Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Invent 2024 で考えるAWSマルチアカウント管理における”Simple...

AWS re:Invent 2024 で考えるAWSマルチアカウント管理における”Simplexity” ~組織管理に関するアップデート~

大変遅くなり申し訳ありません。。
JAWS-UG朝会 #66 で発表した資料です。
https://jawsug-asa.connpass.com/event/338578/

■資料内に載せたリンク
〇AWSサービスアップデート
・Management & Governance/Security, Identity, & Complianceカテゴリ
https://aws.amazon.com/new/?nc1=h_ls&whats-new-content-all.sort-by=item.additionalFields.postDateTime&whats-new-content-all.sort-order=desc&awsf.whats-new-categories=marketing-marchitecture%23security-identity-and-compliance
・マルチアカウント環境を管理するための新しいポリシー
 - Introducing resource control policies (RCPs) to centrally restrict access to AWS resources(2024/11/14)https://aws.amazon.com/about-aws/whats-new/2024/11/resource-control-policies-restrict-access-aws-resources/
 - Amazon Web Services announces declarative policies(2024/12/2)https://aws.amazon.com/about-aws/whats-new/2024/12/aws-declarative-policies
・AWS Organizationsのメンバーアカウントのルートアクセスを一元管理できるようにする新しい機能
 - Centrally manage root access in AWS Identity and Access Management (IAM)(2024/11/16)https://aws.amazon.com/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/

〇AWSマルチアカウント管理の考え方!(5分編)p.22~
https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-5fen-bian?slide=23

〇References
・AmazonのボーガスCTOがre:Inventで語った、システムをシンプルに保つ6カ条
https://xtech.nikkei.com/atcl/nxt/column/18/03027/120700006/
・AWSのマルチアカウント管理で意外と知られていないOU設計の話
https://speakerdeck.com/pikosan0000/awsnomarutiakauntoguan-li-teyi-wai-tozhi-rareteinaioushe-ji-nohua
・OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ
https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome
・AWS Organizations の新しいタイプの認可ポリシーであるリソースコントロールポリシー (RCP) のご紹介
https://aws.amazon.com/jp/blogs/news/introducing-resource-control-policies-rcps-a-new-authorization-policy/
・宣言型ポリシーでガバナンスを簡素化する
https://aws.amazon.com/jp/blogs/news/simplify-governance-with-declarative-policies/
AWS Organizations を使用するお客様のためのルートアクセスの一元管理
https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/
・AWS Organizations は、メンバーアカウントを閉鎖するためのシンプルでスケーラブルかつより安全な方法を提供します
https://aws.amazon.com/jp/blogs/mt/aws-organizations-now-provides-a-simple-scalable-and-more-secure-way-to-close-your-member-accounts/
・Organizations で、メンバーアカウントのメールアドレスを変更する方法を教えてください。
https://repost.aws/ja/knowledge-center/organizations-change-member-email
・Managing organization policies with AWS Organizations
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html
・How AWS enforcement code logic evaluates requests to allow or deny access
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-denyallow.html
・SCP・RCP・宣言型ポリシーの違いを簡単に整理してみた
https://tech.nri-net.com/entry/scp_rcp_declarative_policies
・AWS アイデンティティおよびアクセス管理における回復力
https://docs.aws.amazon.com/IAM/latest/UserGuide/disaster-recovery-resiliency.html

■紹介ハッシュタグ
#地味でも大事なAWS
https://x.com/hashtag/%E5%9C%B0%E5%91%B3%E3%81%A7%E3%82%82%E5%A4%A7%E4%BA%8B%E3%81%AAAWS?src=hashtag_click

Hayato Tan

March 03, 2025
Tweet

More Decks by Hayato Tan

Other Decks in Technology

Transcript

  1. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. 丹 勇人(たん

    はやと) 自己紹介 ◼ NRIネットコム株式会社(2015年入社)クラウド事業推進部 主任 ⚫ AWSマルチアカウント環境の組織管理・運用支援 ⚫ AWSアカウント管理サービス プリセールス ◼ 2024 Japan AWS Ambassador(Associate Ambassador) ◼ 2024 Japan AWS Top Engineers(Security) ◼ AWS Community Builders(Security)since 2023 ◼ 2022 APN AWS Top Engineers(Service) ◼ AWS Certifications ⚫ 2024 Japan ALL AWS Certifications Engineers ◼ 秋田県出身 ◼ 子供5人
  2. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話すること 01

