Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Control Tower + αで始めるサンドボックス環境
Search
hiropy877
August 28, 2023
Technology
1
830
Control Tower + αで始めるサンドボックス環境
AWSでControl Towerを使ってサンドボックス環境(個人に払い出す社内検証環境)を構築する際のTipsをまとめました。
hiropy877
August 28, 2023
Tweet
Share
More Decks by hiropy877
See All by hiropy877
2023 Japan AWS Jr.Championsに選出されての振り返りとこれから
hiropy877
1
190
金融システムの運用基盤で活用できそうな、re:Invent発の注目アップデート!
hiropy877
0
180
Lizさんに届け!AWS Jr.ChampionとTop Engineerが書籍コンテナセキュリティを読んで感じたこと
hiropy877
0
17
Other Decks in Technology
See All in Technology
Cloud Service Mesh に触れ合う
phaya72
1
270
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
35k
Introduction to SwiftUI V2
pohjus
0
100
Amplify 🩷 Bedrock 〜生成AI入門〜
minorun365
PRO
9
1.1k
M5stackで使用できるpHセンサの開発
shinrinakamura
0
260
今さら聞けないDocker入門 〜 Dockerfileのベストプラクティス編
devops_vtj
21
6.1k
競技としてのKaggle、役に立つKaggle
yu4u
7
2.5k
「見せ球」「作って終わり」のLLM機能卒業のために
ryokaneoka0406
0
140
Max out Local LLM in Challenging Environments
sashimimochi
2
200
Gitlab本から学んだこと - そーだいなるプレイバック / gitlab-book
soudai
7
1.4k
require(ESM)とECMAScript仕様
uhyo
4
1k
AWS学習者向けにAzureの解説スライドを作成した話
handy
3
210
Featured
See All Featured
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
The Mythical Team-Month
searls
217
42k
What's in a price? How to price your products and services
michaelherold
238
11k
Into the Great Unknown - MozCon
thekraken
15
1k
The Brand Is Dead. Long Live the Brand.
mthomps
49
29k
Web development in the modern age
philhawksworth
203
10k
Visualization
eitanlees
137
14k
Fantastic passwords and where to find them - at NoRuKo
philnash
39
2.5k
Done Done
chrislema
178
15k
Rails Girls Zürich Keynote
gr2m
91
13k
Side Projects
sachag
451
41k
A Tale of Four Properties
chriscoyier
153
22k
Transcript
Control Tower + αで始める サンドボックス環境 2023/08/28(月) 廣原花音 ※当資料は個人の見解です
アジェンダ • 自己紹介 • Japan AWS Jr.Championsって? • サンドボックス環境ありますか? •
何から始めればいいの? • ControlTowerだけだと何が足りないの? • 私が独自に導入したリソースのご紹介
お願い 本日のLTの感想を #aws_jr_champions をつけてツイートしていただけると嬉しいです
自己紹介 名前:廣原花音(ひろはらかのん) あだ名:hiropy 身長:148.5cm 所属会社:デロイトトーマツウェブサービス株式会社 経歴: 茨城高専 -> 三重県でSE ->
DWS 好きなAWSサービス:CloudFormation 選出:2023 Japan AWS Jr. Champions X(旧Twitter): @hiropy6387
自己紹介 名前:廣原花音(ひろはらかのん) あだ名:hiropy 身長:148.5cm 所属会社:デロイトトーマツウェブサービス株式会社 経歴: 茨城高専 -> 三重県でSE ->
DWS 好きなAWSサービス:CloudFormation 選出:2023 Japan AWS Jr. Champions X(旧Twitter): @hiropy6387 ん???
