Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSマルチアカウント管理の考え方!(5分編)
Search
Hayato Tan
November 13, 2023
Technology
12
2.3k
AWSマルチアカウント管理の考え方!(5分編)
JAWS-UG朝会#51_20231106_AWSマルチアカウント管理の考え方!(5分編)
Hayato Tan
November 13, 2023
Tweet
Share
More Decks by Hayato Tan
See All by Hayato Tan
もうすぐ AWS re:Invent 2024! AWS CTO の Articles から見る AWS re:Invent 2020 - 2023
htan
1
37
Anti-patterns from security best practices in AWS Identity and Access Management (AWS IAM)
htan
0
22
AWS IAMのアンチパターン/AWSが考える最低権限実現へのアプローチ概略(JAWS-UG朝会#59資料改修20分版)
htan
1
670
AWS IAMのアンチパターン/AWSが考える最低権限実現へのアプローチ概略(NRIネットコム TECH&DESIGN STUDY #34)
htan
6
780
AWSマルチアカウント管理の考え方!~利用規模に応じたAWSアカウント分割とマルチアカウント管理におけるセキュリティ統制~
htan
1
690
Other Decks in Technology
See All in Technology
誰も全体を知らない ~ ロールの垣根を超えて引き上げる開発生産性 / Boosting Development Productivity Across Roles
kakehashi
1
220
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
310
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
TypeScript、上達の瞬間
sadnessojisan
46
13k
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
Featured
See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
329
21k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Building an army of robots
kneath
302
43k
A better future with KSS
kneath
238
17k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Transcript
AWSマルチアカウント管理の考え方!(5分編) ~利用規模に応じたAWSアカウント分割と マルチアカウント管理におけるセキュリティ統制~ 2023年11月6日 NRIネットコム株式会社 クラウド事業推進部 丹 勇人 JAWS-UG 朝会
#51
1 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自己紹介&本日の主題
01 AWSアカウントの分割 02 AWSアカウントの管理方法 03 AWSマルチアカウント管理におけるセキュリティ統制の考え方 04 マルチアカウント管理で活用できるAWSサービスや機能 05 Summary, References & Appendix 06 20s 25s 60s 60s 50s 45s
2 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します NRI
NETCOM TECH & DESIGN STUDY 自己紹介&本日の主題 過去2023/8/29に25分間で話した内容を5分間に短縮して話します。 NRIネットコム勉強会「NRI NETCOM TECH & DESIGN STUDY」毎月開催してます! 5s TECH PLAY NRIネットコムのイベント・技術情報
3 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 丹
勇人(たん はやと) 自己紹介&本日の主題 ◼ NRIネットコム株式会社 現在 クラウド事業推進部 所属 ◼ 2022 APN AWS Top Engineer(Service) ◼ AWS Community Builder(Security) since 2023 ◼ AWS認定 「AWS認定SAP on AWS」以外の11個 ◼ 認定スクラムマスター(アジャイル) ◼ 直近のプロジェクト ⚫ AWS環境の構築・運用支援 ⚫ AWSマルチアカウント環境の組織管理・運用支援 ⚫ AWSアカウント管理(請求代行)、技術サポート ◼ その他プロフィール ⚫ 秋田県出身→福島県→東京都→東京郊外 ⚫ 子供4人(育休ブログ、他TECHブログ書いてます) 5s
4 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 本日の主題
自己紹介&本日の主題 ◼本日お話すること ⚫AWSアカウントを分割する観点 ⚫AWSアカウントの管理方法 ⚫AWSマルチアカウント管理におけるセキュリティ統制の考え方 ⚫マルチアカウント管理で活用できるAWSサービスや機能 ◼本日お話しないこと ⚫AWS利用料の削減方法 ⚫AWS Service Catalogを利用したアカウント管理 ⚫AWS Control Tower の機能紹介と活用方法 5s
5 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 用語