    複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 02 組織管理に関するAWSアップデート 03 組織管理における複雑性と課題例 04 組織管理の役割と”Simplexity” 05 Summary, References & Appendix 06
  3. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. 2025/1/29(水)12:00~13:00 開催済み勉強会の短縮版

    本日お話すること 1時間→20分間の短縮版です!後半を重点的にお話します 毎月2~3本勉強会開催してます
  4. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWSマルチアカウント管理における複雑性とシンプルな設計 本日お話すること

    AWS re:Invent 2024 の Dr. Werner Vogels Keynote では、大規模な分散システム構築の経験に 基づいて、複雑さを受け入れるための原則について語られました。 組織管理においても、AWS Organizations に関する機能や管理者の役割が増える中で複雑さを受け 入れ、いかにシンプルに設計するかという観点が必要となります。 AWS re:Invent 2024 前から発表されたアップデート機能を見ながら、組織管理における"Simplexity"に ついて考えてみます。 Complexity Simplicity
  5. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. 用語 本日お話すること

    ◼ AWS Organizations ⚫ 複数のAWSアカウントを一元管理できる無料のAWSサービス ▪組織内のAWSアカウントの一元管理 ▪すべてのメンバーアカウントの一括請求 など ◼ マネジメントアカウント ⚫ AWS Organizations の管理に使用する AWSアカウント ⚫ AWS Organizations で発生した料金の支払いを行う ⚫ AWS Organizations 内のアカウント作成や管理 ◼ メンバーアカウント AWS Organizations の組織に所属する管理アカウント以外のアカウント Management account Member accounts AWS Organizations
  6. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話すること 01

    複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 02 組織管理に関するAWSアップデート 03 組織管理における複雑性と課題例 04 組織管理の役割と”Simplexity” 05 Summary, References & Appendix 06
  7. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS re:Invent

    2024 - Dr. Werner Vogels Keynote をおさらい 複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 米Amazon.com のCTOであり、AWS の設計者の一人である Dr. Werner Vogels がAWSの開発 経験などを例に挙げながら、Keynoteでシンプルな設計の重要性を説いた。 大きく2部構成: • 第一部:複雑さにどのように取り組むか • 第二部:分散Database とそれを支える時計 ※新サービスの発表はなし 2名のゲストスピーカー: • Brendan Humphreys/ CTO, Canva • Robert Christiansen / VP of Engineering, Too Good To Go (出典:Announcements and updates from AWS re:Invent 2024 https://www.aboutamazon.com/news/aws/aws-reinvent-2024-keynote-live-news-updates)
  8. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. オッカムの剃刀 -

    シンプルさを指向する 複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 必要以上にオブジェクトを掛け算してはいけない、物事をシンプルに保つという考え方。 • 「ある事柄を説明する際に、必要以上に多くのことを仮定してはならない」 = シンプルな形を目指すべき もしくは、KISS原則: • Keep it simple (,) stupid.(シンプルで愚鈍にする) • Keep it short and simple.(簡潔で単純にしよう)
  9. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. 複雑さからは逃れられない 複雑さにどのように取り組むか(Dr.

    Werner Vogels Keynote) 多くの場合複雑さは避けられない。システムは時間の経過とともに複雑になるが、より多くの機能が追 加され良いことである。規模の拡大やセキュリティの問題など、あらゆる問題に対処する必要がある。 • 複雑化することは悪いことではない、 むしろ目指すべきこと(多機能化、スケール) 問題なのは結果として、「イノベーションが遅くなること」 • テスラーの複雑性保存の法則 「どんなシステムにもそれ以上減らせない複雑さがある」 →どこか別の場所へ移動することしかできない • 意図した複雑性と意図しない複雑性の見極めが重要 「意図した複雑性」 システムの拡張、新機能への適応 「意図しない複雑性」 パフォーマンス低下やデバッグ時間の増加 Unintended Complexity Intended Complexity
  10. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. 複雑さは警告であり、シンプルさには規律が必要 複雑さにどのように取り組むか(Dr.

