Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSマルチアカウント管理 / ODC2021 Online

Avatar for Hideki Igarashi Hideki Igarashi
August 24, 2021
Technology
0
4.1k

AWSマルチアカウント管理 / ODC2021 Online

Open Developers Conference 2021 Online
https://event.ospn.jp/odc2021-online/

生産性向上チームって何をしてるの?〜社内の開発生産性を上げる組織横断の取り組み〜
2021.08.28 15:00-15:45
https://event.ospn.jp/odc2021-online/session/376878

Avatar for Hideki Igarashi

Hideki Igarashi

August 24, 2021
Tweet

More Decks by Hideki Igarashi

See All by Hideki Igarashi
How to use CircleCI and Sider in CrowdWorks
Avatar for Hideki Igarashi hideki
1
940
な…何を言っているのかわからねーと思うが、コードを書いていたと思ったらレビューが終わっていた / Code Review Meetup 3
Avatar for Hideki Igarashi hideki
1
300
CrowdWorks Engineering Culture
Avatar for Hideki Igarashi hideki
0
410
CrowdWorksのChatOpsの歴史 / ChatOps History of CrowdWorks
Avatar for Hideki Igarashi hideki
1
1k
Bring out the ability of CircleCI 2.0
Avatar for Hideki Igarashi hideki
1
680
Grails with Spock
Avatar for Hideki Igarashi hideki
0
1.3k
JavaOne Report for G* 2012 San Francisco
Avatar for Hideki Igarashi hideki
2
1.3k

Other Decks in Technology

See All in Technology
転職したらMCPサーバーだった件
Avatar for nwiizo nwiizo
13
10k
PythonツールであるpygnmiをSONiCのgNMIに対して使ってみた
Avatar for SONiC Users Group Japan sonic
0
340
計装を見直してアプリケーションパフォーマンスを改善させた話
Avatar for Kazuki Obata donkomura
2
220
撤退危機からのピボット : 4年目エンジニアがリードする TypeScript で挑む事業復活 / crisis-to-pivot-4th-year-engineer-ts-relaunch
Avatar for CARTA Engineering carta_engineering
2
130
激動の一年を通じて見えてきた「技術でリードする」ということ
Avatar for ktr ktr_0731
8
8.6k
AIエージェントのオブザーバビリティについて
Avatar for Yunosuke Yamada yunosukey
1
430
テストコードにはテストの意図を込めよう(2025年版) #retechtalk / Put the intent of the test 2025
Avatar for nihonbuson nihonbuson
PRO
14
2.3k
インラインRBSコメントに鯛pe checkersもニッコリ
Avatar for SansanTech sansantech
PRO
2
230
ワールドカフェ再び、そしてロール・ツール群の開発 / World Café Again, and the Development of a Suite of Roles and Tools
Avatar for Kenji Saito ks91
PRO
0
110
GitHub ActionsをTypeScriptで作ろう!
Avatar for SansanTech sansantech
PRO
2
140
さくらのクラウド 開発の挑戦とその舞台裏
Avatar for kazeburo kazeburo
0
270
Streamlit in Snowflakeで加速する不動産テック企業のデータ活用 @Snowflake WESTユーザー会
Avatar for yuto16 yuto16
1
150

Featured

See All Featured
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
810
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
35
2.7k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
507
140k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
227
22k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.2k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
23
1.6k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.6k

Transcript

  1. サイボウズ株式会社 ⽣産性向上チーム AWSマルチアカウント管理 ⽣産性向上チームって何をしてるの?〜社内の開発⽣産性を上げる組織横断の取り組み〜 Open Developers Conference 2021 Online

  2. 五⼗嵐 英樹 Hideki Igarashi 2019年2⽉ サイボウズ中途⼊社 ⽣産性向上チームにジョイン ⼊社前はSIer、Web系の会社でアプリケーション開発の 傍らでインフラやCIの整備などの改善活動 @ganta0087

