Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
h-ashisan
September 30, 2023
Technology
0
1.7k
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
400
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
330
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
730
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.6k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
750
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
680
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
780
20240724_cm_odyssey_hibiyatech
hiashisan
0
530
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.4k
Other Decks in Technology
See All in Technology
AWS Network Firewall Proxyを触ってみた
nagisa53
1
240
日本の85%が使う公共SaaSは、どう育ったのか
taketakekaho
1
240
ClickHouseはどのように大規模データを活用したAIエージェントを全社展開しているのか
mikimatsumoto
0
270
SREじゃなかった僕らがenablingを通じて「SRE実践者」になるまでのリアル / SRE Kaigi 2026
aeonpeople
6
2.6k
OCI Database Management サービス詳細
oracle4engineer
PRO
1
7.4k
We Built for Predictability; The Workloads Didn’t Care
stahnma
0
150
マネージャー視点で考えるプロダクトエンジニアの評価 / Evaluating Product Engineers from a Manager's Perspective
hiro_torii
0
190
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
rvirus0817
1
1.6k
私たち準委任PdEは2つのプロダクトに挑戦する ~ソフトウェア、開発支援という”二重”のプロダクトエンジニアリングの実践~ / 20260212 Naoki Takahashi
shift_evolve
PRO
2
210
登壇駆動学習のすすめ — CfPのネタの見つけ方と書くときに意識していること
bicstone
3
130
学生・新卒・ジュニアから目指すSRE
hiroyaonoe
2
760
Cosmos World Foundation Model Platform for Physical AI
takmin
0
970
Featured
See All Featured
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.6k
Color Theory Basics | Prateek | Gurzu
gurzu
0
200
Rails Girls Zürich Keynote
gr2m
96
14k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
62
50k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
330
Faster Mobile Websites
deanohume
310
31k
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
410
Stop Working from a Prison Cell
hatefulcrawdad
273
21k
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.8k
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24
hiashisan
nagisa53
taketakekaho
mikimatsumoto
aeonpeople
oracle4engineer
stahnma
.jpg){kind=avatar}
hiro_torii
rvirus0817
shift_evolve
bicstone
hiroyaonoe
takmin
zakiyama
gurzu
gr2m
marcduiker
soudai
pedronauck
katarinadahlin
deanohume
marktimemedia
hatefulcrawdad
wjessup
reverentgeek