自己紹介&本日の主題 ◼ AWS Organizations ⚫ 複数のAWSアカウントを一元管理できる無料のAWSサービス ▪組織内のAWSアカウントの一元管理 ▪すべてのメンバーアカウントの一括請求 など ◼ マネジメントアカウント ⚫ AWS Organizations の管理に使用する AWSアカウント ⚫ AWS Organizations で発生した料金の支払いを行う ⚫ AWS Organizations 内のアカウント作成や管理 ◼ メンバーアカウント AWS Organizations の組織に所属する管理アカウント以外のアカウント Management account Member accounts AWS Organizations 5s
6 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自己紹介&本日の主題
01 AWSアカウントを分割する観点 02 AWSアカウントの管理方法 03 AWSマルチアカウント管理におけるセキュリティ統制の考え方 04 マルチアカウント管理で活用できるAWSサービスや機能 05 Summary, References & Appendix 06
7 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSで実現したい環境
AWSアカウントを分割する観点 ◼Stay Secure → Secure&compliant ⚫セキュリティ要件に準拠した(Compliant)環境を実現したい →組織のセキュリティや監査要件に適合する環境 ◼Move Fast → Scalable&resilient ⚫アイディアを実現するためのシステム開発を迅速化したい →高可用性でスケーラブルなワークロードに対応できる環境 ◼Build → Adaptable&flexible ⚫ビジネス価値の創出にフォーカスしたい →ビジネス要件の変更に対応するよう設定変更できる環境 5s
8 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSで実現したい環境における課題
AWSアカウントを分割する観点 請求 多数のチーム ビジネスプロセス セキュリティ/ コンプライアンス統制 様々な用途(目的) 10s
9 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSアカウントの分離観点
AWSアカウントを分割する観点 理想的な環境を実現するために、主に4つの観点でAWSアカウントを分割することを考え ます。 操作や影響範囲を限定するため に、開発/ステージング/本番など の環境に分離する 環境 ワークロード(システム) ビジネスプロセス(部門等) 請求 事前に定義されたガバナンス/ ルールの中で、特定のビジネス部 門に限定して分離する 部門やシステムの単位でAWSの コストを明確に分離する 利用者やデータ分類の違いなど に応じて、メイン/サブシステムや、 外部向け/社内向けに分離する 10s
10 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自己紹介&本日の主題
01 AWSアカウントの分割 02 AWSアカウントの管理方法 03 AWSマルチアカウント管理におけるセキュリティ統制の考え方 04 マルチアカウント管理で活用できるAWSサービスや機能 05 Summary, References & Appendix 06
11 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します あなたの会社は
AWSアカウントをいくつ 管理していますか? 5s
12 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 利用規模に応じて変わるAWSアカウント管理方法
AWSアカウントの管理方法 今まで自社含め様々な会社のAWSアカウント管理と向き合ってきましたが、アカウント管理方法は大きく3つに分かれます。AWS 利用規模が大きくなるにつれて、AWSアカウントの数も増えていきます。 ◼ 単独アカウントで管理:AWSアカウント数「1」 ◼ マルチアカウントで管理:AWSアカウント数「2~10程度」 ◼ 組織としてマルチアカウントで管理:AWSアカウント数「10以上、~数百」 AWS Organizations Production Account Develop Account Audit Account Management account Organizational unit Account 10s
13 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 単独アカウントで管理:AWSアカウント数「1」
AWSアカウントの管理方法 最初にAWSアカウントを作成すると、1アカウント単独での管理となります。 この場合、1つのAWSアカウント上にVPCを作成して、VPC上にワークロード(システム)を構築していきます。 この時、構築するシステムが増えるに従って以下のような課題が出てきます。 結果として、 「グレーな」境界で曖昧になり、責任の押し付け合いが発生します。 ◼ 課題①アクセス制御:IAMによるアクセス制御の複雑化、VPC単位のアクセス制御 ◼ 課題②可視化/トラッキング:コスト配分タグを利用したコスト分離が必要、リソースのトラッキングが難しい ◼ 課題③クォータ制約:リソース増加に伴い、クォータ制約の上限緩和が必要 Virtual private cloud (VPC) Amazon Elastic Compute Cloud (Amazon EC2) VPC Amazon EC2 VPC Amazon EC2 AWS account 15s
14 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します マルチアカウントで管理:AWSアカウント数「2~10程度」
