jaws-ug-tohoku-multi-account-tips

マルチアカウント運用Tips 2021.02.24 @beaverjr +"846(50)0,6

- 株式会社エスツーインフラテクノロジー部エンジニア - AWS含めたインフラの設計業務担当 - 本日人生初登壇です!! よろしくお願いします髙田
絵梨花 @beaverjr

本日の内容 - マルチアカウント構成の運用改善に向けて調査や検証を進める中で、活用できそうだと感じたサービス等の概要についてお話します。

マルチアカウントとは?? 1つの会社や組織で複数のアカウントを使用すること。 Account Account Account AWSアカウントとは - AWS環境(セキュリティ、ガバナンス、リソース)の分割単位 -
AWS課金(コスト)の分割単位マルチアカウントにより、これらを分離した構成となる。

マルチアカウント構成のメリットの例 - 本番・開発環境のコンソールが明示的に分かれることにより、オペレーションミスなどのリスクへの対策 (環境の分離) - アカウント単位でコストが明確に分離できる (コストの分離) ※同一アカウントの場合、コスト配分タグでの集計などが必要

マルチアカウント構成の課題 - 複雑なセキュリティポリシーが必要 - アカウント間の課金の取りまとめや配賦管理 - 組織・事業拡大に伴いアカウント数が増えると構築、運用工数が増加

マルチアカウント構成の課題 - 複雑なセキュリティポリシーが必要 - アカウント間の課金の取りまとめや配賦管理 - 組織・事業拡大に伴いアカウント数が増えると構築、運用工数が増加　→本日はこちらにフォーカス

AWS Organizations 複数のアカウントを組織化し、一元管理するためのサービス - 1つのアカウントを組織の管理アカウントとして、その他のメンバーアカウントを管理 - 複数AWSアカウントの一括請求 -
OU(組織単位)でAWSアカウントをグループ化してポリシーを適用マルチアカウント運用のためのサービス

今回の検証環境 - アカウントA：Organizationsの管理アカウント - アカウントB,C,D：メンバーアカウント Core OU配下に所属

Tips: AWS SSOでログイン、ユーザー管理を便利に!!

AWS Single Sign-On(SSO) 昨年9月に東京リージョンにローンチ AWSアカウントやビジネスアプリケーションへのSSOアクセスを一元管理 - AWS Organizationsにあるすべてのアカウントに対するアクセスと、ユーザーアクセス
許可を一元管理可能 - AWS CLI v2と統合 - SSOでのアカウント管理のほか、 Active Directoryなど既存のアイデンティティソースにも接続可能 (今回はSSOで管理)

ユーザーポータルのURL ユーザーポータルのURL。カスタマイズも可能

アカウントA（管理アカウント）アカウントB（メンバーアカウント）ユーザーポータルログイン後の画面マネジメントコンソール or 有効期限付きAWSクレデンシャルの払い出し 1度AWS SSOにログインすれば、セッションが切れるまでの間はアカウントの切り替えは容易アカウントC（メンバーアカウント）

AWS CLI v2での利用 BXTDPOpH <QSPpMFϓϩϑΝΠϧ໊> TTP@TUBSU@VSMIUUQTϢʔβʔϙʔλϧͷ63- TTP@SFHJPO440ͷϦʔδϣϯ TTP@BDDPVOU@JEΞΧ΢ϯτ*% TTP@SPMF@OBNF"ENJOJTUSBUPS"DDFTT
SFHJPOίϚϯυΛ࣮ߦ͢ΔσϑΥϧτͷ Ϧʔδϣϯ - AWS CLI v2はAWS SSOと連携 - .aws/conﬁgに左のようにプロファイルを設定 (aws conﬁgure ssoコマンドでの設定も可能) - AWSクレデンシャルをファイルに書く必要がない

AWS CLI v2での利用 % aws sso login --profile プロファイル名 Attempting
to automatically open the SSO authorization page in your default browser. If the browser does not open or you wish to use a different device to authorize this request, open the following URL: https://device.sso.ap-northeast-1.amazonaws.com/ Then enter the code: XXXX-XXXX Successully logged into Start URL:ユーザーポータルのURL - aws sso loginコマンドを実行するとブラウザの認可画面に遷移する。認可画面でAWS SSOへのログイン・認可するとアクセストークンが取得される - profile毎にsso loginする必要はない

嬉しいポイント - 各アカウントごとにログイン用のIAMユーザを作成する必要がない - アカウントの切り替えが容易 - AWSクレデンシャルを設定ファイルに記載する必要がない -
入退社時等のユーザー追加・削除・変更が容易まとめ

Tips: AWS CloudFormation StackSetsで設定を一括適用!!

