Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSマルチアカウント管理 / ODC2021 Online

Hideki Igarashi
August 24, 2021
Technology
0
3.1k

AWSマルチアカウント管理 / ODC2021 Online

Open Developers Conference 2021 Online
https://event.ospn.jp/odc2021-online/

生産性向上チームって何をしてるの?〜社内の開発生産性を上げる組織横断の取り組み〜
2021.08.28 15:00-15:45
https://event.ospn.jp/odc2021-online/session/376878

Hideki Igarashi

August 24, 2021
Tweet

More Decks by Hideki Igarashi

See All by Hideki Igarashi
How to use CircleCI and Sider in CrowdWorks
hideki
1
780
な…何を言っているのかわからねーと思うが、コードを書いていたと思ったらレビューが終わっていた / Code Review Meetup 3
hideki
1
290
CrowdWorks Engineering Culture
hideki
0
380
CrowdWorksのChatOpsの歴史 / ChatOps History of CrowdWorks
hideki
1
870
Bring out the ability of CircleCI 2.0
hideki
1
560
Grails with Spock
hideki
0
1.1k
JavaOne Report for G* 2012 San Francisco
hideki
2
1.2k

Other Decks in Technology

See All in Technology
UIコンポーネントライブラリをうまく使うためにできること / components-with-designer
mottox2
0
160
できる!アクセシビリティ向上/droidkaigi2023-day2
nikkei_engineer_recruiting
0
810
サイバーエージェントのGitHub Copilot導入と 開発生産性
kurochan
22
19k
アジャイルリーダークイズ王 2023 #scrummikawa / agile leader quiz king 2023
kyonmm
PRO
1
250
LOWYAビジネスダッシュボード:DevとBizの共通認識が切り拓く未来
kazumax55
0
110
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
3
26k
沈め!KubernetesOperator沼!!
jnytnai0613
4
360
Amazon Route 53をやさしくおさらい
minorun365
19
4.1k
ChatGPT in SlackでAI Slackbotを楽しく運用する
iwamot
1
120
mablで品質エンジニアリングジャーニーを実現しよう!
odasho
0
360
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
takumakume
0
270
ビジネス向けアプリを開発するときに知っておくべきAndroid Enterpriseの世界
imsaku
0
410

Featured

See All Featured
Building Applications with DynamoDB
mza
87
5.2k
Building Your Own Lightsaber
phodgson
97
5.1k
Thoughts on Productivity
jonyablonski
55
3k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
KATA
mclloyd
13
11k
Intergalactic Javascript Robots from Outer Space
tanoku
263
26k
Navigating Team Friction
lara
177
12k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
6
7.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
14k
How to Ace a Technical Interview
jacobian
272
22k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
36
22k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.7k

Transcript

  1. サイボウズ株式会社 ⽣産性向上チーム
    AWSマルチアカウント管理
    ⽣産性向上チームって何をしてるの?〜社内の開発⽣産性を上げる組織横断の取り組み〜
    Open Developers Conference 2021 Online

    View Slide

  2. 五⼗嵐 英樹
    Hideki Igarashi
    2019年2⽉ サイボウズ中途⼊社
    ⽣産性向上チームにジョイン
    ⼊社前はSIer、Web系の会社でアプリケーション開発の
    傍らでインフラやCIの整備などの改善活動
    @ganta0087

    View Slide

  3. AWSの利⽤⽤途

    View Slide

  4. 4
    • プロダクション・ステージング環境
    • 社内向けサービス⽤途
    • 開発⽀援 (CI⽤のテスト環境、テスト並列化など)
    社内でのAWSの利⽤⽤途

    View Slide

  5. AWSを利⽤する⽬的
    5
    社内で便利なパブリッククラウドを活⽤して⽣産性を⾼めたい
    社員が⼿軽で安全にAWSを利⽤できるようにしたい

    View Slide

  6. ユーザー管理の課題

    View Slide

  7. アカウントごとのユーザー作成は⼤変
    • 管理やセキュリティ上、⽤途ごとに
    AWSアカウントを分けたい
    • 新規登録時・退職時に各アカウントの
    ユーザーの設定が必要
    • 特に退職時は対応漏れを防ぎたい
    • 複数アカウントを利⽤するユーザーは
    パスワード管理が⼤変
    7
    AWS Account
    AWS Account