AWSアカウントの管理方法 AWSアカウントが2~10アカウント程度まではマルチアカウントで個々にAWSアカウントを管理することができます。 この場合、IAMの踏み台アカウントを用意して、IAMユーザを一元管理します。クロスアカウントIAMロールにより各AWSアカウントへス イッチするアクセス制御を考えます。 この時、構築するシステムが増えていくに従って以下のような課題が出てきます。 共通アカウントや監査/ログ集約のアカウントが必要になり、管理するシステムが増えるとAWSアカウントも増えます。 ◼ 課題①アクセス制御:IAMユーザ/ロール(クロスアカウントロール)が増えることにより管理負荷が増加 ◼ 課題②可視化/トラッキング:個々のアカウント単位の請求、アカウント単位のログ集約となり一元管理できない ◼ 課題③クォータ制約:アカウント毎のクォータ管理となり、課題は解消。ただし、制約の意識は必要 VPC Amazon EC2 AWS account AWS account Role VPC Amazon EC2 AWS account Role AWS CloudTrail AWS CloudTrail 15s
15 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織としてマルチアカウントで管理:AWSアカウント数「10以上~数百」
AWSアカウントの管理方法 AWSアカウントが10アカウントを超えると、アカウントを個々で管理することが難しくなり、「AWS Organizations」 を利用した組織としてのマルチアカウント管理が必要となります。 AWS IAM Identity Center、AWS Organizationsの一括請求やService Control Policy(SCP)、 CloudFormation StackSets等のAWSサービス・機能を利用してマルチアカウントを管理します。 単体、個々でマルチアカウント管理する際に抱えていた課題が解消されます。 ◼ 課題①アクセス制御:AWS IAM Identity Centerによるアクセス制御の一元管理可能 ◼ 課題②可視化/トラッキング:複数アカウントの一括請求、AWS CloudTrail等の組織単位のログ一元管理可能 ◼ 課題③クォータ制約:アカウント毎のクォータ管理となり、課題は解消。ただし、制約の意識は必要 AWS Organizations Management account Organizational unit Organizational unit Organizational unit AWS CloudTrail Accounts Accounts AWS IAM Identity Center Accounts 15s
16 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自己紹介&本日の主題
01 AWSアカウントの分割 02 AWSアカウントの管理方法 03 AWSマルチアカウント管理におけるセキュリティ統制の考え方 04 マルチアカウント管理で活用できるAWSサービスや機能 05 Summary, References & Appendix 06
17 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 近年より一層求められるアジリティとセキュリティの両立
AWSマルチアカウント管理におけるセキュリティ統制の考え方 昨今デジタルトランスフォーメーションによる変化が求められ、アジャイル開発の導入も進み、 よりアジリティとセキュリティの両立が開発者に求められるようになっています。 ◼アジリティ ⚫ 市場環境のデジタル化に伴いビジネス要件の 変更に素早く対応する動きが求めれる ⚫ 大小規模に関わらずシステム開発の効率や 生産性の高い、対応スピードが求められる ◼セキュリティ ⚫ Security is our top priority (セキュリティは最優先事項) ⚫ 日々変化するセキュリティ状況に柔軟に対応 する設定が必要 20s
18 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します GateKeeper
vs Guardrail AWSマルチアカウント管理におけるセキュリティ統制の考え方 セキュリティ統制に求められるのは、GateKeeperではなく、セキュリティ制約を逸脱せずに必 要に応じて正常な状態に戻すことができるGuardrailです。 各システムの利用を事前承認制(GateKeeper)にすると管理業務がボトルネックとなります。各システムで自由に利用してもらう一 方で、開発者を守るためガードレール(Guardrail)を用意します。2種類のガードレールを設定します。 • やってはいけない操作を未然に防ぐこと(予防的統制)= AWS Organizations の Service Control Policy(SCP) • 逸脱を検知すること(発見的統制)= AWS Config ◼GateKeeper(門番) ◼Guardrail(防護柵) VS 20s
19 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します NISTサイバーセキュリティフレームワーク(NIST