    Werner Vogels Keynote) 複雑さは警告であり、進歩を妨げ、システムの柔軟性と信頼性を同時に維持することを妨げる。 物事をシンプルに保ちながら複雑さを加えるには、規律が必要。 exity Simpl 複雑さとシンプルさの間に 相補的な関係がある可能性を示唆する造語 Simplicity requires discipline
  11. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. 6つの教訓 複雑さにどのように取り組むか(Dr.

    Werner Vogels Keynote) 1. Make Evolvability a requirement(進化可能性を要件にする) 進化できるシステムを作る / 警告を見逃さない 2. Break Complexity into pieces(複雑さ細かく分解する) Expand or New / ビルディングブロック 3. Align organization to architecture(組織をアーキテクチャに合わせる) 組織はソフトウェアと同等以上に複雑である / 「いつもそうやっています」は危険信号 4. Organize into cells(セルベースのアーキテクチャについて) 複雑なシステムでは問題の影響範囲を減らす仕組みが必要 / 設計・開発より運用 フェーズの方が長いことを意識する 5. Design predictable systems(予測可能なシステムを設計する) 不確実性の影響を低減する / より、シンプルな選択を 6. Automate complexity(複雑さは自動化する) 自動化は複雑さを管理できるようにする / 「何を自動化しないか」が重要 進化する力 複雑性の細分化 組織形態 セルベース アーキテクチャ 予測可能な システムの設計 自動化
  12. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話すること 01

    複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 02 組織管理に関するAWSアップデート 03 組織管理における複雑性と課題例 04 組織管理の役割と”Simplexity” 05 Summary, References & Appendix 06
  13. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS Organizations

    によるガバナンスの変革 組織管理に関するAWSアップデート Management & Governance/Security, Identity, & Compliance ⚫ https://aws.amazon.com/new/?nc1=h_ls&whats-new-content-all.sort- by=item.additionalFields.postDateTime&whats-new-content-all.sort-order=desc&awsf.whats- new-categories=marketing-marchitecture%23security-identity-and-compliance AWSサービスアップデート: • マルチアカウント環境を管理するための新しいポリシー 1. Introducing resource control policies (RCPs) to centrally restrict access to AWS resources(2024/11/14) 2. Amazon Web Services announces declarative policies(2024/12/2) • AWS Organizationsのメンバーアカウントのルートアクセスを一元管理できるようにする新し い機能 1. Centrally manage root access in AWS Identity and Access Management (IAM) (2024/11/16)
  14. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS Organizations

    の3つのポリシーの整理 組織管理に関するAWSアップデート Service Control Policies(SCP), Resource Control Policy(RCP), Declarative Policies (宣言的ポリシー)の特徴 SCP RCP(新規) Declarative policies(新規) 目的 プリンシパルの権限の中 央管理 リソースへのアクセス権限の 中央管理 AWSサービスの設定の中央管理 制限方法 APIレベルの制限 APIレベルの制限 APIレベルの制限ではなく AWSサービスの望ましい設定を強制 例 プリンシパルが利用できる リージョンを制限 リソースへのアクセスをHTTPS に制限 VPC がパブリックアクセスできないよう に設定 ポリシー 承認ポリシー 承認ポリシー 管理ポリシー (出典:OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=17) ※出典の表に対して「ポリシー」の種類を追加しています
  15. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. RCP と

