZA Secrets Managerの “accelerator/github-token” にトークンを保存

12. Deployment of LZA ドキュメントにデプロイボタンがあります LZA - Implementation Guide https://docs.aws.amazon.com/j a_jp/solutions/latest/landing-zo

    ne-accelerator-on-aws/step-1.-l aunch-the-stack.html

13. Deployment of LZA CloudFormationをデプロイしてみます

14. Deployment of LZA 指⽰に沿ってパラメータを埋めます（管理アカウントのEmailなど）

15. Deployment of LZA ほとんどデフォルトで問題ないと思います（既存のRepoを使う場合は別）

16. Deployment of LZA パラメータ不備でエラーが出ても泣かないこと（*Secrets Manager不備）

17. Deployment of LZA S3バケット内に設定ファイルが配置されます

18. Deployment of LZA 必要に応じてこのYAMLを編集する 要件によって細かいカスタマイズが可能

19. Deployment of LZA パイプラインをデプロイしてみる → ⾒慣れないエラー。。。

20. Deployment of LZA エラーの原因は既存Control Tower Landing Zoneのホームリージョンと LZA実⾏リージョンの不⼀致でした ‧‧‧という形で、ひとつずつエラーを潰していく必要あり （ドキュメントにわざわざトラブルシュートについて触れているということは、何かしら引っ掛かる⼈が多いのかな）

21. 既存のOUがある場合は、追記しておかないとエラーになります Deployment of LZA

22. YAMLの内容を読み取り、Control Tower の OU 登録（Enroll）が実施される 既存OUや新規設定OUが多いほど時間が掛かる ※ 1OUにつき2~4分ほど？ ※ ドキュメントでは最⼩限で45分掛かると記載

    https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerato r-on-aws/step-2.-await-initial-environment-deployment.html Deployment of LZA

23. デプロイ時に承認を有効にしていた場合はレビューステップを挟める Deployment of LZA

24. 無事、デプロイまでオールグリーンとなりました Deployment of LZA

25. LZAのデプロイが終わると各メンバーアカウントにCMKが配布されます Deployment of LZA

26. ⼀部のリソースデプロイにはLambda（Node.js 22.x）を内部的に利⽤ Deployment of LZA

27. 所感＆まとめ

28. 所感＆まとめ LZA 良い点 - Control Tower だけでは⼿が届かない部分を補完してくれる(35+サービス) - OSSなのでカスタマイズの⾃由度が⾼い LZA

    ⼤変な点 - 初回デプロイに時間がかかる（パイプライン全体で数時間） - 検証で6時間くらい掛かりました… - YAML設定の項⽬が多く、最初は何を設定すべきか迷う - エラー時のデバッグは CodeBuild のログを追う必要あるため慣れてないと✕ → マルチアカウント管理の柔軟性に課題がある⽅は是⾮お試しください！

29. 掛かるコストは$430.22（⼀般的な利⽤） https://docs.aws.amazon.com/solutions/latest/landing-zone-accelerator-on-a ws/cost.html ⽀配的なリソース - Amazon VPC (TGW, Endpoint): $175.35

    - AWS CloudTrail (PaidEvents): $99.00 - AWS KMS (CMK): $44.56 - AWS Security Hub (Check): $30.00 ※ このため、ただの検証であれば料⾦はそこまで発⽣しない 余談

30. 参考 Landing Zone Accelerator on AWS - Config Reference https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/

    Landing Zone Accelerator の概要 https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/secure-arch itecture-dod/lza-overview.html GitHub https://github.com/awslabs/landing-zone-accelerator-on-aws
31. None