Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
h-ashisan
September 30, 2023
Technology
0
1.7k
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
320
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
320
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
700
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.5k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
740
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
670
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
760
20240724_cm_odyssey_hibiyatech
hiashisan
0
510
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.3k
Other Decks in Technology
See All in Technology
国井さんにPurview の話を聞く会
sophiakunii
1
320
松尾研LLM講座2025 応用編Day3「軽量化」 講義資料
aratako
15
4.9k
AWSと生成AIで学ぶ!実行計画の読み解き方とSQLチューニングの実践
yakumo
2
200
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
12k
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.5k
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3.6k
202512_AIoT.pdf
iotcomjpadmin
0
180
Introduction to Sansan Meishi Maker Development Engineer
sansan33
PRO
0
330
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
4
21k
2025年 山梨の技術コミュニティを振り返る
yuukis
0
150
戰略轉變:從建構 AI 代理人到發展可擴展的技能生態系統
appleboy
0
180
あの夜、私たちは「人間」に戻った。 ── 災害ユートピア、贈与、そしてアジャイルの再構築 / 20260108 Hiromitsu Akiba
shift_evolve
PRO
0
410
Featured
See All Featured
Learning to Love Humans: Emotional Interface Design
aarron
274
41k
The World Runs on Bad Software
bkeepers
PRO
72
12k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.3k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.1k
Become a Pro
speakerdeck
PRO
31
5.8k
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
140
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
110
Tell your own story through comics
letsgokoyo
0
770
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Everyday Curiosity
cassininazir
0
120
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
59
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24
hiashisan
sophiakunii
.jpg){kind=avatar}
aratako
yakumo
sansan33
oracle4engineer
iotcomjpadmin
yuukis
appleboy
shift_evolve
aarron
bkeepers
tammyeverts
irinanazarova
speakerdeck
frankvandijk
nikkihalliwell
letsgokoyo
marcelosomers
cassininazir
techseoconnect
malarkey