  3. AWSの利⽤⽤途

  4. 4 • プロダクション・ステージング環境 • 社内向けサービス⽤途 • 開発⽀援 (CI⽤のテスト環境、テスト並列化など) 社内でのAWSの利⽤⽤途

  5. AWSを利⽤する⽬的 5 社内で便利なパブリッククラウドを活⽤して⽣産性を⾼めたい 社員が⼿軽で安全にAWSを利⽤できるようにしたい

  6. ユーザー管理の課題

  7. アカウントごとのユーザー作成は⼤変 • 管理やセキュリティ上、⽤途ごとに AWSアカウントを分けたい • 新規登録時・退職時に各アカウントの ユーザーの設定が必要 • 特に退職時は対応漏れを防ぎたい •

    複数アカウントを利⽤するユーザーは パスワード管理が⼤変 7 AWS Account AWS Account

  8. マルチアカウント管理の 
 しくみづくり

  9. Azure ADによるシングルサインオン • 会社の標準のIdPがAzure AD • 単純にシングルサインオンをするだけではなくAWSアカウントごと の権限設定のしくみが必要 • マネジメントコンソールだけでなくCLIでの利⽤も考慮

    9

  10. 認証⽤AWSアカウントを設ける 10 Azure AD 認証⽤アカウント SSO⽤ロール ログイン SSO Azure ADで認証⽤アカウントに

    SSOできるよう設定 認証⽤アカウント上のリソース操作は 何もできないようにポリシーを定義

  11. 認証⽤アカウントを経由して切り替え 11 Azure AD 認証⽤アカウント SSO⽤ロール Account A AdministratorRole Account

    B AdministratorRole DeveloperRole Switch Roleを使って各AWSアカウ ント上のロールに切り替える

  12. アカウント切替時の権限設定のしくみ 12 Azure AD 認証⽤アカウント SSO⽤ロール Account B AdministratorRole Account

    A AdministratorRole DeveloperRole 誰がどのアカウントのロールに 切り替えてよいかを管理 CircleCI Server レコード取得 定期的にポリシーを更新

  13. CLIでもシングルサインオンするには? 13 Azure ADの ログインフォーム SAMLレスポンス AWS Management Console Azure

    ADの認証を通過するにはWeb のログインフォームの操作が必要 AWS API (sts:AssumeRoleWithSAML) クレデンシャル このクレデンシャルがあれば認証⽤ AWSアカウントにAPIアクセスが可能 通常はこちらにリダイレクトされる

  14. CLI⽤のシングルサインオンツールを開発 このクレデンシャルの取得の処理を⼿動で⾏うのは⾮現実的 ⇒⾃動化するOSSを開発 https://github.com/cybozu/assam 14 Azure AD SAMLレスポンス AWS API

    クレデンシャル assam ~/.aws/credentials AWS CLI AWS SDK ログイン 実⾏ Chrome起動 クレデンシャル保存

  15. SSO後は公式のしくみでアカウント切替 クレデンシャルを取得してしまえばAWS CLIのIAMロール切り替えの しくみを使って⽬的のAWSアカウントのロールに切り替えればよい https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-con fi gure-role.html 15 [profile account-a]

    role_arn = arn:aws:iam:1234567890:role/ExampleRole source_profile = default ~/.aws/con fi g AWS_PROFILE環境変数にプロファイル名を設定しておくことで 
 ⾃動的にrole_arnに設定したロールに切り替えることができる (AWS SDKの場合はAWS_SDK_LOAD_CONFIG=trueも設定しておく)

  16. 運⽤

  17. 17 • しくみ作りだけでなくもちろんドキュメント整備も • kintoneアプリでAWSアカウント作成申請のフローを作成 • AWSアカウントの作成単位を整理 • グルーピング(Organization Unit)をして管理

    • 作成申請が来たら定形作業ですぐに対応できるように • ルートユーザーの初期設定時に物理セキュリティキーの設定なども しているため完全⾃動化は難しい 運⽤が回るように

  18. 運⽤開始後 • 勉強会を開催したり開発⽀援時にAWS環境を活⽤して認知向上 • Transit Gateway + VPNで社内ネットワークとの接続も提供 • AWS⾃体の相談も⽣産性向上チームに来るようになった

    • 現在シングルサインオンのしくみで40個のAWSアカウントが運⽤中 18

  19. 安全性と利便性を⾼めて ⽣産性向上