Japan AWS Jr.Championsとは ʮ+BQBO"84+S$IBNQJPO1BSUOFS1SPHSBNʯͱɺ"841BSUOFS /FUXPSL "1/ ࢀՃاۀʹॴଐ͠ɺݱࡏࣾձਓྺʙͰ"84Λੵۃ తʹֶͼɺΞΫγϣϯΛى͜͠ɺपғʹӨڹΛ༩͍͑ͯΔ"1/एखΤϯδχΞ Λબग़͠ίϛϡχςΟΛܗ͢ΔɺຊಠࣗͷදজϓϩάϥϜͰ͢ɻ "84քͷएखΤϯδχΞΛϦʔυ͢Δ"1/एखΤϯδχΞ
Japan AWS Jr.Championsとは બग़͞ΕΔͱɺɺ • +BQBO"84+S$IBNQJPOTݶఆ .FFUVQͷࢀՃ • "84ύʔτφʔ͚ηογϣϯͷࢀՃ ͕ެࣜʹॻ͔Ε͍ͯΔͷ
Japan AWS Jr.Championsとは બग़͞ΕΔͱɺɺ • +BQBO"84+S$IBNQJPOTݶఆ .FFUVQͷࢀՃ • "84ύʔτφʔ͚ηογϣϯͷࢀՃ ͕ެࣜʹॻ͔Ε͍ͯΔͷͰ͕͢
Japan AWS Jr.Championsとは ࠷ऴඪ एखΤϯδχΞʹΑΓ"84Λ׆༻ͯ͠Β͍ "84քશମΛएखͷྗͰΓ্͛Δ͜ͱʂ ͩͱݸਓతʹࢥ͍ͬͯ·͢
具体的な活動内容 ษڧձͷ։࠵ ݄ʹҰɺʮ"84ʯΛςʔϚʹษڧձΛߦͳ͍ͬͯ·͢
具体的な活動内容 ษڧΛ։࠵͢Δཧ༝ • एखΤϯδχΞಉ࢜ͰͷφϨοδͷڞ༗ • ಉͷΤϯδχΞͷ׆ಈ͔ΒܹΛड͚Δ • +S$IBNQJPOಉ࢜ͷަྲྀͷΛ૿͢
具体的な活動内容 +"84Λ͡Ίͱ͢Δొஃ׆ಈ ొஃ͢Δ͜ͱͰɺ+S$IBNQJPOTͷ্໊ʹΊ͍ͯ·͢ +"84"84ΤϯδχΞΛத৺ͱ͢Δ༗ࢤͷίϛϡχςΟ
今後の野望 • ࠓࣾձશମͷ+S$IBNQJPOTʹର͢ΔೝΛ্͛Δʹ͍͖ͯ͠· ͢ • དྷҎ߱ɺएखΤϯδχΞΛר͖ࠐΜͩXFCJOBSͳͲΛ։࠵͍ͨ͠ͱاΜ Ͱ͍·͢ • ࠓͷ׆ಈ࣍ୈͰདྷҎ߱ͷଘଓՄ൱͕ܾ·ΔͷͰԠԉ͓ئ͍͠·͢🙇 •
͜Μͳ׆ಈͯ͘͠ΕͨΒخ͍͠ʂͳͲͷ͝ҙݟืूதͰ͢
はじめに みなさん、、、 社内のサンドボックス環境ってありますか? サンドボックス環境: 検証、学習のために使用する個人のAWSアカウント
はじめに ない?それなら、、 皆さんの力で導入してみましょう! 意外と簡単かも?
今回お話ししたいこと • サンドボックス環境は意外と簡単に導入できる! • 私が社内のサンドボックス環境をどうやって整備したかを紹介します • 導入できれば、みんなに喜ばれます ※より詳細に知りたい方は、ブログをご参照ください
何から始めればいいの? まずはControlTowerを導入しましょう! Control Towerとは: • AWSのベストプラクティスにそったLandingZoneを構築してくれる ◦ ガードレール、いい感じのアカウント構成、証跡の一元管理 • 自分でこちゃこちゃやらなくてもいい感じのマルチアカウント構成ができる
• 参考
Control Towerをデプロイすると 右図のような構成のアカウントが デプロイされます rootOU: 全体を包括するOU SecurtyOU: セキュリティやログ管理の役割を担うOU SandBoxOU: メンバーアカウントが作成されるOU
Control Towerをデプロイすると 右図のような構成のアカウントが デプロイされます rootOU: 全体を包括するOU SecurtyOU: セキュリティやログ管理の役割を担うOU SandBoxOU: メンバーアカウントが作成されるOU
Control Towerをデプロイすると 右図のような構成のアカウントが デプロイされます rootOU: 全体を包括するOU SecurtyOU: セキュリティやログ管理の役割を担うOU SandBoxOU: メンバーアカウントが作成されるOU
Control Towerをデプロイすると 右図のような構成のアカウントが デプロイされます rootOU: 全体を包括するOU SecurtyOU: セキュリティやログ管理の役割を担うOU SandBoxOU: メンバーアカウントが作成されるOU
Control Towerをデプロイすると Audit: 全アカウントのセキュリティ周りを管理す る役割を担うアカウント Log: 全アカウントの証跡が集約されるアカウン ト(CloudTrail, Config) ct-management:
ルートアカウント 各アカウントの操作が可能
Control Towerをデプロイすると Audit: 全アカウントのセキュリティ周りを管理す る役割を担うアカウント Log: 全アカウントの証跡が集約されるアカウン ト(CloudTrail, Config) ct-management:
ルートアカウント 各アカウントの操作が可能
Control Towerをデプロイすると Audit: 全アカウントのセキュリティ周りを管理す る役割を担うアカウント Log: 全アカウントの証跡が集約されるアカウン ト(CloudTrail, Config) ct-management:
ルートアカウント 各アカウントの操作が可能
Control Towerをデプロイすると Audit: 全アカウントのセキュリティ周りを管理す る役割を担うアカウント Log: 全アカウントの証跡が集約されるアカウン ト(CloudTrail, Config) ct-management:
ルートアカウント 各アカウントの操作が可能
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
SecurityHubとGuardDutyの有効化 • Organizations全体で有効化しましょう • SecurityHubで全体のセキュリティを可視化 • GuardDutyで異常の発生を検知(EC2への攻撃とか) こちらのクラスメソッドさんの記事がとてもわかりやすいです! 社内の検証環境でインシデントを起こさないための体制整備が必要です
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
サンドボックス環境で異常が発生したら • GuardDutyは異常を検知するサービスなので、その先のアクションを作る必 要があります • 第一歩として、検知した異常をSlackで通知するのがおすすめです • EventBridge + Lambdaでサクッとできます
• もしかしたらブログにするかも、、?
