Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230215_JAWS-UG_asakai_ControlTower
Search
h-ashisan
February 15, 2023
Technology
2
2.6k
20230215_JAWS-UG_asakai_ControlTower
h-ashisan
February 15, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
68
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.3k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
570
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
450
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
590
20240724_cm_odyssey_hibiyatech
hiashisan
0
390
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
620
20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた
hiashisan
0
850
Other Decks in Technology
See All in Technology
コスト最適重視でAurora PostgreSQLのログ分析基盤を作ってみた #jawsug_tokyo
non97
1
520
バクラクの認証基盤の成長と現在地 / bakuraku-authn-platform
convto
2
640
SmartHR プロダクトエンジニア求人ガイド_2025 / PdE job guide 2025
smarthr
0
130
技術者はかっこいいものだ!!~キルラキルから学んだエンジニアの生き方~
masakiokuda
2
270
Cursor AgentによるパーソナルAIアシスタント育成入門―業務のプロンプト化・MCPの活用
os1ma
14
4.9k
ガバクラのAWS長期継続割引 ~次の4/1に慌てないために~
hamijay_cloud
1
290
Bazel for Ruby (RubyKaigi 2025)
p0deje
0
100
От ручной разметки к LLM: как мы создавали облако тегов в Lamoda. Анастасия Ангелова, Data Scientist, Lamoda Tech
lamodatech
0
770
Рекомендации с нуля: как мы в Lamoda превратили главную страницу в ключевую точку входа для персонализированного шоппинга. Данил Комаров, Data Scientist, Lamoda Tech
lamodatech
0
770
ブラウザのレガシー・独自機能を愛でる-Firefoxの脆弱性4選- / Browser Crash Club #1
masatokinugawa
1
490
Cross Data Platforms Meetup LT 20250422
tarotaro0129
1
700
30代からでも遅くない! 内製開発の世界に飛び込み、最前線で戦うLLMアプリ開発エンジニアになろう
minorun365
PRO
12
4k
Featured
See All Featured
How to train your dragon (web standard)
notwaldorf
90
6k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
32
5.4k
GraphQLの誤解/rethinking-graphql
sonatard
71
10k
KATA
mclloyd
29
14k
For a Future-Friendly Web
brad_frost
176
9.7k
Into the Great Unknown - MozCon
thekraken
37
1.7k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Building a Modern Day E-commerce SEO Strategy
aleyda
40
7.2k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
104
19k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Transcript
AWSのマルチアカウント戦略と AWS Control Tower クラスメソッド株式会社 芦沢広昭(あしさん) 1
2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属:クラスメソッド株式会社 • 在住:東京 • 業務:AWS設計構築・コンサルティング
• 好きなAWSサービス:AWS Security Hub 自己紹介
3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control
Towerの機能およびアップデート紹介
4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順
5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ
6 1. AWSのマルチアカウント戦略について
7 AWS環境の『分離』 どうやっていますか?
8 大きく分けると... シングルアカウント vs マルチアカウント
9 結局どっちがいいの?
10 結論 From AWS 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf
11 なぜそう言い切れるの? - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限(クオータ)を環境毎に分離できない
- 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、 マルチアカウントアーキテクチャが推奨されている
12 マルチアカウント運用、開始 シングルアカウントの辛みは解消!!!! 完全解決!!!
13 しかし、運用していくにつれて... あれ、結局辛くないか???
14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題
- 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .
15 AWS Organizationsとは? マルチアカウントの一元管理、アカウントの自動作成、一括 請求、AWSの他サービスとの統合など多くの機能でマルチア カウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する
16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 - etc. . .
17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 → 解決できそうなことはわかった! だけど...
18 残っている大きな問題 辛みを解消する各サービスを どのように設計・実装すれば良い?
19 解決策の1つ
20 「マルチアカウント戦略」がよくわかるブログ 参考リンク:https://dev.classmethod.jp/articles/why-aws-multi-accounts/
21 2. AWS Control Towerとは?
22 AWS Control Towerとは? 事前の学習コストなしで、ベストプラクティスに基づくマルチ アカウント環境を数クリック・短時間で構築できるマネージド サービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける!
23 Control Towerが構築するAWS環境(構成図) 参考リンク:https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html
24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory
25 ガードレール?
26 ガードレール ・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できない ように制限(=予防)できる ガードレール
・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した 場合に検知(=発見)できる ガードレール → Control Tower独自のセキュリティ基準に基づいた リソースの集まり(プリセット)が簡単に利用できる
27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard( hooks)で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ
ングを抑止できるガードレール - 参考ブログ: - [アップデート]非準拠リソースのプロビジョニングを抑止できる!AWS Control Towerでプロアクティブなガードレールが利用可能になりまし た #reinvent 🌟re:Invent 2022アップデート
28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展 開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control
Towerカスタマイズソリューション(CfCT) - Account Factory For Terraform(AFT) - Account Factory Customization(AFC)
29 Account Factoryのカスタマイズ(CfCT) ・Control Towerカスタマイズソリューション(CfCT) - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationス タックおよびSCPを展開できるようにする仕組み 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf
30 Account Factoryのカスタマイズ(AFT) ・Account Factory For Terraform(AFT) - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)
で実行できるようになる仕組み 参考リンク:https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/
31 Account Factoryのカスタマイズ(AFC) ・Account Factory Customization(AFC) - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい
- デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート
32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -
Active Directory、Okta、OneLoginなど、オンプレミス環境で利 用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある
33 その他、追加でやるべきこと(参考ブログ) 参考リンク:https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/
34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティ ス - Control Towerによって運用のスタートラインに短時間で到 達できる -
Control Towerは最低限の設定であり追加の設定は必須
35
hiashisan
non97
convto
smarthr
masakiokuda
os1ma
hamijay_cloud
p0deje
lamodatech
masatokinugawa
tarotaro0129
minorun365
notwaldorf
kevinliebholz
sonatard
mclloyd
brad_frost
thekraken
keavy
scottboms
aleyda
sstephenson
panda_program
chriscoyier
