Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Towerと HashiCorp Terraformでいい感じにマルチ...

chadain
June 06, 2024
Technology
1
1.3k

AWS Control Towerと HashiCorp Terraformでいい感じにマルチアカウント管理をしよう

chadain

June 06, 2024
Tweet

More Decks by chadain

See All by chadain
Account Factory for Terraform (AFT) 入門

chazuke4649
1
1.7k
minimum-guardrails-by-aws-iam
chazuke4649
1
2.1k
"Are you Well-Architected?" Introducing about Cloud Optimization Aseesment
chazuke4649
0
1k
re:GrowthOSAKA2019-CoreServicesUpdate(IAM.S3.EC2)
chazuke4649
0
1.5k
How to think about Acsess controll of Amazon S3 simply
chazuke4649
1
1.8k

Other Decks in Technology

See All in Technology
『AWS Distinguished Engineerに学ぶ リトライの技術』 #ARC403/Marc Brooker on Try again: The tools and techniques behind resilient systems
quiver
0
130
All you need to know about InnoDB Primary Keys
lefred
0
120
オブザーバビリティの観点でみるAWS / AWS from observability perspective
ymotongpoo
7
1k
Classmethod AI Talks(CATs) #15 司会進行スライド(2025.02.06) / classmethod-ai-talks-aka-cats_moderator-slides_vol15_2025-02-06
shinyaa31
0
170
家電アプリ共通PF "Linova" のAPI利用とPostman活用事例ご紹介
yukiogawa
0
130
君はPostScriptなウィンドウシステム 「NeWS」をご存知か?/sunnews
koyhoge
0
720
10分で紹介するAmazon Bedrock利用時のセキュリティ対策 / 10-minutes introduction to security measures when using Amazon Bedrock
hideakiaoyagi
0
170
Developer Summit 2025 [14-D-1] Yuki Hattori
yuhattor
19
5.1k
個人開発から公式機能へ: PlaywrightとRailsをつなげた3年の軌跡
yusukeiwaki
11
2.7k
Ask! NIKKEIの運用基盤と改善に向けた取り組み / NIKKEI TECH TALK #30
kaitomajima
1
450
トラシューアニマルになろう ~開発者だからこそできる、安定したサービス作りの秘訣~
jacopen
2
1.5k
CZII - CryoET Object Identification 参加振り返り・解法共有
tattaka
0
240

Featured

See All Featured
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Why Our Code Smells
bkeepers
PRO
335
57k
Building Better People: How to give real-time feedback that sticks.
wjessup
366
19k
A Philosophy of Restraint
colly
203
16k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
132
33k
GitHub's CSS Performance
jonrohan
1030
460k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.8k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
7
630
Building an army of robots
kneath
302
45k
KATA
mclloyd
29
14k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.5k
The Art of Programming - Codeland 2020
erikaheidi
53
13k

Transcript

  1. AWS Control Towerと
 HashiCorp Terraformで
 いい感じにマルチアカウント管理をしよう
 1

  2. • なぜ AWS Control Tower × Terraform ? • Terraformで操作可能なマルチアカウント管理サービスについて

    • Account Factory for Terraform (AFT)について 目次

  3. • 名前: ちゃだいん • 所属: AWS事業本部コンサルティング部 • 役割: ソリューションアーキテクト •

    拠点: 大阪 • 好きなサービス: AWS, Terraform • 趣味: 立ち呑みめぐり • X(Twitter): @chazuke4649 • Japan AWS Top Engineers 2022,2023 自己紹介

  4. なぜ AWS Control Tower × HashiCorp Terraform なのか?

