第86回 雲勉【オンライン：中級者向け】AWS Organizationsで始めるマルチアカウント管理

Transcript

1. 2022/10/13 雲勉@オンライン【勉強会】 AWS Organizationsで始めるマルチアカウント管理

2. ０．講師⾃⼰紹介 2 n ⾼橋修⼀ • クラウドインテグレーション事業部 MSP開発セクション • 経歴 ・QAエンジニア

   1年 ・組み込み開発エンジニア 9年 ・アイレット開発エンジニア 6年 • 好きなAWSサービス ・Lambda、SQS、S3、Athena、DynamoDB shu85t shu85t shu85t shu85t

3. アジェンダ 3 0. ⾃⼰紹介 1. マルチアカウントの利点と考慮点 2. AWS Organizationsとは︖ 3.

   活⽤事例 4. はじめようOrganizations︕ 5.質疑応答(19:50~20:00) AWS Organizations

4. 1. マルチアカウントの利⽤と考慮点 4

5. 1．マルチアカウントの利⽤と考慮点 5 AWS上で複数の環境やワークロードを動かしているとき、 それらを◯◦の観点で独⽴性を担保して分離させたい ・環境 ・開発・テスト・本番など環境を分離したい ・請求 ・部⾨単位やシステム単位でコストを明確に分離して把握したい ・ビジネス推進 ・部⾨単位やシステムごとに適切なガバナンスを分離してかけたい

   ・ワークロード ・セキュリティレベル、サービスレベルが異なるワークロードを分離したい 参照︓https://aws.amazon.com/jp/builders-flash/202007/multi-accounts-best-practice/

6. 1．マルチアカウントの利⽤と考慮点 6 分離する⽅法はどれがいい︖ • リソースの命名規則で分ける︖ • VPCで分ける︖ • リージョンでわける︖ •

   アカウントを分ける︖ AWS account VPC Region prd-serviceA dev-serviceA prd-Sales

7. 1．マルチアカウントの利⽤と考慮点 7 分離する⽅法はどれがいい︖ • リソースの命名規則で分ける︖ • VPCで分ける︖ • リージョンでわける︖ •

   アカウントを分ける︖ AWS account VPC Region prd-serviceA dev-serviceA prd-Sales ベストプラクティス

8. 1．マルチアカウントの利⽤と考慮点 8 n アカウント分割することで実現できること 環境 ・マネージメントコンソール、IAMでの分離が容易。オペレーションのミスによるリスク低減。 ・リージョナル、グローバルリソースも含め分離できる。 課⾦ ・AWSコストはアカウント単位で集計される 同⼀アカウント内でコスト配分タグを使って分類するよりも管理がシンプルになる

9. 1．マルチアカウントの利⽤と考慮点 9 n アカウント分割することで実現できること ビジネス推進 ・部⾨やシステムをアカウント単位で完全分離し、適切なガバナンスをかけることができるため 他部⾨やシステムに影響を与えずビジネス推進を阻害しない ワークロード ・API呼び出しレートやクォータはアカウント毎に独⽴しているので 他のワークロードへの影響を隔離できる

10. 1．マルチアカウントの利⽤と考慮点 10 n マルチアカウントで考慮が必要なこと マルチアカウントにより独⽴した分離が可能となるが そのぶん、アカウントを横断しての状況把握や統制を取るのが難しい (例) ・アカウントを分類して漏れなく必要な制限をかけたい ・アカウントを横断してメンテナンス情報を把握したい ・各ユーザーの各アカウントへのログインや権限の管理

    アカウント数が増え規模が⼤きくなってくると管理コストや複雑性が増⼤ 中央集権的な統制も必要。⾃前でスイッチロールやアシュームロールを駆使するのは⾟い → AWS Organizations

11. 2. AWS Organizationsとは︖ 11

12. 2．AWS Organizationsとは︖ 12 n AWS Organizationsとは︖ 複数のAWSアカウントを組織(Organization)という単位でまとめ⼀元管理できるサービス １つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける。 主な機能 •

    アカウントの階層的なグループ化 = OU(Organization Unit) • 各アカウントがアクセスできるサービスと操作をコントロール = SCP(Service Control Policy) • すべてのメンバーアカウントの⼀括請求(今回は割愛) • 各種AWSサービスとOrganizationsの統合

13. 2．AWS Organizationsとは︖ 13 n OU と SCP ・アカウントの階層的なグループ化 = OU

    ・各アカウントがアクセスできるサービスと操作をコントロール = SCP Root OU: Sandbox OU: Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ Tips: SCPは管理アカウントには適⽤されない