    SCP によるアクセス制御の適用 組織管理に関するAWSアップデート (出典:OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=19) RCP SCP 組織内のリソースに一貫 したアクセス制御を適用 組織内のプリンシパルに 一貫したアクセス制御を適用 ユースケースの例: • 外部IDによるリソースへの アクセスを防ぐ • 混乱する代理問題を統制 • 機密リソースへの統制の適 用 AWS Organizations ユースケースの例: • IDが外部リソースにアクセ スするのを防ぐ • 開発者が使用できるサービ スやリージョンを定義 • クラウドプラットフォームのリ ソースを保護 ※出典の図に対して各ポリシーが影響を及ぼす方向性 を追記しています
  16. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. 宣言的ポリシー(Declarative Policies

    for EC2)による予防的統制 組織管理に関するAWSアップデート 組織全体へのポリシー適用の維持が複雑な作業なく簡単に実現可能(GUIによる設定が可能) ◼課題 ⚫ SCPでの制限や AWS Config での検知を APIレベルで行っても望ましい制限で永続的に実現するためには、 新しいAPIや機能ごとにポリシーを見直す必要がある ◼実現すること ⚫ AWSサービスのコントロールプレーンにおいて、サービスレベルで直接適用されるため、宣言的ポリシーで設定した 状態は常に強制的に維持される ⚫ サポート機能 ▪(EC2)シリアルコンソールアクセス ▪(EC2) AMIのブロックパブリックアクセス ▪(EC2)許可されたAMIの利用設定 ▪(EC2)インスタンスメタデータのデフォルト設定 ▪(VPC) VPCのブロックパブリックアクセス ▪(EBS) EBSのスナップショットのブロックパブリックアクセス (出典:OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=20)
  17. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWSサービスのコントロールプレーンとは? 組織管理に関するAWSアップデート

    IAMリソースはIAMのコントロールプレーンに保管されており、AWSリソースの操作は各AWSサービスのエ ンドポイント経由でAPIからレプリカ相当のデータプレーンで認証・認可を実施 (出典:AWS アイデンティティおよびアクセス管理における回復力 https://docs.aws.amazon.com/IAM/latest/UserGuide/disaster-recovery-resiliency.html) IAMリソースの操作 AWSリソースの操作 AWSサービス バージニア北部リージョン 各リージョン AWS Identity and Access Management (IAM) AWS Identity and Access Management (IAM) コントロールプレーン データプレーン IAMエンドポイント IAMエンドポイント 構成変更の伝搬 ※簡素化のため、バージニア北部リージョンのデータプレーンを省略しています
  18. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS Organizations

    のメンバーアカウントのルートアクセスを一元管理できるようにする機能 組織管理に関するAWSアップデート (出典:OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=22) 煩雑だった組織全体のメンバーアカウントのルートユーザー認証情報の管理が簡単および不要に ◼課題 ⚫ AWS Organizations の各メンバーアカウントのルートユーザーの認証情報管理(MFA 等)や保護は煩雑 ⚫ 誤って設定した Amazon S3, Amazon SQS をロック解除するなど特定のアクションでルートアクセスは必要 ◼実現すること ⚫ ルートユーザーの認証情報をダッシュボードで管理アカウントから一元管理 ⚫ 管理アカウントからメンバーアカウントのルートユーザー認証情報の削除 ⚫ 管理アカウントからメンバーアカウントのS3バケットポリシー、SQSキューポリシーのロック解除
  19. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話すること 01

    複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 02 組織管理に関するAWSアップデート 03 組織管理における複雑性と課題例 04 組織管理の役割と”Simplexity” 05 Summary, References & Appendix 06
  20. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. 複雑さからは逃れられない 組織管理における複雑性と課題例

    多くの場合複雑さは避けられない。システムは時間の経過とともに複雑になるが、より多くの機能が追 加され良いことである。規模の拡大やセキュリティの問題など、あらゆる問題に対処する必要がある。 • 複雑化することは悪いことではない、 むしろ目指すべきこと(多機能化、スケール) 問題なのは結果として、「イノベーションが遅くなること」 • テスラーの複雑性保存の法則 「どんなシステムにもそれ以上減らせない複雑さがある」 →どこか別の場所へ移動することしかできない • 意図した複雑性と意図しない複雑性の見極めが重要 「意図した複雑性」 システムの拡張、新機能への適応 「意図しない複雑性」 パフォーマンス低下やデバッグ時間の増加 再掲 組織管理における 複雑性とは何か?
  21. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. 組織管理における複雑性 組織管理における複雑性と課題例

    「利用者」が負担するはずの複雑さ ↓(移動) <組織管理における複雑性> 規模の拡大やセキュリティの問題など あらゆる問題 意図しない複雑性 イノベーションが遅くなること 「組織」として負担する複雑さ
  22. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「AWS Organizations」を利用できるマルチアカウント管理で万事解決?

