Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第124回 雲勉【オンライン】AWS Organizations / AWS Control ...
Search
iret.kumoben
January 11, 2024
Technology
0
210
第124回 雲勉【オンライン】AWS Organizations / AWS Control Towerの概要とcloudpackサービメニューの紹介
下記、勉強会での資料です。
https://youtu.be/keGP6x-XLxw
iret.kumoben
January 11, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第174回 雲勉 Google Agentspace × ADK Vertex AI Agent Engineにデプロイしたエージェントを呼び出す
iret
0
12
第173回 雲勉 ノーコードで生成 AI アプリを構築!Google Cloud AI Applications(旧 Vertex AI Agent Builder)入門
iret
0
41
第170回 雲勉 Lyria が切り拓く音楽制作の未来
iret
1
27
第169回 雲勉 AWS WAF 構築 RTA
iret
0
35
第168回 雲勉 JITNAの使い方とハマったポイントについて語る回
iret
0
39
第167回 雲勉 エージェント開発を加速する Agent Development Kit 入門
iret
1
51
第166回 雲勉 コードを読んで理解する AWS Amplify Gen2 Backend
iret
0
45
第165回 雲勉 Google Agentspace について
iret
0
65
第164回 雲勉 Agent Development Kit と MCP Toolbox for Databases で MCP 連携してみた
iret
1
120
Other Decks in Technology
See All in Technology
DDD集約とサービスコンテキスト境界との関係性
pandayumi
2
250
大「個人開発サービス」時代に僕たちはどう生きるか
sotarok
19
8.6k
異業種出身エンジニアが気づいた、転向して十数年経っても変わらない自分の武器とは
macnekoayu
0
280
実運用で考える PGO
kworkdev
PRO
0
140
Kubernetes における cgroup v2 でのOut-Of-Memory 問題の解決
pfn
PRO
0
460
Kubernetes における cgroup driver のしくみ: runwasi の bugfix より
z63d
2
130
ヘブンバーンズレッドにおける、世界観を活かしたミニゲーム企画の作り方
gree_tech
PRO
0
490
【 LLMエンジニアがヒューマノイド開発に挑んでみた 】 - 第104回 Machine Learning 15minutes! Hybrid
soneo1127
0
280
ChatGPTとPlantUML/Mermaidによるソフトウェア設計
gowhich501
1
110
生成AI時代に必要な価値ある意思決定を育てる「開発プロセス定義」を用いた中期戦略
kakehashi
PRO
1
270
シークレット管理だけじゃない!HashiCorp Vault でデータ暗号化をしよう / Beyond Secret Management! Let's Encrypt Data with HashiCorp Vault
nnstt1
3
200
AI時代に非連続な成長を実現するエンジニアリング戦略
sansantech
PRO
3
1k
Featured
See All Featured
The Cost Of JavaScript in 2023
addyosmani
53
8.9k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
131
19k
Building an army of robots
kneath
306
46k
Imperfection Machines: The Place of Print at Facebook
scottboms
268
13k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.6k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Raft: Consensus for Rubyists
vanstee
140
7.1k
Designing for Performance
lara
610
69k
How to train your dragon (web standard)
notwaldorf
96
6.2k
Making the Leap to Tech Lead
cromwellryan
134
9.5k
We Have a Design System, Now What?
morganepeng
53
7.8k
jQuery: Nuts, Bolts and Bling
dougneiner
64
7.9k
Transcript
第124回 雲勉【オンライン】 AWS Organizations/ AWS Control Towerの概要と cloudpackサービスメニューの紹介
2 0.⾃⼰紹介 ⼩林 裕太 ▪所属 クラウドインテグレーション事業部 MSP開発セクション ▪⼊社⽇ 2022年3⽉ ▪好きなAWSサービス
Lambda、Organizations
アジェンダ 3 1.AWS Organizations • マルチアカウントの利点と考慮点 • 概要 • 機能
• 機能ピックアップ︓Identity Center(SSO) 2.AWS Control Tower • ランディングゾーンとは • 概要 • 構成 • 採⽤メリットと考慮点 • 機能 3.AWS Organizationsをお得に使う⽅法 • cloudpackのサービスメニュー紹介 4.まとめ
4 1.AWS Organizations
1.AWS Organizations マルチアカウントの利点と考慮点 5 AWSではマルチアカウント構成がベストプラクティス シングルアカウントアーキテクチャ マルチアカウントアーキテクチャ
1.AWS Organizations マルチアカウントの利点と考慮点 6 ▪ なぜマルチアカウント構成が推奨されるのか︖ → 全てのシステムをシングルアカウントの中に構築すると、アカウント内の環境が複 雑になる ▪
シングルアカウントアーキテクチャの課題 1. オペレーションミスによるリソースの停⽌・削除のリスクがある 2. コスト管理が困難になる 3. リソースごとのアクセス制御が困難になる 4. アカウントごとに上限(クォータ)がある
▪ AWSアカウントを分割することによる利点 1. 開発・本番環境を分離することにより、オペレーションミスによるリスクを低減できる 2. AWSのコストはアカウント単位で集計されるため、部署やシステムごとにコストを明確に分離 できる 3. アカウント単位で権限を分離できる 4.