    View Slide

  8. マルチアカウント管理の

    しくみづくり

    View Slide

  9. Azure ADによるシングルサインオン
    • 会社の標準のIdPがAzure AD
    • 単純にシングルサインオンをするだけではなくAWSアカウントごと
    の権限設定のしくみが必要
    • マネジメントコンソールだけでなくCLIでの利⽤も考慮
    9

    View Slide

  10. 認証⽤AWSアカウントを設ける
    10
    Azure AD
    認証⽤アカウント
    SSO⽤ロール
    ログイン
    SSO
    Azure ADで認証⽤アカウントに
    SSOできるよう設定
    認証⽤アカウント上のリソース操作は
    何もできないようにポリシーを定義

    View Slide

  11. 認証⽤アカウントを経由して切り替え
    11
    Azure AD
    認証⽤アカウント
    SSO⽤ロール
    Account A
    AdministratorRole
    Account B
    AdministratorRole
    DeveloperRole
    Switch Roleを使って各AWSアカウ
    ント上のロールに切り替える

    View Slide

  12. アカウント切替時の権限設定のしくみ
    12
    Azure AD
    認証⽤アカウント
    SSO⽤ロール
    Account B
    AdministratorRole
    Account A
    AdministratorRole
    DeveloperRole
    誰がどのアカウントのロールに
    切り替えてよいかを管理
    CircleCI Server
    レコード取得
    定期的にポリシーを更新

    View Slide

  13. CLIでもシングルサインオンするには?
    13
    Azure ADの
    ログインフォーム
    SAMLレスポンス
    AWS Management
    Console
    Azure ADの認証を通過するにはWeb
    のログインフォームの操作が必要
    AWS API
    (sts:AssumeRoleWithSAML)
    クレデンシャル
    このクレデンシャルがあれば認証⽤
    AWSアカウントにAPIアクセスが可能
    通常はこちらにリダイレクトされる

    View Slide

  14. CLI⽤のシングルサインオンツールを開発
    このクレデンシャルの取得の処理を⼿動で⾏うのは⾮現実的
    ⇒⾃動化するOSSを開発 https://github.com/cybozu/assam
    14
    Azure AD
    SAMLレスポンス
    AWS API
    クレデンシャル
    assam
    ~/.aws/credentials
    AWS CLI
    AWS SDK
    ログイン
    実⾏
    Chrome起動
    クレデンシャル保存

    View Slide

  15. SSO後は公式のしくみでアカウント切替
    クレデンシャルを取得してしまえばAWS CLIのIAMロール切り替えの
    しくみを使って⽬的のAWSアカウントのロールに切り替えればよい
    https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-con
    fi
    gure-role.html
    15
    [profile account-a]


    role_arn = arn:aws:iam:1234567890:role/ExampleRole


    source_profile = default
    ~/.aws/con
    fi
    g
    AWS_PROFILE環境変数にプロファイル名を設定しておくことで

    ⾃動的にrole_arnに設定したロールに切り替えることができる
    (AWS SDKの場合はAWS_SDK_LOAD_CONFIG=trueも設定しておく)

    View Slide

  16. 運⽤

    View Slide

  17. 17
    • しくみ作りだけでなくもちろんドキュメント整備も
    • kintoneアプリでAWSアカウント作成申請のフローを作成
    • AWSアカウントの作成単位を整理
    • グルーピング(Organization Unit)をして管理
    • 作成申請が来たら定形作業ですぐに対応できるように
    • ルートユーザーの初期設定時に物理セキュリティキーの設定なども
    しているため完全⾃動化は難しい
    運⽤が回るように

    View Slide

  18. 運⽤開始後
    • 勉強会を開催したり開発⽀援時にAWS環境を活⽤して認知向上
    • Transit Gateway + VPNで社内ネットワークとの接続も提供
    • AWS⾃体の相談も⽣産性向上チームに来るようになった
    • 現在シングルサインオンのしくみで40個のAWSアカウントが運⽤中
    18

    View Slide

  19. 安全性と利便性を⾼めて ⽣産性向上

    View Slide