CSF) AWSマルチアカウント管理におけるセキュリティ統制の考え方 米国国立標準研究所が提供するサ イバーセキュリティフレームワークは、企業・ 組織がサイバーセキュリティ対策を向上 させるための指針として利用されます。 CSFは、コア、ティア、プロファイルの3つ の要素で構成されており、右記の表は 分類ごとにまとめられたサイバーセキュリ ティ対策の一覧であるCSFコアとなりま す。 『防御』と『検知』の一部カテゴリーが以 下のAWSのアカウントセキュリティサービ スにあたります。 • AWS CloudTrail • Amazon GuardDuty • AWS Security Hub 分類 カテゴリー 特定 (Identity) • 資産管理 • ビジネス環境 • ガバナンス • リスクアセスメント • リスクアセスメント管理 防御 (Protect) • アクセス制御 • 意識向上およびトレーニング • データセキュリティ • 情報を保護するためのプロセスおよび手順 • 保守 • 保護技術 検知 (Detect) • 異常とイベント • セキュリティの継続的なモニタリング • 検知プロセス 対応 (Respond) • 対応計画の作成 • コミュニケーション • 分析 • 低減 復旧 (Recover) • 復旧計画の作成 • 改善 • コミュニケーション (出典:Framework for Improving Critical Infrastructure Cybersecurity) https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000071204.pdf 20s
20 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ゼロトラスト・セキュリティ
AWSマルチアカウント管理におけるセキュリティ統制の考え方 ゼロトラストとは、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムにアクセ スするものは全て信用せずに検証することで、脅威を防ぐという考え方です。 クラウドセキュリティというソリューションにおいて、ID管理やアクセスコントロール等のクラウドアクセス制御が 必要になります。 Trust but Verify (信ぜよ、されど確認せよ) Verify and Never Trust (決して信頼せず必ず確認せよ) (出典1:米国防総省 Zero Trust Reference Architecture) https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v2.0(U)_Sep22.pdf (出典2:ゼロトラスト・セキュリティとは? ) https://www.nri-secure.co.jp/service/zerotrust 20s
21 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自己紹介&本日の主題
01 AWSアカウントの分割 02 AWSアカウントの管理方法 03 AWSマルチアカウント管理におけるセキュリティ統制の考え方 04 マルチアカウント管理で活用できるAWSサービスや機能 05 Summary, References & Appendix 06
22 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWSマルチアカウント管理で活用できるAWSサービスや機能
AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Organizations(SCP) AWS Config AWS CloudTrail Amazon GuardDuty AWS Security Hub AWS CloudFormation/ AWS CloudFormation StackSets AWS IAM Identity Center AWS Identity and Access Management(IAM) Access Analyzer ガードレール セキュリティ対策 (防御・検知) ゼロトラスト・セキュリティ リソース管理 10s
23 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
Organizations(SCP) AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Organizationsには、大きく分けて2つの主な機能があります。そのうち、Service Control Policy(SCP)を利用することで、組織ユニット単位での権限に関するガードレールを作成することができ、 コンプライアンスからはみ出してしまうようなアクションを防ぐことができます。 ◼ 一括請求機能 ⚫ 組織内のAWSアカウントに対する請求をまとめて管理 ⚫ 組織内のAWSアカウントの請求設定を一元管理 ◼ Service Control Policy(SCP)機能 ⚫ 組織ユニット単位で複数のAWSアカウントに適用するポリシーを集中管理 ガードレール AWS Organizations SCP適用イメージ 拒否 拒否 許可 IAM SCP SCPサンプル { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "iam:CreateAccessKey" ], "Resource": "*" } ・・・ Management account Organizational unit Organizational unit Accounts Account SCP SCP 5s
24 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
Config AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Configは、AWS上のリソースの構成(設定と関係)を継続的に評価、監査、診断するサービスです。 マルチアカウント管理において、AWS Configは組織単位で集約設定をすることで、監査用途のアカウントに各リージョ ン・各アカウントのConfigデータを集約することができます。一方で、各アカウントのConfig有効化自体は個々に設定 する必要があり、AWS CloudFormation StackSetsを活用できます。 AWS Configには、自動修復機能もあり、一部のAWS Configルールに対して、コンプライアンスを逸脱した設定を自 動的に正しい設定に戻すことも可能です。(一部AWS Configルールの自動修復機能は大阪リージョン未対応) ガードレール 5s