    組織管理における複雑性と課題例 A. いいえ、運用においても課題は発生します。 …etc. これらの課題に対処しながら、 組織管理が必要になります AWSアップデートに伴う組織管理機能の適応 制御すべき操作を制御できていないことによる問題発生 操作を制御しすぎた利用しづらい環境 組織単位の設計考慮不足による、組織レベルの障害が起きてしまう
  23. 23 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話すること 01

    複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) 02 組織管理に関するAWSアップデート 03 組織管理における複雑性と課題例 04 組織管理の役割と”Simplexity” 05 Summary, References & Appendix 06
  24. 24 Copyright(C) NRI Netcom, Ltd. All rights reserved. 6つの教訓 組織管理の役割と”Simplexity”

    1. Make Evolvability a requirement(進化可能性を要件にする) 進化できるシステムを作る / 警告を見逃さない 2. Break Complexity into pieces(複雑さ細かく分解する) Expand or New / ビルディングブロック 3. Align organization to architecture(組織をアーキテクチャに合わせる) 組織はソフトウェアと同等以上に複雑である / 「いつもそうやっています」は危険信号 4. Organize into cells(セルベースのアーキテクチャについて) 複雑なシステムでは問題の影響範囲を減らす仕組みが必要 / 設計・開発より運用 フェーズの方が長いことを意識する 5. Design predictable systems(予測可能なシステムを設計する) 不確実性の影響を低減する / より、シンプルな選択を 6. Automate complexity(複雑さは自動化する) 自動化は複雑さを管理できるようにする / 「何を自動化しないか」が重要 進化する力 複雑性の細分化 組織形態 セルベース アーキテクチャ 予測可能な システムの設計 自動化 再掲
  25. 25 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「進化する力」 組織管理の役割と”Simplexity”

    1. Make Evolvability a requirement(進化可能性を要件にする) 進化できるシステムを作る / 警告を見逃さない 進化する力 AWS Organizations Management account Organizational unit Organizational unit Organizational unit AWS CloudTrail Accounts Accounts AWS IAM Identity Center Accounts AWS Organizations を利用できる環境を導入して、 進化できる組織管理を実現
  26. 26 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「複雑性の細分化」 組織管理の役割と”Simplexity”

    2. Break Complexity into pieces(複雑さ細かく分解する) Expand or New / ビルディングブロック 複雑性の細分化 AWSアカウントを増やして分離することが可能 組織単位 (OU) 用語 説明 組織 一元管理可能なAWSアカウント の集まり 管理アカウント 組織を管理するAWSアカウント。 組織に1つだけ存在する メンバーアカウント 組織に属するAWSアカウント 組織単位(OU) 組織内のAWSアカウントの管理 単位 サービス コントロールポリシー (SCP) AWSリソースの利用許可・禁止を 定義したルールセット 組織ルート 組織単位 (OU) 組織単位 (OU) 管理 アカウント メンバー アカウント メンバー アカウント メンバー アカウント メンバー アカウント SCP SCP SCP
  27. 27 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「アーキテクチャーに合わせた組織形態」 組織管理の役割と”Simplexity”

    3. Align organization to architecture(組織をアーキテクチャに合わせる) 組織はソフトウェアと同等以上に複雑である / 「いつもそうやっています」は危険信号 所有権(Ownership) = 主体性(agency)+ 緊急性(urgency) 組織形態 各チームにオーナーシップを持たせる 中央集権化が必要か考える 非中央集権型 中央集権型 or
  28. 28 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「(小さく分割した『セル』単位で考える)セルベースアーキテクチャ」 組織管理の役割と”Simplexity”