API呼び出しレートやクォータはアカウントごとに独⽴しているため、他のワークロードへの 影響を隔離できる 参考︓AWS マルチアカウント管理を実現するベストプラクティスとは ? 7 1.AWS Organizations マルチアカウントの利点と考慮点
▪ アカウントの数が増えることによる考慮点 • アカウントの数だけ個別に設定すると、設定ミスや漏れが⽣じるリスクがある • アカウントを横断しての状況把握や統制が困難になる • アカウントごとにIAMユーザーを作成すると、認証情報や権限の管理が煩雑になる 効率よく管理する仕組み(中央集権的な統制)が必要になってくる・・・ →
そこで、マルチアカウント管理のためのサービスが AWS Organizations 8 1.AWS Organizations マルチアカウントの利点と考慮点
複数のAWSアカウントを組織という単位でまとめて⼀元 的に管理できるサービス 9 1.AWS Organizations 概要 AWS Organizations
1つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける 10 1.AWS Organizations 概要 • 組織の設定や管理をするアカウ ント • アカウントの作成、招待、削除
を⾏うことができる • 実際のワークロードを稼働させ るためのアカウント
1.AWS Organizations 機能 11 ▪ 主な機能 ① 組織単位(OU)とサービスコントロールポリシー(SCP) ② AWSサービスとOrganizationsの統合
③ ⼀括請求 ④ 委任管理
① 組織単位(OU)とサービスコントロールポリシー(SCP) 12
▪ 組織単位(OU) 13 1.AWS Organizations 機能 ① OUとSCP • メンバーアカウントをグルーピングす
るためのフォルダみたいなもの • 最⼤で 5 つの階層までネストできる 参考︓AWS Organizations における組織単位のベストプラクティス
▪ サービスコントロールポリシー(SCP) ◦ 各アカウントでアクセスできるサービスや 操作を定義するポリシー ◦ 「ここまでは許可できる」という境界を設 定する(アクセス許可を付与しない) ◦ SCP
と IAM ポリシーの両⽅で許可されて いるサービスにアクセスができる 14 1.AWS Organizations 機能 ① OUとSCP 出典︓ポリシーの評価論理
15 1.AWS Organizations 機能 ① OUとSCP Root OU: Sandbox OU:
Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ • SCPは組織のRoot、OU、アカウントにアタッチする • (Tips)管理アカウントには適⽤されない • 組織内の全てのOUとア カウントを包含する最 上位のコンテナ • SCPをRootにアタッチ すると、全てのOUとア カウントに適⽤される • 「FullAWSAccess」( =全てのアクセスを許 可)がRootにアタッチ されている SCPをOUにアタッチ すると、OU内の全て のOUとアカウントに 適⽤される(SCPの 継承)
② AWSサービスとOrganizationsの統合 16
• 組織内のアカウントに対して、⼀括で対応したAWSサービスの機能を適⽤することができる( ※ AWS Organizationsに対応しているAWSサービスのみ) • 対応サービスの「信頼されたアクセス」を有効にする必要がある 17 1.AWS Organizations
機能 ② AWSサービスとOrganizationsの統合 ※ AWS Organizations で使⽤できる AWS のサービス
• ユーザーごとのアクセス権限を⼀元管理できる • 1つの認証情報で複数の AWSアカウントにログインできる • 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる 18 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On ) AWS Account ユーザー or グループ 許可セット 割り当て
ユーザーはIAM Identity Centerのポータルサイト経由でAWSアカウントにアクセス 19 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧
AWS Single Sign-On )
▪ 外部認証サービスとの連携ができる 外部IDプロバイダー(例: Azure AD、Google Workspace、Oktaなど)と連携することで、既存 の認証情報を使⽤してAWSアカウントにシングルサインオンでログインできる 参考︓サポートされている ID プロバイダー
20 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
▪ クラウドアプリケーションの認証ができる クラウドアプリケーション(例: Salesforce、Office 365、Boxなど)の認証情報を⼀元管理し、 シングルサインオンでログインできる 参考︓サポートされているアプリケーション 21 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
③ ⼀括請求 22
1.AWS Organizations 機能 ③ ⼀括請求 23 • 組織内のアカウントの利⽤料⾦を単⼀の請求にまとめることができる • 利⽤量が合算されることにより、S3のストレージやデータ転送などにボリュームディ
スカウントが適⽤される
④ 委任管理 24