25 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
CloudTrail AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS CloudTrailは、AWSインフラストラクチャ全体のアカウントアクティビティをモニタリングや記録して、アクティビティ ログを保管することができるサービスです。 マルチアカウント管理において、AWS CloudTrailは組織単位で証跡の有効化を設定することができます。 監査用途のS3バケットをマネジメントアカウント以外に作成して、AWS CloudTrailのログ保管先として指定することで、 監査用途のAWSアカウントにAWS CloudTrailログを集約することができます。 セキュリティ対策 (防御・検知) 5s
26 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon
GuardDuty AWSマルチアカウント管理で活用できるAWSサービスや機能 Amazon GuardDutyは、悪意のあるアクティビティに対してAWSアカウントとワークロードを継続的にモニタリングし、 可視化と修復するための詳細なセキュリティ調査結果を提供する脅威検出サービスです。 マルチアカウント管理において、Amazon GuardDutyは組織単位で集約設定をすることで、監査用途のアカウントに 各アカウントのAmazon GuardDutyの検知データをリージョン毎に集約することができます。 セキュリティ対策 (防御・検知) 5s
27 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
Security Hub AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Security Hubは、セキュリティのベストプラクティスに沿った設定のチェックを行い、セキュリティアラートを集約し、 一元管理できるサービスです。 マルチアカウント管理において、AWS Security Hubは組織単位で集約設定をすることで、監査用途のアカウントに各 アカウントのAWS Security Hubの検知データをリージョン毎に集約することができます。 AWS Security Hub自体の有効化、および、AWS Security Hubセキュリティ標準の自動有効化を設定することがで きますが、要件に応じて自動有効化の設定を行う必要があります。 セキュリティ対策 (防御・検知) 5s
28 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
CloudFormation/CloudFormation StackSets AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS CloudFormationは、インフラストラクチャをコードとして扱うことで、AWSのリソースをモデル化、プロビジョニング、 管理することができるサービスです。 複数AWSアカウントに対してまとめて展開できるのがAWS CloudFormation StackSetsになります。 マルチアカウント管理においては、AWS CloudFormation StackSetsを利用して、各AWSアカウントに CloudFormationスタックを展開します。 リソース管理 ◼「組織なし」のマルチアカウント管理における AWS CloudFormation StackSets ◼「組織」としてのマルチアカウント管理における AWS CloudFormation StackSets Role AWS Audit アカウント AWSアカウント Stack Stack Sets AWS CloudFormation AWS STS Temporary security credential Role 5s
29 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
IAM Identity Center AWSマルチアカウント管理におけるセキュリティ統制の考え方 AWS IAM Identity Centerは、複数AWSアカウントへのアクセスを一元管理するサービスです。各AWSアカウント へのシングルサインオン(SSO)アクセスが可能になります。 マルチアカウント管理において、AWS IAM Identity CenterはID管理を行うための重要な役割のサービスです。マネジ メントアカウントで利用することができ、機能の大半をメンバーアカウントへ委任して管理することもできます。 AWS IAM Identity CenterのID CenterディレクトリやActive DirectoryでID管理を行うことができますが、Okta, Azure AD, OneLogin等の外部IDプロバイダーに接続してID管理することもできます。 ゼロトラスト・セキュリティ 外部ID プロバイダー (IdPs) 各AWSアカウント AWS利用者 認証情報の要求 認証情報の提供 IdPへログイン AWSアカウントへSSO AWS IAM Identity Center 5s
30 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します AWS
