Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
h-ashisan
September 30, 2023
Technology
0
1.4k
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
290
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
440
20240724_cm_odyssey_hibiyatech
hiashisan
0
280
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
660
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
470
20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた
hiashisan
0
660
まるクラ勉強会#2_CloudTrail管理戦略
hiashisan
2
520
AIOpsを活用してAWS監視を体験してみた 〜EC2も監視できるよ〜
hiashisan
1
1.6k
JAWS-UG_YOKOHAMA_20231204
hiashisan
0
900
Other Decks in Technology
See All in Technology
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
380
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
CysharpのOSS群から見るModern C#の現在地
neuecc
2
3.3k
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
310
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
Featured
See All Featured
Writing Fast Ruby
sferik
627
61k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
4 Signs Your Business is Dying
shpigford
180
21k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Raft: Consensus for Rubyists
vanstee
136
6.6k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Fireside Chat
paigeccino
34
3k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24
hiashisan
eijikominami
kazushi_ohata
oracle4engineer
sugamasao
tacck
4su_para
tubone24
hiyanger
neuecc
sonatard
chanyou0311
lmi
sferik
marcelosomers
erikaheidi
jponch
shpigford
chriscoyier
danielanewman
vanstee
pedronauck
cassininazir
paigeccino
jlugia