14. 2．AWS Organizationsとは︖ 14 n OU と SCP サンプル︓「OU: Prod」に「SCP: ProductionPolicy」をアタッチ

    Root OU: Sandbox OU: Workloads OU: Prod OU: SDLC SCP: ProductionPolicy アタッチ

15. 2．AWS Organizationsとは︖ 15 n 各種AWSサービスとOrganizationsの統合 Organization内のアカウントに対して ⼀括で横断して対応したAWSサービスの機能を適⽤することができる (対象はアカウント単位で指定したり、OU単位で指定したり)

16. 2．AWS Organizationsとは︖ 16 n 各種AWSサービスとOrganizationsの統合 Account Management Artifact Audit Manager

    Backup CloudFormation Stacksets CloudTrail CloudWatch Events Compute Optimizer Config Control Tower Detective DevOps Guru Directory Service Firewall Manager GuardDuty Health Identity and Access Management IAM Access Analyzer Inspector License Manager Macie Marketplace Resource Access Manager Security Hub S3 Storage Lens Service Catalog Service Quotas IAM Identity Center (SSO) Systems Manager タグポリシー Trusted Advisor VPC IP Address Manager (IPAM) 対応サービス⼀覧 ピンクのサービスは今⽇少し触れます

17. IAM Identity Center (旧名 AWS Single Sign-On) 17

18. 2．AWS Organizationsとは︖ 18 n IAM Identity Center ユーザー毎のアクセス権限を⼀元管理する仕組み 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる AWS

    Account ユーザー or グループ 許可セット 割り当て

19. 2．AWS Organizationsとは︖ 19 n IAM Identity Center ユーザーはIdentity Centerのポータルサイト経由でAWSアカウントにアクセス Tips:

    ポータルサイトのURLは指定のサブドメイン名に変更できるが、１度しか変更できない

20. 3. 活⽤事例 20

21. 某機械加⼯製品販売メーカー様での活⽤ 21

22. 某機械加⼯製品販売メーカー様での活⽤ 22 背景 AWSアカウント数は100以上 ・アカウント毎に１つ１つ統制の制御や設定を⾏うのは⾮効率。 状況把握も個別に⾏うのは管理コストが⾼い。 ・ベンダーごとにアクセス許可すべきアカウント、権限は異なる。 全ての組み合わせ分、アカウント毎に設定するのは膨⼤な管理コストがかかる。 また組織全体としての集約的な管理も必要。 ...

    A社 B社 C社 D社 ... Organizationsを活⽤してマルチアカウント管理！ AWSアカウント群 マルチベンダー体制

23. 某機械加⼯製品販売メーカー様での活⽤ 23 利⽤しているOrganizations統合サービス 今回は ★マークの実例を紹介します Amazon Detective Amazon GuardDuty Amazon

    VPC IP Address Manager AWS Backup AWS Health★ AWS Network Manager AWS Trusted Advisor CloudFormation StackSets★ CloudTrail Compute Optimizer Config Firewall Manager RAM Systems Manager★ Security Hub IAM Identity Center (SSO) S3 Storage Lens Tag policies

24. 某機械加⼯製品販売メーカー様での活⽤ 脆弱性確認エージェントの⼀括導⼊ 24

25. 某機械加⼯製品販売メーカー様での活⽤ 脆弱性確認エージェントの⼀括導⼊ 合計3,000台を超えるEC2に 脆弱性確認エージェントを導⼊したい ... ... ... ... 個別に１アカウントずつ導⼊するのは膨⼤な⼯数がかかる

26. 某機械加⼯製品販売メーカー様での活⽤ 脆弱性確認エージェントの⼀括導⼊ ①CloudFormation StackSets with Organizations ＋ ②Systems Manager with

    Organizations 脆弱性確認エージェント SSM Automationで⼀括導⼊ +

27. 実⾏⽤ロール 某機械加⼯製品販売メーカー様での活⽤ 脆弱性確認エージェントの⼀括導⼊ CloudFormation StackSets + Organizations OU ①CloudFormation StackSetsを使って

    指定OU内の全てのアカウントに Automation実⾏⽤ロールを⼀括デプロイ Organizations統合することで Organizations内のアカウント に⼀度に展開できる 実⾏⽤ロール 実⾏⽤ロール 実⾏⽤ロール 実⾏⽤ロール 実⾏⽤ロール

28. 某機械加⼯製品販売メーカー様での活⽤ 脆弱性確認エージェントの⼀括導⼊ Systems Manager Automation + Organizations OU ②Systems Manager

    + ①で作成したRoleを使って 指定OU内の全てのEC2に⼀括で エージェントインストールのAutomationを実⾏ 展開されたロールを使って OUを指定してAutomationを 実⾏できる

