Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー管...

Avatar for atpons atpons
January 30, 2025
Programming
1
440

AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー管理からの脱却

2025クラウドガバナンスはこう変わる!マルチアカウント運用のre:Invent最新情報と活用例 での発表資料です。
Avatar for atpons

atpons

January 30, 2025
Tweet

More Decks by atpons

See All by atpons
TLSから見るSREの未来
Avatar for atpons atpons
2
250
Securing Credentials for Package Manager and Bundler
Avatar for atpons atpons
0
120
コピペでQualys SSL Server Test A+ ゲットだぜ!
Avatar for atpons atpons
0
150

Other Decks in Programming

See All in Programming
GPUを計算資源として使おう!
Avatar for prime number primenumber
1
200
AIプログラマーDevinは PHPerの夢を見るか?
Avatar for Shinya Saita shinyasaita
1
240
「テストは愚直&&網羅的に書くほどよい」という誤解 / Test Smarter, Not Harder
Avatar for Munetoshi Ishikawa munetoshi
0
190
なんとなくわかった気になるブロックテーマ入門/contents.nagoya 2025 6.28
Avatar for Chiaki Okamoto chiilog
1
280
なぜ適用するか、移行して理解するClean Architecture 〜構造を超えて設計を継承する〜 / Why Apply, Migrate and Understand Clean Architecture - Inherit Design Beyond Structure
Avatar for shiro seike seike460
PRO
3
790
状態遷移図を書こう / Sequence Chart vs State Diagram
Avatar for Kuniwak orgachem
PRO
2
170
Agentic Coding: The Future of Software Development with Agents
Avatar for Armin Ronacher mitsuhiko
0
120
PostgreSQLのRow Level SecurityをPHPのORMで扱う Eloquent vs Doctrine #phpcon #track2
Avatar for Hiromi Hishida 77web
2
570
dbt民主化とLLMによる開発ブースト ~ AI Readyな分析サイクルを目指して ~
Avatar for yosh_yumyum yoshyum
3
1.1k
PHP 8.4の新機能「プロパティフック」から学ぶオブジェクト指向設計とリスコフの置換原則
Avatar for 武田 憲太郎 kentaroutakeda
2
1k
Rails Frontend Evolution: It Was a Setup All Along
Avatar for Svyatoslav Kryukov skryukov
0
250
LT 2025-06-30: プロダクトエンジニアの役割
Avatar for Keisuke Yamamoto yamamotok
0
820

Featured

See All Featured
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
19k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
70k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
37
2.8k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
1
440
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
328
39k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
29
9.6k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.4k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
980
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.7k

Transcript

  1. AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー 管理からの脱却 2025クラウドガバナンスはこう変わる!マルチアカウント運用の re:Invent最新情報と活用例 2025/1/30

    STORES 株式会社 テクノロジー部門 技術推進本部 浅野 大我

  2. 自己紹介 2 浅野 大我 (Taiga Asano) / @atpons STORES 株式会社

    テクノロジー部門 技術推進本部 エンジニア 社内で利用するパブリッククラウドや SaaS を管理しています

  3. STORES の事業 お店のデジタルを まるっとサポート。 個人や中小事業の方々に向けて、 お店のデジタル化をまるっと 実現できる価値を提供しています。

  4. 本日話すこと - STORES におけるAWS Organizations・IAM Identity Centerの現状 - STORES におけるルートユーザー管理の課題

    - ルートユーザーの削除対応にあたって行ったこと - 導入後の変化 4

  5. STORES におけるAWS Organizations・IAM Identity Centerの現状 5 - 10数個の AWS アカウントを運用中

    - プロダクト、環境ごとに AWS アカウントが存在 - AWS Organizations による管理と IAM Identity Center によるシングル サインオンを導入済み - アカウントの払い出しが簡単、コスト管理がしやすい、セキュリティ設定が容易などの メリット 管理アカウント メンバーアカウントA メンバーアカウントB メンバーアカウントC SSO

  6. STORES におけるAWS Organizations・IAM Identity Centerの現状 6 - IAM Identity Center

    の権限セットやポリシーは、AWS アカウント横断で 技術推進本部が管理 - AWS Organizations / IAM Identity Center の設定は IaC で管理 - 必要に応じて各アカウント利用者にファイルに追記、削除してもらい、自動的に適用するこ とで、追加・削除はセルフサービスで実施 メンバーアカウントA 権限セットα 自動反映 追加/削除 技術推進本部管理

  7. STORES におけるルートユーザー管理の課題 7 - IAM ユーザーは IAM Identity Center で運用出来ている!でも・・・

    - ルートユーザーは IAM Identity Center の管理外 - 当然出来ることが多いので GuardDuty などによる監視も必要 - パスワードとMFAデバイスを技術推進本部で管理 - 利用者側での管理は不要な一方、アカウントが増えるにつれて管理が煩雑に 技術推進本部管理 アカウントA ルートユーザー アカウントB ルートユーザー ・・・ なんでも 出来る SSOできない ので管理大変

  8. 増えるアカウントとルートユーザーの管理に一筋の光 ルートアクセスの一元管理 が 2024/11/15 にリリース 8 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ ・ルートユーザーの削除(新規作成時にルートユーザーも作成されない) ・ルートユーザーしかできない特権アクションの一部が管理アカウントから可能に うれしい

  9. ルートユーザーの削除対応にあたって行ったこと - テスト用のメンバーアカウントで先にルートユーザーの削除を実施 (公開後 すぐ) - AWS コンソールでルートアクセスの一元管理のページを見ると IAM の

    GetAccountSummary API が各アカウントに飛んでしまうことが判明 - 各アカウントで GuardDuty などで検知してしまうことが分かったので、事前に調整 - 削除後に対応できなくなる特権操作をしておく (3 日) - ルートアクセスの一元管理では非対応の特権操作がある - 後でルートユーザーを元に戻すことも可能だが、先に済ませておく - 今回はアカウントエイリアスの変更をしたいアカウントがあったので、先んじて対応した - 各アカウント管理者への連絡 (1-2 週間) - ルートユーザーのアクセスキーなどを利用していないか確認 9 2024/12/2 に AWS コンソールからルートユーザーの削除を実施!

  10. 導入後の変化 10 良かったこと - ルートユーザーのパスワード管理、MFA デバイスの管理が不要に! - 新規メンバーアカウントの払い出し時に、ルートユーザーの作成が不要に! 通知の変化 -

    Security Hub の各セキュリティ基準の一部コントロール (Hardware MFA should be enabled for the root user) が失敗するようになってしまった - ルートアクセスの一元管理に対応できていなかったことが原因 - すべて削除しているので、コントロールの無効化を実施

  11. まとめ 11 - STORES では AWS Organizations と IAM Identity

    Center による効率化し たマルチアカウント管理を行っています - 一方、ルートユーザーは権限の大きさや MFA デバイスの管理が必要となって おり、課題となっていました - ルートアクセスの一元管理の有効化と、ルートユーザーの削除により、大幅に 管理コストを削減することができました AWS Organizations とルートアクセスの一元管理で、より楽な マルチアカウント管理をしていきましょう!