[2025クラウドガバナンスはこう変わる！マルチアカウント運用のre:Invent最新情報と活用例] re:Invent 2024 から見る AWS マルチアカウントガバナンスのこれまでとこれから

Transcript

1. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. re:Invent 2024 から⾒る AWS マルチアカウントガバナンス のこれまでとこれから ⼤⻄ 朔 Solutions Architect 2025/01/30 2025クラウドガバナンスはこう変わる︕ マルチアカウント運⽤のre:Invent最新情報と活⽤例

2. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 2 ⾃⼰紹介 ⼤⻄ 朔 アマゾンウェブサービスジャパン ソリューションアーキテクト ISV/SaaS ビジネスを展開されている お客様を中⼼にご⽀援しています。 好きな AWS サービス AWS Control Tower AWS Distro for OpenTelemetry

3. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 3 本発表の Goal • AWS アカウント・組織を管理するのに役⽴つ re:Invent 2024 のアップデートを知る • 最新アップデートをご⾃⾝の組織に どう適⽤するかの検討ができるようになる 話さないこと • マルチアカウント構成の重要性 • AWS サービス各種の詳細説明

4. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. re:Invent 2024 のアップデート⼤要 4

5. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 5 AWS Organizations AWS Control Tower GA GA 2017 2024 2018 2019 2020 2021 2022 2023 2025 AWS サービスとの統合 信頼された アクセス ・きめ細かい SCP ・タグポリシー ・バックアップポリシー ・AI サービスのオプトアウトポリシー ・代替連絡先の管理 ・メンバーアカウントの閉鎖 ・Organizations の委任管理 既存組織での セットアップ ・既存の組織単位に ガバナンスを拡張 ・ネストされた 組織単位をサポート ・Control API ・Account Factory Customization ・包括的な統制管理 ・プロアクティブ コントロール ・AWS Security Hub 統合 ・Landing Zone API ・バージョン選択 ・AWS Backup 統合 ・予防コントロールに RCP / 宣⾔型ポリシー追加 マルチアカウント管理は年々より⼿軽に・より便利に進化 AWS Organizations / AWS Control Tower の歴史 ・アカウント最⼤数増加 ・Chatbot ポリシー ・ルートアクセス⼀元管理 ・リソースコントロールポリシー (RCP) ・宣⾔型ポリシー

6. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 6 Organizations / Control Tower 2024 年の What’s new AWS サービス タイトル 公開⽇ AWS Control Tower AWS Control Tower が宣⾔型ポリシーを使⽤するマネージド管理をリリース 12/2 AWS Organizations Amazon Web Services が宣⾔型ポリシーを発表 12/2 AWS Control Tower AWS Control Tower がランディングゾーン機能に規範的なバックアッププランを追加 11/26 AWS Control Tower AWS Control Tower がプロアクティブコントロール用の Hooks 管理を改善し、プロアクティブコントロールをサポートするリージョンを拡大 11/21 AWS Organizations AWS Identity and Access Management (IAM) でルートアクセスを一元管理 11/16 AWS Organizations AWS Organizations メンバーアカウントで、誤ってロックされた Amazon S3 バケットへのアクセスが回復可能に 11/16 AWS Control Tower AWS Control Tower が、リソースコントロールポリシーを使⽤して実装される構成可能なマネージドコントロールを提供開始 11/16 AWS Organizations AWS リソースへのアクセスを⼀元的に制限するリソースコントロールポリシー (RCP) の導⼊ 11/14 AWS Control Tower AWS Control Tower が、オプションコントロールのドリフトを解決する機能をリリース 11/14 AWS Control Tower AWS Control Tower が AWS アジアパシフィック (マレーシア) リージョンで利用可能に 10/22 AWS Organizations AWS Chatbot が Slack および Microsoft Teams から AWS アカウントに対するアクセスを AWS Organizations で一元管理するためのサポートを追加 10/2 AWS Control Tower AWS Control Tower の組織単位に、最大 1,000 のアカウントを含めることが可能に 8/31 AWS Control Tower AWS Control Tower がランディングゾーンのバージョン選択をリリース 8/16 AWS Control Tower AWS Control Tower が 2 つの新しい記述的コントロール API をリリース 8/7 AWS Control Tower AWS Control Tower のカスタマイズフレームワークがオプトインリージョンで利用可能に 7/19 AWS Control Tower AWS Control Towerが AWS カナダ西部 (カルガリー) リージョンで利用可能に 5/3 AWS Control Tower AWS Control Tower が AWS GovCloud (米国) リージョンで API のサポートを開始 3/27 AWS Control Tower AWS Control Tower で組織単位を登録する API を導入 2/15 AWS Control Tower AWS Control Tower の Account Factory for Terraform がカスタマイズを強化 2/12 AWS Control Tower AWS Control Tower が DoD Impact Level 4 および 5 の認証を取得 1/31

7. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 7 Organizations / Control Tower 2024 年の What’s new AWS サービス タイトル 公開⽇ AWS Control Tower AWS Control Tower が宣⾔型ポリシーを使⽤するマネージド管理をリリース 12/2 AWS Organizations Amazon Web Services が宣⾔型ポリシーを発表 12/2 AWS Control Tower AWS Control Tower がランディングゾーン機能に規範的なバックアッププランを追加 11/26 AWS Control Tower AWS Control Tower がプロアクティブコントロール用の Hooks 管理を改善し、プロアクティブコントロールをサポートするリージョンを拡大 11/21 AWS Organizations AWS Identity and Access Management (IAM) でルートアクセスを一元管理 11/16 AWS Organizations AWS Organizations メンバーアカウントで、誤ってロックされた Amazon S3 バケットへのアクセスが回復可能に 11/16 AWS Control Tower AWS Control Tower が、リソースコントロールポリシーを使⽤して実装される構成可能なマネージドコントロールを提供開始 11/16 AWS Organizations AWS リソースへのアクセスを⼀元的に制限するリソースコントロールポリシー (RCP) の導⼊ 11/14 AWS Control Tower AWS Control Tower が、オプションコントロールのドリフトを解決する機能をリリース 11/14 AWS Control Tower AWS Control Tower が AWS アジアパシフィック (マレーシア) リージョンで利用可能に 10/22 AWS Organizations AWS Chatbot が Slack および Microsoft Teams から AWS アカウントに対するアクセスを AWS Organizations で一元管理するためのサポートを追加 10/2 AWS Control Tower AWS Control Tower の組織単位に、最大 1,000 のアカウントを含めることが可能に 8/31 AWS Control Tower AWS Control Tower がランディングゾーンのバージョン選択をリリース 8/16 AWS Control Tower AWS Control Tower が 2 つの新しい記述的コントロール API をリリース 8/7 AWS Control Tower AWS Control Tower のカスタマイズフレームワークがオプトインリージョンで利用可能に 7/19 AWS Control Tower AWS Control Towerが AWS カナダ西部 (カルガリー) リージョンで利用可能に 5/3 AWS Control Tower AWS Control Tower が AWS GovCloud (米国) リージョンで API のサポートを開始 3/27 AWS Control Tower AWS Control Tower で組織単位を登録する API を導入 2/15 AWS Control Tower AWS Control Tower の Account Factory for Terraform がカスタマイズを強化 2/12 AWS Control Tower AWS Control Tower が DoD Impact Level 4 および 5 の認証を取得 1/31 組織のコントロール機能が増えて、さらに便利に︕ ・リソースコントロールポリシー (RCPs) ・宣⾔型ポリシー (Declarative Policies) コントロールとは︖

8. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS における統制 8

9. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 9 俊敏性を低下させない統制 vs. 利⽤を事前承認制 (ゲートキーパー) → 管理業務がボトルネック → 俊敏性の低下 できるだけ⾃由に使ってもらいつつ、利⽤者を守るガードレールを整備する ゲートキーパー ガードレール (コントロール)

10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 11 従来のコントロールタイプ 予防 検出 プロアクティブ 好ましくない イベント・状態の 発⽣⾃体を防ぐ 好ましくない イベント発⽣・状態を 発⾒・通知する 規制に準拠していない リソースの作成や 変更を防ぐ AWS Config ルール AWS Security Hub 標準 サービスコントロールポリシー (SCPs) AWS CloudFormation Hooks

11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 12 現在のコントロールタイプ 予防 検出 プロアクティブ 好ましくない イベント・状態の 発⽣⾃体を防ぐ 好ましくない イベント発⽣・状態を 発⾒・通知する 規制に準拠していない リソースの作成や 変更を防ぐ AWS Config ルール AWS Security Hub 標準 サービスコントロールポリシー (SCPs) リソースコントロールポリシー (RCPs) 宣⾔型ポリシー AWS CloudFormation Hooks re:Invent 2024 New!