  5. AWS Control Tower を採用する局面 • 中・大規模なAWS環境 • 本格的にマルチアカウント戦略やっていきたい • セキュリティ・ガバナンスを担保する共通基盤

    設定ミス・オペミスは影響範囲大のリスク... →だから、IaC/GitOpsによって安全・信頼性のあるオペレーションを行いたい

  6. ベストIaCツール for Platformチーム *個人の感想 • 誰が書いても同じような記述になる(HCLの特性) ◦ 属人化リスク低 ◦ 説明・引き継ぎがカンタン

    • インフラ設定の見える化/コード化に最適 ◦ ベタ書きなら、まさに「この通り設定してます」の証明になり一目瞭然(精神衛生上◎) ◦ 抽象的な記述による暗黙的なリソース生成が少ない ▪ モジュールによる再利用化も可能 • 余談: Platformチーム ≒ インフラ/情シス/共通基盤/CCoE チーム

  7. Platformチームが管理するのはAWSだけじゃない • ユーザー/ID基盤(Okta, OneLogin, Azure AD) • DevOps(Kubenetes, GitHub, GitLab)

    • 監視(New Relic, Data Dog, Mackerel) • セキュリティ(Snyk, Dome9) • etc … →全てTerraformで一元的に管理可能

  8. Terraformで操作可能な マルチアカウント管理サービス

  9. AWS Organizations 管理可能なリソース例 • AWSアカウント aws_organizations_account • OU aws_organizations_organizational_unit •

    ポリシー aws_organizations_policy ◦ SCP, バックアップポリシー , タグポリシー etc

  10. 例: OUにSCPを アタッチする

  11. AWS IAM Identity Center 管理可能なリソース例 • SSO Admin ◦ アクセス権限セット

    aws_ssoadmin_permission_set etc • SSO Identity Store ◦ SSOグループ aws_identitystore_group ◦ SSOユーザー aws_identitystore_user

  12. 例: SSOユーザーを作 成する

  13. 例: アクセス権限セット を作成する

  14. 例: 外部IdPで ユーザーを管理する https://registry.terraform.io/providers/okta/okta/latest/docs/resources/user https://registry.terraform.io/providers/hashicorp/azuread/latest/docs/resources/user

  15. AWS Control Tower 管理可能なリソース例 • コントロール(ガードレール)aws_controltower_control • ランディングゾーン aws_controltower_landing_zone NEW!!

  16. 例: WorkloadsOUに 特定のコントロールを 適用する

  17. 例: ランディングゾーン を有効化する 注意)現時点(2024.5)ではバグがあるた め本番利用は非推奨 https://dev.classmethod.jp/articles/setup-landing-z one-using-terraform/

  18. Account Factory for Terraform (AFT)

  19. Account Factory for Terraform (AFT) とは? • AWS Control Tower

    を補完/拡張する代表的なカスタマイズソリューション • re:Invent 2021にてv1.0.0がリリース(最新版はv1.12.2) • 実体はAWSサービスの集合体 + Terraform ◦ Terraform Registry で公開されている ✖
  20. None

  21. AFTの特徴 • AWS Control Tower管理下のAWSアカウント発行をGitOpsに実行できる ◦ しかも複数AWSアカウントを一度にリクエスト可能 ◦ 注意点)AWS OrgnaizationsでAWSアカウントを発行する(素の状態)

    ≠ AWS Control TowerでAWSアカウン トを発行する(ガードレールが効いている状態) • AWSアカウント発行時のベースライン(初期設定)自動化がカンタン ◦ ベースラインをTerraform、あるいは、Python/AWS CLIで設定可能 ◦ 自前実装は開発・メンテが大変 →AWS Control TowerをTerraformなIaCベースで運用することが可能!

  22. AFTの利用方法 1. AWSアカウントを発行する 2. AWSアカウントをカスタマイズする

  23. 1. AWSアカウントを発行する

  24. None

  25. AWSアカウントを 発行する

  26. 2. アカウントをカスタマイズする

  27. None

  28. AWSアカウントをカス タマイズする(1)

  29. AWSアカウントをカス タマイズする(2)

  30. 詳細は、弊社ブログDevelopersIOのaftタグで検索 https://dev.classmethod.jp/tags/account-factory-for-terraform-aft/

  31. None