Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
h-ashisan
September 30, 2023
Technology
0
1.5k
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.2k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
540
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
400
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
550
20240724_cm_odyssey_hibiyatech
hiashisan
0
360
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
900
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
580
20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた
hiashisan
0
800
まるクラ勉強会#2_CloudTrail管理戦略
hiashisan
2
690
Other Decks in Technology
See All in Technology
AI Agent時代なのでAWSのLLMs.txtが欲しい!
watany
3
390
IAMのマニアックな話2025
nrinetcom
PRO
6
1.5k
Cracking the Coding Interview 6th Edition
gdplabs
14
28k
サイト信頼性エンジニアリングとAmazon Web Services / SRE and AWS
ymotongpoo
7
1.9k
遷移の高速化 ヤフートップの試行錯誤
narirou
6
2k
エンジニア主導の企画立案を可能にする組織とは?
recruitengineers
PRO
1
320
事業モメンタムを生み出すプロダクト開発
macchiitaka
0
110
大規模アジャイルフレームワークから学ぶエンジニアマネジメントの本質
staka121
PRO
3
1.7k
開発者のための FinOps/FinOps for Engineers
oracle4engineer
PRO
2
270
20250309 無冠のわたし これからどう先生きのこれる?
akiko_pusu
9
850
目標と時間軸 〜ベイビーステップでケイパビリティを高めよう〜
kakehashi
PRO
8
1.1k
完璧を捨てろ! “攻め”のQAがもたらすスピードと革新/20250306 Hiroki Hachisuka
shift_evolve
0
150
Featured
See All Featured
Music & Morning Musume
bryan
46
6.4k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k
Site-Speed That Sticks
csswizardry
4
420
Adopting Sorbet at Scale
ufuk
75
9.2k
The Cult of Friendly URLs
andyhume
78
6.2k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
We Have a Design System, Now What?
morganepeng
51
7.4k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Building Adaptive Systems
keathley
40
2.4k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
A Philosophy of Restraint
colly
203
16k
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24
hiashisan
watany
nrinetcom
gdplabs
ymotongpoo
narirou
recruitengineers
macchiitaka
staka121
oracle4engineer
akiko_pusu
kakehashi
shift_evolve
bryan
tanoku
csswizardry
ufuk
andyhume
lemiorhan
morganepeng
wjessup
samanthasiow
keathley
destraynor
colly