29. 某機械加⼯製品販売メーカー様での活⽤ 脆弱性確認エージェントの⼀括導⼊ 合計3,000台を超えるEC2に 脆弱性確認エージェントの⼀括導⼊を実施完了 ... ... ... ... １つ１つ個別導⼊するのと⽐較して膨⼤なコスト削減！

30. 某機械加⼯製品販売メーカー様での活⽤ ヘルスイベントの表⽰・通知の⼀元化 30

31. 某機械加⼯製品販売メーカー様での活⽤ ヘルスイベントの表⽰・通知の⼀元化 100以上あるAWSアカウントの イベント・メンテ情報を、個別で各々が確認していた ⼀元的に把握・通知したい ... ... ... ... 31

32. 某機械加⼯製品販売メーカー様での活⽤ヘルスイベントの表⽰・通知の⼀元化 イベント・メンテナンス情報を ⼀元的に把握・通知 ①AWS Health with Organizations ＋ ②AWS Health

    Aware + 32

33. 某機械加⼯製品販売メーカー様での活⽤ ヘルスイベントの表⽰・通知の⼀元化 組織内アカウント AWS Health + Organizations 組織内の状態 ・未解決の問題、最近の問題 ・スケジュールされた変更

    ・その他の通知 ・イベントログ 組織内のアカウントを対象 に、AWS Health イベントを 集計できる ①AWS Healthでヘルスイベントを ⼀元的に集計し表⽰ 33

34. 某機械加⼯製品販売メーカーでの活⽤ ヘルスイベントの表⽰・通知の⼀元化 AWS Health + Organizations 組織内の状態 ・未解決の問題、最近の問題 ・スケジュールされた変更 ・その他の通知

    ・イベントログ 34

35. 某機械加⼯製品販売メーカー様での活⽤ ヘルスイベントの表⽰・通知の⼀元化 組織内アカウント AWS Health + Organizations 組織内の状態 ・未解決の問題、最近の問題 ・スケジュールされた変更

    ・その他の通知 ・イベントログ ②集約したイベントを AWS Health Aware (AHA)で Microsoft Teamsへ通知 AHA 35

36. 某機械加⼯製品販売メーカー様での活⽤ ヘルスイベントの表⽰・通知の⼀元化 AWS Health Aware とは https://aws.amazon.com/jp/blogs/news/aws-health-aware-customize-aws-health-alerts-for-organizational-and-personal-aws-accounts/ AHAテンプレート 36

37. 某機械加⼯製品販売メーカー様での活⽤ ヘルスイベントの表⽰・通知の⼀元化 100以上あるAWSアカウントの イベント・メンテ情報の⼀元的な把握・通知を実現 集約 通知 37

38. 某機械加⼯製品販売メーカー様での活⽤ まとめ まとめ 個別対応では膨⼤な管理コストがかかるが 今回の例だけでも、AWS Organizationsの利⽤で ・⼀括でのソフトウェアの導⼊ ・イベント・メンテ情報の⼀元的な把握・通知 を実現しています。 ...

    A社 B社 C社 D社 ... AWSアカウント群 アカウント数100以上サーバー台数 3,000以上 マルチベンダー体制 38

39. アイレット社内開発セクションでの活⽤ (MSP開発セクション) 39

40. MSP開発セクションでの活⽤ 40 背景 AWSアカウント数は10数程度 ・社内サービス毎の「本番アカウント」「ステージングアカウント」「開発アカウント」 ・共通的な 「技術検証⽤アカウント」 ・「サービスを横断してデータを集約・分析しているアカウント」など 各サービスごとに担当者や担当グループが違う。 この規模でも各アカウントの統制や設定を個別に⾏うのはしんどい

    開発ガイドラインや個別の管理やレビュー、テンプレートだけで担保するのが 厳しい部分もある Organizationsを活⽤してマルチアカウント管理！ (を最近始めました) セクション全体で9名 ・セクションリーダー:1名 ・グループリーダー :2名 ・メンバー：6名

41. MSP開発セクションでの活⽤ GuardDutyによる脅威検知 41

42. MSP開発セクションでの活⽤ GuardDutyによる脅威検知 42 GuardDutyによる脅威検知 Organizations統合することで Organizations内のアカウントの 検出結果を⼀覧し、管理できる 脅威検知 (例)Publicアクセス可能な S3バケットの作成を検知

    通知 GuardDuty SNS

43. MSP開発セクションでの活⽤ まとめ 43 まとめ AWSアカウント数は10数程度 個別の管理や設定で担保するのは厳しい部分もOrganizationsを活⽤することで⼀括管理 することができた。 今後、社内やセクション内でのベストプラクティス・ガイドラインをOrganizationsによ る統制で仕組みとして組み込んでいく予定。 ⼤規模だけでなく、⼩〜中規模の組織でもAWS