12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. re:Invent 2024 のアップデート詳細 13

13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 14 アップデートによってできるようになったこと サービスコントロールポリシー (SCPs) ❓ IAM ユーザー・ロールの最⼤権限は⼀元管理可能 予防できる操作・設定のバリエーションが豊富に Before メンバーアカウント AWS Organizations ユーザー Amazon Simple Storage Service (Amazon S3) バケット Amazon マシンイメージ (AMI) 操作 操作 公開 使⽤許可 ❓ リソースに対しての操作権限は 個別に管理する必要がある サービス⾃体の設定も 個別に管理する必要がある ❓

14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 15 アップデートによってできるようになったこと サービスコントロールポリシー (SCPs) IAM ユーザー・ロールの最⼤権限が⼀元管理可能 予防できる操作・設定のバリエーションが豊富に After メンバーアカウント AWS Organizations ユーザー Amazon マシンイメージ (AMI) 操作 公開 使⽤許可 リソースへの操作の最⼤権限も⼀元管理可能に サービスの設定強制も⼀元管理管理可能に Amazon S3 バケット 操作 リソースコントロールポリシー (RCPs) 宣⾔型ポリシー (Declarative Policies)

15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. リソースコントロールポリシー (RCPs) 16

16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 17 リソースコントロールポリシー (RCPs) 組織のリソースに対して利⽤可能な最⼤権限を⼀元管理 Before 達成したい要件 例: ・組織外部からのアクセスを拒否したい ・暗号化された接続を強制したい ・オブジェクトの暗号化を強制したい 課題 それぞれの S3 バケットにリソースポリシーの 適⽤・管理が必要 アカウント・バケット数が増⼤するほど管理が煩雑に メンバーアカウント AWS Organizations Amazon S3 バケット メンバーアカウント Amazon S3 バケット

17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 18 リソースコントロールポリシー (RCPs) 組織のリソースに対して利⽤可能な最⼤権限を⼀元管理 After メンバーアカウント AWS Organizations Amazon S3 バケット メンバーアカウント Amazon S3 バケット リソースコントロールポリシー (RCPs) 組織・組織単位・アカウント単位で 同様のポリシーを⼀元的に適⽤可能に リソースポリシーとの使い分け RCPs: 最低限予防したい操作を共通で拒否 リソースポリシー: それぞれのリソースできめ細やかにアクセスを制御 例: クロスアカウントアクセスの許可

18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 19 RCPs によって 外部のユーザーを組織内の Amazon S3 バケットに アクセスさせない SCPs Only trusted identities aws:PrincipalOrgID Only trusted resources aws:ResourceOrgID SCPs によって 内部のユーザーを組織外の Amazon S3 バケットに アクセスさせない ユースケース: RCPs と SCPs で意図しないデータアクセスを予防 メンバーアカウント AWS Organizations rate AWS Organizations organization Amazon S3 バケット ユーザー RCPs 組織外のアカウント Amazon S3 バケット ユーザー

19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. 宣⾔型ポリシー (Declarative Policies) 20

20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 21 宣⾔型ポリシー (Declarative Policies) 特定の AWS サービスに必要な設定を組織全体で⼀元管理 Before 達成したい要件 例: ・Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの起動に使⽤できる AMI を制限したい → AMI のタグベースや AMI ID のリストを条件に IAM ポリシー/ SCPs で EC2 インスタンスの起動を制限 課題 タグの管理, リージョン/アカウントで 異なる AMI ID のリスト管理が煩雑 ・Amazon Virtual Private Cloud (Amazon VPC) 内のリソースに 対するインターネットアクセスをブロックしたい → セキュリティグループやネットワーク ACL の設定を徹底 課題 設定の徹底を複数のアカウントに渡って徹底するのは困難 AWS Organizations メンバーアカウント Amazon マシンイメージ (AMI) Amazon VPC

