Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20230215_JAWS-UG_asakai_ControlTower

Avatar for h-ashisan h-ashisan
February 15, 2023
Technology
2
2.7k

 20230215_JAWS-UG_asakai_ControlTower

Avatar for h-ashisan

h-ashisan

February 15, 2023
Tweet

More Decks by h-ashisan

See All by h-ashisan
Tokyo_reInforce_2025_recap_iam_access_analyzer
Avatar for h-ashisan hiashisan
0
270
OpsJAWS34_CloudTrailLake_for_Organizations
Avatar for h-ashisan hiashisan
0
570
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
Avatar for h-ashisan hiashisan
0
1.5k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
Avatar for h-ashisan hiashisan
0
670
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
Avatar for h-ashisan hiashisan
0
620
Practical-AWS-Security-measures-you-can-implement-now
Avatar for h-ashisan hiashisan
0
710
20240724_cm_odyssey_hibiyatech
Avatar for h-ashisan hiashisan
0
480
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
Avatar for h-ashisan hiashisan
0
1.3k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
Avatar for h-ashisan hiashisan
0
770

Other Decks in Technology

See All in Technology
ハノーファーメッセ2025で見た生成AI活用ユースケース.pdf
Avatar for 濱田孝治 hamadakoji
1
460
コンパウンド組織のCRE #cre_meetup
Avatar for LayerX layerx
PRO
1
260
From Natural Language to K8s Operations: The MCP Architecture and Practice of kubectl-ai
Avatar for Bo-Yi Wu appleboy
0
200
AIプロダクトのプロンプト実践テクニック / Practical Techniques for AI Product Prompts
Avatar for Jumpei Sakatsu saka2jp
0
110
ヘンリー会社紹介資料(エンジニア向け) / company deck for engineer
Avatar for Henry, Inc. henryofficial
0
360
プレイドのユニークな技術とインターンのリアル
Avatar for PLAID Tech plaidtech
PRO
1
350
ソフトウェアエンジニアの生成AI活用と、これから
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
900
ViteとTypeScriptのProject Referencesで 大規模モノレポのUIカタログのリリースサイクルを高速化する
Avatar for did0es shuta13
3
200
Okta Identity Governanceで実現する最小権限の原則 / Implementing the Principle of Least Privilege with Okta Identity Governance
Avatar for Tatsumi Nishikawa tatsumin39
0
170
SQLAlchemy の select(User).where(User.id =="123") を理解してみる/sqlalchemy deep dive
Avatar for Ryusei Ohkura 3l4l5
3
340
AI時代におけるデータの重要性 ~データマネジメントの第一歩~
Avatar for 太田 涼一 ryoichi_ota
0
710
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
13
82k

Featured

See All Featured
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
353
21k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.5k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
53
7.8k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
23k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.5k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
697
190k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
130k
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
2.8k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.5k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M

Transcript

  1. AWSのマルチアカウント戦略と
 AWS Control Tower
 クラスメソッド株式会社 芦沢広昭(あしさん)
 1

  2. 2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属:クラスメソッド株式会社 • 在住:東京 • 業務:AWS設計構築・コンサルティング

    • 好きなAWSサービス:AWS Security Hub 自己紹介

  3. 3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control

    Towerの機能およびアップデート紹介

  4. 4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順

  5. 5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ

  6. 6 1. AWSのマルチアカウント戦略について

  7. 7 AWS環境の『分離』 どうやっていますか?

  8. 8 大きく分けると... シングルアカウント vs マルチアカウント

  9. 9 結局どっちがいいの?

  10. 10 結論 From AWS 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

  11. 11 なぜそう言い切れるの? - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限(クオータ)を環境毎に分離できない

    - 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、 マルチアカウントアーキテクチャが推奨されている

  12. 12 マルチアカウント運用、開始 シングルアカウントの辛みは解消!!!! 完全解決!!!

  13. 13 しかし、運用していくにつれて... あれ、結局辛くないか???

  14. 14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題

    - 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .

  15. 15 AWS Organizationsとは? マルチアカウントの一元管理、アカウントの自動作成、一括 請求、AWSの他サービスとの統合など多くの機能でマルチア カウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する

  16. 16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -

    ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 - etc. . .

  17. 17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -

    ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 → 解決できそうなことはわかった! だけど...

  18. 18 残っている大きな問題 辛みを解消する各サービスを どのように設計・実装すれば良い?

  19. 19 解決策の1つ

  20. 20 「マルチアカウント戦略」がよくわかるブログ 参考リンク:https://dev.classmethod.jp/articles/why-aws-multi-accounts/

  21. 21 2. AWS Control Towerとは?

  22. 22 AWS Control Towerとは? 事前の学習コストなしで、ベストプラクティスに基づくマルチ アカウント環境を数クリック・短時間で構築できるマネージド サービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける!

  23. 23 Control Towerが構築するAWS環境(構成図) 参考リンク:https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html

  24. 24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory

  25. 25 ガードレール?

  26. 26 ガードレール ・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できない ように制限(=予防)できる ガードレール

    ・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した 場合に検知(=発見)できる ガードレール → Control Tower独自のセキュリティ基準に基づいた   リソースの集まり(プリセット)が簡単に利用できる

  27. 27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard( hooks)で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ

    ングを抑止できるガードレール - 参考ブログ: - [アップデート]非準拠リソースのプロビジョニングを抑止できる!AWS Control Towerでプロアクティブなガードレールが利用可能になりまし た #reinvent 🌟re:Invent 2022アップデート

  28. 28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展 開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control

    Towerカスタマイズソリューション(CfCT) - Account Factory For Terraform(AFT) - Account Factory Customization(AFC)

  29. 29 Account Factoryのカスタマイズ(CfCT) ・Control Towerカスタマイズソリューション(CfCT) - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationス タックおよびSCPを展開できるようにする仕組み 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

  30. 30 Account Factoryのカスタマイズ(AFT) ・Account Factory For Terraform(AFT) - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)

    で実行できるようになる仕組み 参考リンク:https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/

  31. 31 Account Factoryのカスタマイズ(AFC) ・Account Factory Customization(AFC) - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい

    - デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート

  32. 32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -

    Active Directory、Okta、OneLoginなど、オンプレミス環境で利 用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある

  33. 33 その他、追加でやるべきこと(参考ブログ) 参考リンク:https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/

  34. 34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティ ス - Control Towerによって運用のスタートラインに短時間で到 達できる -

    Control Towerは最低限の設定であり追加の設定は必須

  35. 35