AWS CloudFormation StackSets 複数のAWSアカウント、リージョンに対してCFnのスタックを作成できる

CFn StackSetsのセットアップ画面 Organizationsの管理アカウントで設定を実施今回はAWS Conﬁgの有効化＋ROOT_ACCOUNT_MFA_ENABLEDのルール設定をCFn StackSetsで実施

Organizationsと連携組織内のアカウントへ自動デプロイが可能

組織へのデプロイ or OUへのデプロイを選択可能アカウント追加時の自動デプロイ設定アカウント追加時のスタック削除設定

デプロイが完了したStackSetsの詳細画面アカウントB（メンバーアカウント）アカウントC（メンバーアカウント） ※管理アカウント自身には別途StackやStackSetsを使ってデプロイする必要がある

メンバーアカウントにログインすると、AWS Conﬁgの設定が完了している

組織に新しくアカウントを追加すると、同様に自動でデプロイされる rootアカウントのMFAを設定していないので非準拠 ※1つのアカウントに対して指定する自動デプロイStackSetsは１つだけにすることを推奨（StackSetsの依存関係を記述できないため）

- 設定の自動化により工数削減 - 確実に共通の設定をデプロイできる(設定もれが起きない) - AWSアカウントの追加・削除時にも自動で共通設定のデプロイや削除が可能嬉しいポイントまとめ

Tips: AWS Chatbotで通知を便利に!!

AWS Chatbot SlackまたはAmazon Chimeに各種AWSサービスに関する通知を簡単に送ることが可能

&WFOU#VT &WFOU#VT &WFOU#VT 4/45PQJD $IBUCPU マルチアカウントで発生するイベントをまとめて通知管理アカウント： - Chatbot・SNSの設定 -
EventBusで他アカウントからChatbotへイベントを仲介メンバーアカウント： - EventBusで管理アカウントへイベントを送出 - 今回はAWS Conﬁgの準拠・非準拠の変化を通知

- OAuthによる認可で ChatbotとSlackをつなぐ。設定は数クリックのみ - Organizationの管理アカウントで設定 Slackとの連携

アカウントD（メンバーアカウント）アカウントDのroot MFAを有効にすると、MFAのルールが非準拠→準拠にかわり、COMPLIANTの通知がSlackに届く

- 複数アカウントのイベント通知ををSlackで受け取ることが可能 - 数クリックで設定でき、複雑なコードなどが必要ない - (マルチアカウントとは関係ないが)通知が見やすい👀 嬉しいポイントまとめ

Tips: AWS Organizationsと連携して使用できるサービスを把握、キャッチアップする

"84"SUJGBDU "84#BDLVQ "84$MPVE'PSNBUJPO4UBDL4FUT "84$MPVE5SBJM "NB[PO$MPVE8BUDI&WFOUT
"84$POpH "84$POUSPM5PXFS "NB[PO(VBSE%VUZ "844FDVSJUZ)VC "84440 "844ZTUFNT.BOBHFS ʜ 様々なサービスがAWS Organizationsと連携して使用可能 - AWSのブログ、RSS、Twitterなどで最新情報をキャッチアップする - 左に記載した以外にも様々なサービスが Organizationsと連携して使用可能

AWS Personal Health Dashboardが Organizationsに対応 - re:Invent 2020で発表されたアップデート -
管理アカウントから、組織全体で発生した全てのHealthイベントを表示・確認可能

本日のまとめ - AWS Organizationsと連携してマルチアカウントの運用面を改善できそうなサービスが充実している🙌 - 日々アップデートされるAWSのサービスをキャッチアップ・検証し改善につなげることが重要

公式参考資料 https://docs.aws.amazon.com/ja_jp/ - AWS公式ドキュメント - AWSにおけるマルチアカウント管理の手法とベストプラクティス IUUQTEBXTTUBUJDDPNFWFOUTKQTVNNJUTMJEF%5QEG IUUQTQBHFTBXTDMPVEDPNST5;.JNBHFT#QEG - マルチアカウント運用での権限移譲と統制の両立

jaws-ug-tohoku-multi-account-tips

jaws-ug-tohoku-multi-account-tips

beaverjr

More Decks by beaverjr

Other Decks in Technology

Featured

Transcript

マルチアカウント運用Tips 2021.02.24 @beaverjr +"846(50)0,6

- 株式会社エスツーインフラテクノロジー部エンジニア - AWS含めたインフラの設計業務担当 - 本日人生初登壇です!! よろしくお願いします髙田

本日の内容 - マルチアカウント構成の運用改善に向けて調査や検証を進める中で、活用できそうだと感じたサービス等の概要についてお話します。

マルチアカウントとは?? 1つの会社や組織で複数のアカウントを使用すること。 Account Account Account AWSアカウントとは - AWS環境(セキュリティ、ガバナンス、リソース)の分割単位 -