Identity and Access Management(IAM) Access Analyzer AWSマルチアカウント管理におけるセキュリティ統制の考え方 AWS IAM Access Analyzerは、IAMポリシーの検証やパブリックアクセスおよびクロスアカウントアクセスを検出する ことができるサービスです。 IAM Access Analyzerが有効になっているAWSリージョンで、IAMポリシーやIAMロールだけではなく、Amazon Simple Storage Service(S3)バケットやAWS Lambda関数等のリソースタイプを分析することもできます。 ゼロトラスト・セキュリティ AWS Organizations Management account Account Account IAM Access Analyzer 外部の組織 アクセス元 Resources アクセス 集約 AWS Organizations Management account Account Account IAM Access Analyzer Resources 集約 ◼組織外からのアクセスリソース検知/集約 ※IAM Access Analyzerの機能により実装可能 ◼組織内のアクセスリソース検知/集約 ※別途実装が必要 Resources 検知 検知 Resources Resources 5s
31 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 自己紹介&本日の主題
01 AWSアカウントの分割 02 AWSアカウントの管理方法 03 AWSマルチアカウント管理におけるセキュリティ統制の考え方 04 マルチアカウント管理で活用できるAWSサービスや機能 05 Summary, References & Appendix 06
32 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Summary
Summary, References & Appendix ◼AWSアカウントを分割する観点 ⚫ 理想的な環境を実現するために、「環境」 「ワークロード(システム)」「ビジネスプロセス(部門等)」 「請 求」の4つの観点でアカウント分割することを考えます ◼AWSアカウントの管理方法 ⚫ 利用規模(AWSアカウント数)に応じた3つのAWSアカウント管理方法の内、「組織としてマルチアカウント で管理」をすることで、アクセス制御・可視化/トラッキング・クォータ制約の課題を解消できます ◼AWSマルチアカウント管理におけるセキュリティ統制の考え方 ⚫ 近年より一層求められるアジリティとセキュリティの両立 ⚫ 「ガードレール(Guardrail)」「NISTセキュリティフレームワークの『防御』と『検知』」「ゼロトラスト・セキュリティ」で セキュリティ統制を考えます ◼マルチアカウント管理で活用できるAWSサービスや機能 ⚫ 各AWSサービスや機能をマルチアカウント管理で活用できます ▪AWS Organizations(SCP) ▪AWS Config ▪AWS CloudTrail ▪Amazon GuardDuty ▪AWS Security Hub ▪AWS CloudFormation AWS CloudFormation StackSets ▪AWS IAM Identity Center ▪AWS Identity and Access Management (IAM) Access Analyzer 30s
33 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します References
Summary, References & Appendix ◼AWSマルチアカウント管理 ⚫ マルチアカウント管理の基本 https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online ⚫ AWSの薄い本II アカウントセキュリティのベーシックセオリー https://takuros.booth.pm/items/1919060 ◼NISTサイバーセキュリティフレームワーク(NIST CSF) ⚫ Framework for Improving Critical Infrastructure Cybersecurity https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000071204.pdf ◼ゼロトラスト・セキュリティ ⚫ 米国防総省 Zero Trust Reference Architecture https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v2.0(U)_Sep22.pdf ⚫ ゼロトラスト・セキュリティとは? https://www.nri-secure.co.jp/service/zerotrust ◼AWS CloudFormation StackSets ⚫ AWS CloudFormation StackSetsの仕組み・機能、マネジメントコンソールとAPIの関係、デプロイターゲットの アカウントフィルター、パラメータの意味・役割に関するまとめ https://tech.nri-net.com/entry/summary_of_aws_cloudformation_stacksets 10s
34 Copyright(C) NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Appendix
Summary, References & Appendix AWS Control Towerは、安全なマルチアカウントAWS環境のセットアップと管理ができるAWSサービスです。 AWS Organizationsでのマルチアカウント管理を既に運用している状態での導入は制約等により難しいため、可能で あればマネジメントアカウントを作成した際に初期導入することをお勧めします。 (出典:AWS Control Tower)https://aws.amazon.com/jp/controltower/ 5s
None