    4. Organize into cells(セルベースのアーキテクチャについて) 複雑なシステムでは問題の影響範囲を減らす仕組みが必要 / 設計・開発より運用 フェーズの方が長いことを意識する 組織単位(Organizational Units:OUs)を 正しく設計することにより、問題の影響範囲を減らすことができる セルベース アーキテクチャ Root/OU名 説明 想定アカウント Root Organizationsのルート マネジメントアカウント Security OU セキュリティ関連のアクセスやサービスをホスト 監査、ログアーカイブ、セキュリティツール Infrastructure OU ネットワーク/ITサービス等の共有インフラストラクチャサービス を管理 バックアップ、監視、ネットワーク、メッセージング サービスなど Workload OU ソフトウェアライフサイクルに関連するAWSアカウントを管理 子OU(DEV-OU/STG-OU/PROD-OU)の実装も検討 事業部アカウント Sandbox OU 技術者がAWSサービスを学び、試すためのOU 個々の技術者アカウント Policy Staging OU ポリシーや構造の変更をテストするためのOU テスト用アカウント Suspended OU 閉鎖され、削除待ちのAWSアカウントを含むOU 停止アカウント Individual Business Users OU ビジネスユーザーのためのAWSアカウントを含むOU S3バケット設定用アカウント Exceptions OU 特定ユースケースに対する例外ポリシーを適用するためのOU 特殊プロジェクト用アカウント Deployments OU CI/CDデプロイ用AWSアカウントを管理するためのOU デプロイ用アカウント (出典:AWSのマルチアカウント管理で意外と知られていないOU設計の話 https://speakerdeck.com/pikosan0000/awsnomarutiakauntoguan-li-teyi-wai-tozhi-rareteinaioushe-ji-nohua?slide=32) ※出典の表に対して「Sandbox OU」等を追記しています
  29. 29 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「予測可能なシステムの設計」 組織管理の役割と”Simplexity”

    5. Design predictable systems(予測可能なシステムを設計する) 不確実性の影響を低減する / より、シンプルな選択を 解約済みアカウントを考慮した設計も必要 予測可能な システムの設計 Root/OU名 説明 想定アカウント Root Organizationsのルート マネジメントアカウント Security OU セキュリティ関連のアクセスやサービスをホスト 監査、ログアーカイブ、セキュリティツール Infrastructure OU ネットワーク/ITサービス等の共有インフラストラクチャサービス を管理 バックアップ、監視、ネットワーク、メッセージング サービスなど Workload OU ソフトウェアライフサイクルに関連するAWSアカウントを管理 子OU(DEV-OU/STG-OU/PROD-OU)の実装も検討 事業部アカウント Sandbox OU 技術者がAWSサービスを学び、試すためのOU 個々の技術者アカウント Policy Staging OU ポリシーや構造の変更をテストするためのOU テスト用アカウント Suspended OU 閉鎖され、削除待ちのAWSアカウントを含むOU 停止アカウント Individual Business Users OU ビジネスユーザーのためのAWSアカウントを含むOU S3バケット設定用アカウント Exceptions OU 特定ユースケースに対する例外ポリシーを適用するためのOU 特殊プロジェクト用アカウント Deployments OU CI/CDデプロイ用AWSアカウントを管理するためのOU デプロイ用アカウント
  30. 30 Copyright(C) NRI Netcom, Ltd. All rights reserved. 「自動化」 組織管理の役割と”Simplexity”

    6. Automate complexity(複雑さは自動化する) 自動化は複雑さを管理できるようにする / 「何を自動化しないか」が重要 自動化 AWS Control Tower Management Amazon S3 • CloudTrail Logs • Config Logs Log Archive Audit AWS Config Aggregator AWS Organizations AWS IAM Identity Center Security Baseline Network Baseline Amazon Simple Notification Service (Amazon SNS) Security OU Workloads OU AWSアカウント管理や ガードレール、セキュリティ設定の 自動化を考える
  31. 31 Copyright(C) NRI Netcom, Ltd. All rights reserved. (参考)AWSマルチアカウント管理で活用できるAWSサービスや機能 組織管理の役割と”Simplexity”