    Organizationsは有⽤ セクション全体で9名 ・セクションリーダー:1名 ・グループリーダー :2名 ・メンバー：6名

44. 4. はじめようOrganizations︕ 44

45. はじめよう！Organizations 45 はじめかた 組織へアカウントを追加 ・新規AWSアカウントを組織内に作成 ・既存AWSアカウントを組織へ招待 組織の作成 ・組織の作成 ・OUの作成 ・サービスコントロールポリシーの作成

    ・制限のテスト 対応サービスを有効化 ・信頼されたアクセスを有効化 ・(オプション)委任管理者を設定

46. はじめよう！Organizations 46 管理の仕⽅ 管理アカウント利⽤ 委任アカウント利⽤ ※メンバーアカウトを指定して、サービス単位で管理を委任することができる 委任管理に「対応しているサービス」「対応してないサービス」がある(次ページ)

47. はじめよう！Organizations 各サービスの委任可否 Account Management Artifact Audit Manager Backup CloudFormation Stacksets

    CloudTrail CloudWatch Events Compute Optimizer Config Control Tower Detective DevOps Guru Directory Service Firewall Manager GuardDuty Health Identity and Access Management IAM Access Analyzer Inspector License Manager Macie Marketplace Resource Access Manager Security Hub S3 Storage Lens Service Catalog Service Quotas IAM Identity Center (SSO) Systems Manager タグポリシー Trusted Advisor VPC IP Address Manager (IPAM) ⽔⾊が委任可能サービス https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html 47

48. アイレットのメニュー紹介 48

49. はじめよう！Organizations 49 AWS請求代⾏+Organizations

50. はじめよう！Organizations 50 AWS請求代⾏

51. はじめよう！Organizations 51 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS アカウントを移管して利⽤できます。

52. はじめよう！Organizations 52 AWS請求代⾏+Organizations

53. はじめよう！Organizations 53 請求代⾏+Organizations 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 10万円 ⽉額⽤(固定)

    2万円 委任管理が可能なOrganizations連携サービスを利⽤可能※ ※⼀部を除く(AWS Account Management) 管理アカウントを直接利⽤いただける提供パターン も今後リリース予定(委任アカウント利⽤から移⾏可能)

54. はじめよう！Organizations 請求代⾏+Organizationsで 統合して利⽤可能なサービス (2022/10/13時点) Account Management Artifact Audit Manager Backup

    CloudFormation Stacksets CloudTrail CloudWatch Events Compute Optimizer (利⽤可能にする予定) Config Control Tower Detective DevOps Guru Directory Service Firewall Manager GuardDuty Health Identity and Access Management IAM Access Analyzer Inspector License Manager Macie Marketplace Resource Access Manager Security Hub S3 Storage Lens Service Catalog Service Quotas IAM Identity Center (SSO) Systems Manager タグポリシー Trusted Advisor VPC IP Address Manager (IPAM) ⽔⾊が委任可能サービス ⾚⽂字が利⽤可能サービス https://cloudpack.jp/lp/aws-organizations/ 54

55. はじめよう！Organizations 55 請求代⾏ 請求代⾏ + Organizations AWS利⽤料 3%割引 3%割引 権限

    Administrator権限をお渡し ⼀部制限事項あり (IAMユーザー) Administrator権限をお渡し ⼀部制限事項あり (Identity Center(SSO) マルチアカウントユーザー) リザーブドインス タンス 購⼊ ◯ ◯ Saving Plans購 ⼊ ◯ ◯ AWS Organizations 機能 × ◯ 初期費⽤ 0円 10万円 ⽉額⽤(固定) 0円 2万円 ・既に請求代⾏を利⽤いただいている客様 ・未だ請求代⾏を利⽤いただいていないお客様 どちらも請求代⾏+Organizationsを利⽤いただけます。 請求代⾏adv.からは直接移⾏できませんので、お問い合わせ・ご相談ください。

56. はじめよう！Organizations 56 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/

57. まとめ 57

58. まとめ 58 ・マルチアカウントは環境やワークロードを分離する⽅法のベストプラクティス ・Organizationsを使えばアカウントを「組織」や「OU」でまとめ⼀元管理できる 統合できるAWSサービスも多い ・ Organizationsは⼤規模だけでなく中〜⼩規模でも有⽤ ・ AWSやOrganizationsをお得に使うには Iretの請求代⾏+Organizationsをチェック

59. 5. 質疑応答 59