21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 22 宣⾔型ポリシー (Declarative Policies) 特定の AWS サービスに必要な設定を組織全体で⼀元管理 After AWS Organizations メンバーアカウント Amazon マシンイメージ (AMI) Amazon VPC 宣⾔型ポリシー (Declarative Policies) 以下のようなサービスの設定強制を ⼀元管理管理可能に Allowed AMI ← re:Invent 2024 New! アカウント内で許可する AMI の所有者を制限 VPC Block Public Access ← re:Invent 2024 New! インターネット経路のインバウンド/アウトバウンド 通信をブロック

22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 23 ユースケース: 宣⾔型ポリシーで意図しない AMI の使⽤を予防 メンバーアカウント AWS Organizations Amazon マシンイメージ (AMI) Amazon EC2 インスタンス ユーザー 組織外のアカウント 1 組織外のアカウント 2 Amazon マシンイメージ (AMI) Amazon マシンイメージ (AMI) AMI owned by amazon パブリック公開 AMI の使⽤ 起動 AMI のブロックパブリックアクセス アカウントの所有する AMI を パブリックに公開させない 許可された AMI の利⽤設定 アカウント内で使⽤を許可する AMI 所有者を指定 ・amazon ・aws_marketplace ・aws_backup_valut ・アカウント ID

23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 24 Control Tower の予防コントロールでの提供 RCP, 宣⾔型ポリシーともに Control Tower の予防コントロールとしても提供

24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. まとめ 25

25. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 26 まとめ メンバーアカウント AWS Organizations ユーザー Amazon マシンイメージ (AMI) 操作 公開 使⽤許可 Amazon S3 バケット 操作 ・マルチアカウント構成とコントロールによって 俊敏性を阻害しない統制を実現 ・マルチアカウント環境での 予防コントロールのタイプが増え、さらに便利に ・リソースコントロールポリシー (RCPs) リソースへの操作の最⼤権限も⼀元管理可能に ・宣⾔型ポリシー (Declarative Policies) サービスの設定強制も⼀元管理可能に ・AWS Control Tower で簡単に設定可能︕ SCPs RCPs 宣⾔型ポリシー

26. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. Appendix 27

27. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 28 予防コントロール 3 種類の違い *2 宣⾔型ポリシーの現状サポート機能 • シリアルコンソールアクセス • インスタンスメタデータのデフォルト設定 • AMI のブロックパブリックアクセス • Amazon Elastic Block Store (Amazon EBS) スナップショットのブロックパブリックアクセス • Amazon VPC のブロックパブリックアクセス • 許可されたAMIの利⽤設定 機能 SCPs RCPs 宣言型ポリシー 制御対象 IAMユーザー/ロール ルートユーザー AWS リソース *1 AWSサービスの設定 *2 適用レベル AWS API 呼び出し AWS API 呼び出し サービスの コントロールプレーン 管理アカウント 制限しない 制限しない 制限する 操作拒否メッセージの カスタマイズ - - ◯ *1 RCP の現状サポートサービス • Amazon Simple Storage Service (Amazon S3) • Amazon Simple Queue Service (Amazon SQS) • AWS Security Token Service (AWS STS) • AWS Key Management Service (AWS KMS) • AWS Secrets Manager

28. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 29 ポリシーの使い分け AWS Organizations 管理アカウント メンバーアカウント IAM ユーザー 組織単位 Amazon S3 バケット AWS サービス サービスコントロールポリシー (SCPs): 組織全体で⼀元的に最低限予防したい IAM ユーザー/ロールによる操作を拒否 リソースコントロールポリシー (RCPs): 組織全体で⼀元的に最低限予防したい リソースへの操作を拒否 宣⾔型ポリシー (Declarative Policies): 組織全体で揃えたいサービスの設定を管理 IAM ポリシー: SCPs によって最⼤権限が規定された上で きめ細やかに IAM ユーザーによる アクセス制御を設定 リソースポリシー: RCPs によって最⼤権限が規定された上で きめ細やかにリソースへの アクセス制御をを設定 各 AWS サービスの設定: 宣⾔型ポリシーによって統⼀

29. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.