マルチアカウント構成の課題 - 複雑なセキュリティポリシーが必要 - アカウント間の課金の取りまとめや配賦管理 - 組織・事業拡大に伴いアカウント数が増えると構築、運用工数が増加

マルチアカウント構成の課題 - 複雑なセキュリティポリシーが必要 - アカウント間の課金の取りまとめや配賦管理 - 組織・事業拡大に伴いアカウント数が増えると構築、運用工数が増加　→本日はこちらにフォーカス

AWS Organizations 複数のアカウントを組織化し、一元管理するためのサービス - 1つのアカウントを組織の管理アカウントとして、その他のメンバーアカウントを管理 - 複数AWSアカウントの一括請求 -

今回の検証環境 - アカウントA：Organizationsの管理アカウント - アカウントB,C,D：メンバーアカウント Core OU配下に所属

Tips: AWS SSOでログイン、ユーザー管理を便利に!!

AWS Single Sign-On(SSO) 昨年9月に東京リージョンにローンチ AWSアカウントやビジネスアプリケーションへのSSOアクセスを一元管理 - AWS Organizationsにあるすべてのアカウントに対するアクセスと、ユーザーアクセス

ユーザーポータルのURL ユーザーポータルのURL。カスタマイズも可能

AWS CLI v2での利用 BXTDPOpH <QSPpMFϓϩϑΝΠϧ໊> TTP@TUBSU@VSMIUUQTϢʔβʔϙʔλϧͷ63- TTP@SFHJPO440ͷϦʔδϣϯ TTP@BDDPVOU@JEΞΧ΢ϯτ*% TTP@SPMF@OBNF"ENJOJTUSBUPS"DDFTT

AWS CLI v2での利用 % aws sso login --proﬁle プロファイル名 Attempting

嬉しいポイント - 各アカウントごとにログイン用のIAMユーザを作成する必要がない - アカウントの切り替えが容易 - AWSクレデンシャルを設定ファイルに記載する必要がない -

Tips: AWS CloudFormation StackSetsで設定を一括適用!!

AWS CloudFormation StackSets 複数のAWSアカウント、リージョンに対してCFnのスタックを作成できる

CFn StackSetsのセットアップ画面 Organizationsの管理アカウントで設定を実施今回はAWS Conﬁgの有効化＋ROOT_ACCOUNT_MFA_ENABLEDのルール設定をCFn StackSetsで実施

Organizationsと連携組織内のアカウントへ自動デプロイが可能

組織へのデプロイ or OUへのデプロイを選択可能アカウント追加時の自動デプロイ設定アカウント追加時のスタック削除設定

デプロイが完了したStackSetsの詳細画面アカウントB（メンバーアカウント）アカウントC（メンバーアカウント） ※管理アカウント自身には別途StackやStackSetsを使ってデプロイする必要がある

メンバーアカウントにログインすると、AWS Conﬁgの設定が完了している

- 設定の自動化により工数削減 - 確実に共通の設定をデプロイできる(設定もれが起きない) - AWSアカウントの追加・削除時にも自動で共通設定のデプロイや削除が可能嬉しいポイントまとめ

Tips: AWS Chatbotで通知を便利に!!

AWS Chatbot SlackまたはAmazon Chimeに各種AWSサービスに関する通知を簡単に送ることが可能

&WFOU#VT &WFOU#VT &WFOU#VT 4/45PQJD $IBUCPU マルチアカウントで発生するイベントをまとめて通知管理アカウント： - Chatbot・SNSの設定 -

- OAuthによる認可で ChatbotとSlackをつなぐ。設定は数クリックのみ - Organizationの管理アカウントで設定 Slackとの連携

アカウントD（メンバーアカウント）アカウントDのroot MFAを有効にすると、MFAのルールが非準拠→準拠にかわり、COMPLIANTの通知がSlackに届く

- 複数アカウントのイベント通知ををSlackで受け取ることが可能 - 数クリックで設定でき、複雑なコードなどが必要ない - (マルチアカウントとは関係ないが)通知が見やすい👀 嬉しいポイントまとめ

Tips: AWS Organizationsと連携して使用できるサービスを把握、キャッチアップする

"84"SUJGBDU "84#BDLVQ "84$MPVE'PSNBUJPO4UBDL4FUT "84$MPVE5SBJM "NB[PO$MPVE8BUDI&WFOUT

AWS Personal Health Dashboardが Organizationsに対応 - re:Invent 2020で発表されたアップデート -

本日のまとめ - AWS Organizationsと連携してマルチアカウントの運用面を改善できそうなサービスが充実している🙌 - 日々アップデートされるAWSのサービスをキャッチアップ・検証し改善につなげることが重要