Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230215_JAWS-UG_asakai_ControlTower
Search
h-ashisan
February 15, 2023
Technology
2
2.8k
20230215_JAWS-UG_asakai_ControlTower
h-ashisan
February 15, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
370
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
320
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
710
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.5k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
740
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
670
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
780
20240724_cm_odyssey_hibiyatech
hiashisan
0
520
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.3k
Other Decks in Technology
See All in Technology
Claude Codeベストプラクティスまとめ
minorun365
53
30k
一番人に近いコードレビューア CodeRabbit
kinopeee
0
120
開発メンバーが語るFindy Conferenceの裏側とこれから
sontixyou
2
390
みんなだいすきALB、NLBの 仕組みから最新機能まで総おさらい / Mastering ALB & NLB: Internal Mechanics and Latest Innovations
kaminashi
0
140
Regional_NAT_Gatewayについて_basicとの違い_試した内容スケールアウト_インについて_IPv6_dual_networkでの使い分けなど.pdf
cloudevcode
1
180
「AIでできますか?」から「Agentを作ってみました」へ ~「理論上わかる」と「やってみる」の隔たりを埋める方法
applism118
13
8.6k
BiDiってなんだ?
tomorrowkey
2
510
EventBridge API Destination × AgentCore Runtimeで実現するLambdaレスなイベント駆動エージェント
har1101
7
280
re:Inventで出たインフラエンジニアが嬉しかったアップデート
nagisa53
4
230
メルカリのAI活用を支えるAIセキュリティ
s3h
7
5.4k
新規事業における「一部だけどコア」な AI精度改善の優先順位づけ
zerebom
0
430
あたらしい上流工程の形。 0日導入からはじめるAI駆動PM
kumaiu
4
590
Featured
See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
3.9k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
420
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
9.8k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
How to build a perfect <img>
jonoalderson
1
4.9k
My Coaching Mixtape
mlcsv
0
43
Skip the Path - Find Your Career Trail
mkilby
0
50
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
810
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
51
エンジニアに許された特別な時間の終わり
watany
106
230k
Transcript
AWSのマルチアカウント戦略と AWS Control Tower クラスメソッド株式会社 芦沢広昭(あしさん) 1
2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属:クラスメソッド株式会社 • 在住:東京 • 業務:AWS設計構築・コンサルティング
• 好きなAWSサービス:AWS Security Hub 自己紹介
3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control
Towerの機能およびアップデート紹介
4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順
5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ
6 1. AWSのマルチアカウント戦略について
7 AWS環境の『分離』 どうやっていますか?
8 大きく分けると... シングルアカウント vs マルチアカウント
9 結局どっちがいいの?
10 結論 From AWS 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf
11 なぜそう言い切れるの? - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限(クオータ)を環境毎に分離できない
- 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、 マルチアカウントアーキテクチャが推奨されている
12 マルチアカウント運用、開始 シングルアカウントの辛みは解消!!!! 完全解決!!!
13 しかし、運用していくにつれて... あれ、結局辛くないか???
14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題
- 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .
15 AWS Organizationsとは? マルチアカウントの一元管理、アカウントの自動作成、一括 請求、AWSの他サービスとの統合など多くの機能でマルチア カウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する
16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 - etc. . .
17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 → 解決できそうなことはわかった! だけど...
18 残っている大きな問題 辛みを解消する各サービスを どのように設計・実装すれば良い?
19 解決策の1つ
20 「マルチアカウント戦略」がよくわかるブログ 参考リンク:https://dev.classmethod.jp/articles/why-aws-multi-accounts/
21 2. AWS Control Towerとは?
22 AWS Control Towerとは? 事前の学習コストなしで、ベストプラクティスに基づくマルチ アカウント環境を数クリック・短時間で構築できるマネージド サービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける!
23 Control Towerが構築するAWS環境(構成図) 参考リンク:https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html
24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory
25 ガードレール?
26 ガードレール ・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できない ように制限(=予防)できる ガードレール
・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した 場合に検知(=発見)できる ガードレール → Control Tower独自のセキュリティ基準に基づいた リソースの集まり(プリセット)が簡単に利用できる
27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard( hooks)で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ
ングを抑止できるガードレール - 参考ブログ: - [アップデート]非準拠リソースのプロビジョニングを抑止できる!AWS Control Towerでプロアクティブなガードレールが利用可能になりまし た #reinvent 🌟re:Invent 2022アップデート
28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展 開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control
Towerカスタマイズソリューション(CfCT) - Account Factory For Terraform(AFT) - Account Factory Customization(AFC)
29 Account Factoryのカスタマイズ(CfCT) ・Control Towerカスタマイズソリューション(CfCT) - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationス タックおよびSCPを展開できるようにする仕組み 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf
30 Account Factoryのカスタマイズ(AFT) ・Account Factory For Terraform(AFT) - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)
で実行できるようになる仕組み 参考リンク:https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/
31 Account Factoryのカスタマイズ(AFC) ・Account Factory Customization(AFC) - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい
- デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート
32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -
Active Directory、Okta、OneLoginなど、オンプレミス環境で利 用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある
33 その他、追加でやるべきこと(参考ブログ) 参考リンク:https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/
34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティ ス - Control Towerによって運用のスタートラインに短時間で到 達できる -
Control Towerは最低限の設定であり追加の設定は必須
35
hiashisan
minorun365
kinopeee
.jpeg){kind=avatar}
sontixyou
kaminashi
cloudevcode
applism118
tomorrowkey
har1101
nagisa53
s3h
zerebom
kumaiu
aki_iinuma
ipullrank
reverentgeek
mongodb
keavy
jonoalderson
mlcsv
mkilby
wjessup
tammyeverts
livdayseo
watany