    ◼AWSマルチアカウント管理の考え方!(5分編)p.22~ https://speakerdeck.com/htan/awsmarutiakauntoguan-li-nokao-efang-5fen- bian?slide=23
  32. 32 Copyright(C) NRI Netcom, Ltd. All rights reserved. 本日お話すること 01

    AWSマルチアカウント管理の必要性と組織管理 02 組織管理に関するAWSアップデート 03 組織管理における複雑性と課題例 04 組織管理の役割とシンプルな設計観点 05 Summary, References & Appendix 06
  33. 33 Copyright(C) NRI Netcom, Ltd. All rights reserved. Summary Summary,

    References & Appendix ◼複雑さにどのように取り組むか(Dr. Werner Vogels Keynote) ➢複雑さからは逃れられない ➢「意図しない複雑性」を見極めて、「イノベーションが遅くなる」問題を避ける ➢6つの教訓 ◼組織管理に関するAWSアップデート ➢マルチアカウント環境を管理するための新しいポリシー(RCP、宣言的ポリシー) ➢AWS Organizationsのメンバーアカウントのルートアクセスを一元管理できるようにする新しい機能 ◼組織管理における複雑性と課題例 ➢「利用者」が負担するはずの複雑さ → 「組織」として負担する複雑さ ➢AWS Organizations を利用したマルチアカウント管理で万事解決ではない ◼組織管理の役割とシンプルな設計観点 ➢6つの教訓から組織管理の役割を考える
  34. 34 Copyright(C) NRI Netcom, Ltd. All rights reserved. References Summary,

    References & Appendix ◼ AmazonのボーガスCTOがre:Inventで語った、システムをシンプルに保つ6カ条 https://xtech.nikkei.com/atcl/nxt/column/18/03027/120700006/ ◼ AWSのマルチアカウント管理で意外と知られていないOU設計の話 https://speakerdeck.com/pikosan0000/awsnomarutiakauntoguan-li-teyi-wai-tozhi-rareteinaioushe-ji-nohua ◼ OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome ◼ AWS Organizations の新しいタイプの認可ポリシーであるリソースコントロールポリシー (RCP) のご紹介 https://aws.amazon.com/jp/blogs/news/introducing-resource-control-policies-rcps-a-new-authorization-policy/ ◼ 宣言型ポリシーでガバナンスを簡素化する https://aws.amazon.com/jp/blogs/news/simplify-governance-with-declarative-policies/ ◼ AWS Organizations を使用するお客様のためのルートアクセスの一元管理 https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws- organizations/ ◼ AWS Organizations は、メンバーアカウントを閉鎖するためのシンプルでスケーラブルかつより安全な方法を提供します https://aws.amazon.com/jp/blogs/mt/aws-organizations-now-provides-a-simple-scalable-and-more-secure- way-to-close-your-member-accounts/ ◼ Organizations で、メンバーアカウントのメールアドレスを変更する方法を教えてください。 https://repost.aws/ja/knowledge-center/organizations-change-member-email
  35. 35 Copyright(C) NRI Netcom, Ltd. All rights reserved. References(Others) Summary,

    References & Appendix ◼ Managing organization policies with AWS Organizations https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html ◼ How AWS enforcement code logic evaluates requests to allow or deny access https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval- denyallow.html ◼ SCP・RCP・宣言型ポリシーの違いを簡単に整理してみた https://tech.nri-net.com/entry/scp_rcp_declarative_policies ◼ AWS アイデンティティおよびアクセス管理における回復力 https://docs.aws.amazon.com/IAM/latest/UserGuide/disaster-recovery-resiliency.html
  36. 36 Copyright(C) NRI Netcom, Ltd. All rights reserved. Appendix Summary,

    References & Appendix Xのおすすめハッシュタグ #地味でも大事なAWS AWS公式ブログやAWSサービスアップデート情報 AWSサービスアップデートの中でも役に立つアップデート情報をワンポイント日本語コメント付きで発信 してくれています 組織管理や運用に役立つ情報が多いので注目してます!