サンドボックス環境で異常が発生したら ちなみに私はこんな感じで通知してます 異常を検知したインスタンスは止めちゃいます
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
アカウント管理のコード化 アカウント発行を都度手動でやるのは煩雑、、 Account Factory for Terraform(AFT)でコード管理できる! • アカウント発行をTerraformでコード管理できる • コードの変更をpushするだけでアカウントが自動発行される
• ブログでやり方を書いているのでご覧ください
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
各アカウントの予算管理 各アカウントの予算を設定してリソースの使いすぎを防ぎたい、、 私が作ったテンプレート、あります • CloudFormationでBudgetsとSlackに通知するLambdaをデプロイします • 環境変数で予算とアラートの閾値を設定できます • こちらのブログをご覧ください
アーキテクチャ • 管理アカウントから各アカウント にStackSetをデプロイ • Budgetsで予算の設定を行う • 予算を超えそうになるとAmazon SNS経由でLambdaを起動 •
Slackで通知
アーキテクチャ • 管理アカウントから各アカウント にStackSetをデプロイ • Budgetsで予算の設定を行う • 予算を超えそうになるとAmazon SNS経由でLambdaを起動 •
Slackで通知
アーキテクチャ • 管理アカウントから各アカウント にStackSetをデプロイ • Budgetsで予算の設定を行う • 予算を超えそうになるとAmazon SNS経由でLambdaを起動 •
Slackで通知
アーキテクチャ • 管理アカウントから各アカウント にStackSetをデプロイ • Budgetsで予算の設定を行う • 予算を超えそうになるとAmazon SNS経由でLambdaを起動 •
Slackで通知
アーキテクチャ • 管理アカウントから各アカウント にStackSetをデプロイ • Budgetsで予算の設定を行う • 予算を超えそうになるとAmazon SNS経由でLambdaを起動 •
Slackで通知
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
アカウント利用料の通知 毎月のアカウント利用料をお知らせしてくれたら嬉しいな、、 私が作ったテンプレート、あります • CloudFormationで通知用LambdaとEventBridgeをデプロイします • 毎月末にアカウントの利用料をSlack botで通知します • こちらのブログをご覧ください
アカウント利用料の通知 右図の構成にしています 1. EventBridgeを毎月末に実行 2. Lambdaを呼び出しCost Explorerか ら料金を取得 3. Slackに取得した料金を投稿
アカウント利用料の通知 右図の構成にしています 1. EventBridgeを毎月末に実行 2. Lambdaを呼び出しCost Explorerか ら料金を取得 3. Slackに取得した料金を投稿
アカウント利用料の通知 右図の構成にしています 1. EventBridgeを毎月末に実行 2. Lambdaを呼び出しCost Explorerか ら料金を取得 3. Slackに取得した料金を投稿
アカウント利用料の通知 右図の構成にしています 1. EventBridgeを毎月末に実行 2. Lambdaを呼び出しCost Explorerか ら料金を取得 3. Slackに取得した利用料を投稿
ControlTowerだけだと何が足りないの? • より強いセキュリティ設定 • アカウント内で異常が発生した時の仕組み • アカウント発行の仕組み • 各アカウントの予算設定 •
アカウント利用料を知るための仕組み • アカウント内を定期的にお掃除する仕組み、、、 →より使いやすい環境にするための設定を紹介します! ※当社の事例、かつ絶賛改善中なのでアドバイス絶賛募集中
サンドボックス環境のお掃除 検証環境だからって、不要なリソースが増えて料金が嵩んだらどうしよう、、、 それ、aws-nukeで解決できます • aws-nukeはアカウント内のリソースを強制的に自動削除するツールです • 指定したアカウント内のリソースを一気に削除します • nuke自体は無料です •
当社では、これを毎週末に自動実行しています • 今月中にブログを書きます書きました!
アーキテクチャ
アーキテクチャ
アーキテクチャ
アーキテクチャ
さいごに • サンドボックス環境、意外と簡単にいけそうですよね? • まずはインシデントを起こさないための設定が大事 • 社内で提案して、みんなを幸せにしてみましょう 😊