25 1.AWS Organizations 機能 ④ 委任管理 特定のサービスの管理を、メンバーアカウントに委任できる機能(※ 委任管理に対応してい るAWSサービスのみ) ※
AWS Organizations で使⽤できる AWS のサービス (Tips)管理アカウントの利⽤は必要最 低限することが推奨されている 参考︓管理アカウントのベストプラクテ ィス
26 2.AWS Control Tower
▪ ランディングゾーンとは • AWSのベストプラクティスに基づいたマルチアカウント構成 • マルチアカウントの管理、運⽤をスケーラブルに⾏うための仕組み、考え⽅ 27 2.AWS Control Tower
ランディングゾーンとは
28 ▪ ランディングゾーンに含まれる機能 • ID管理︓各アカウントへのアクセス管理 • コントロール︓ポリシーに違反する操作の制限または検知 • ベースラインの展開︓複数のアカウントにまたがる共通設定の展開 •
ログ管理・監視︓必要なログを保全してシステムの健全性やセキュリティ状態の監視 これだけの仕組みを⾃前で作るのは⼤変・・・ → ランディングゾーンを実装するサービスが AWS Control Tower 2.AWS Control Tower ランディングゾーンとは
29 2.AWS Control Tower 概要 • ランディングゾーンを⾃動で設定、統制してくれるサービ ス → マルチアカウント構成の設計、構築の負荷を軽減する
ことができる • 既存の組織に対しても適⽤できる AWS Control Tower
2.AWS Control Tower 概要 30 ⾃動でセットアップ AWS Control Towerを使⽤すると、裏側で複数のAWSサービスが組み合わされてランディ ングゾーンが⾃動的に構築される
出典︓AWS ControlTowerでマルチアカウント管理しませんか
31 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 出典︓AWS Control Tower
基礎編
32 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 • セキュリティやコンプライアンスを監査す るアカウント
• 変更と違反を監視して通知を送信するよう に設定できる • ログを保存するアカウント • AWS CloudTrailとAWS Configのログを Amazon S3バケットに保存 出典︓AWS Control Tower 基礎編
33 2.AWS Control Tower 構成 AWS Control Towerの有効化で各アカウントに作成されるAWSサービス 参考︓AWS Control
Tower の仕組み
▪ 採⽤メリット 簡単にAWSの考えるベストプラクティス環境のベースラインを構築できる ▪ 考慮点 AWS Control TowerのLanding Zoneは定期的にアップデートされていくため、最新構成を使⽤し たい場合は追従していく必要がある
34 2.AWS Control Tower 採⽤メリットと考慮点
① コントロール • リスクのある操作の予防・発⾒ ② ログの取得と⼀元管理 • AWSの操作ログの⾃動収集 ③ アカウントの新規作成(Account
Factory) • 新規AWSアカウントの⾃動セットアップ 35 2.AWS Control Tower 機能
36 ① コントロール
37 2.AWS Control Tower 機能 ① コントロールの概要 リスクのある操作を禁⽌ リスクのある操作を監視(通知)
• AWSによって事前に定義された500を超えるコントロールから選択 • 組織単位(OU)、アカウント単位で有効化 • コントロールは「動作」と「ガイダンス」で分類される 38 2.AWS Control Tower
機能 ① コントロールの概要
39 2.AWS Control Tower 機能 ① コントロールの動作 動作 説明 実装
予防 • 特定の操作を実施できないように防ぐ • OU 階層の下位に継承される サービスコントロー ルポリシー (SCP) 検出 • コントロールに違反する設定を検知 AWS Config ルール プロアクティブ • AWS CloudFormationで作成するリソースを チェックし、コントロールに準拠しているリ ソースのみ作成 AWS CloudFormation フ ック
40 2.AWS Control Tower 機能 ① コントロールのガイダンス ガイダンス 説明 必須
• Control Towerを正常に稼働させるために必要な禁⽌事項(ワーク ロードには影響しない) • デフォルトで有効化(無効化できない) 強く推奨 • マルチアカウントのベストプラクティスに基づく制限事項 • 任意で選択 選択的 • AWSエンタープライズ環境で⼀般的に利⽤される制限事項 • 任意で選択
41 2.AWS Control Tower 機能 ① 必須コントロールの例 ▪必須コントロールの例 参考︓必須コントロール
参考︓必須コントロール 42 2.AWS Control Tower 機能 ① 必須コントロールの例 CloudTrailへの設定変更を禁⽌ CloudFormationによって
設定されたIAMロールへの 変更を禁⽌ SNSへの変更を禁⽌ S3バケットの設定変更、削除を禁⽌ Configへの設定変更を禁⽌ ▪必須コントロールの例
• AWS Control Towerの管理下にある OUとアカウント数 • 適⽤したコントロール数 • ⾮準拠リソース 43
2.AWS Control Tower 機能 ① 監視⽤ダッシュボード
アップデート︓リージョン拒否コントロール 44 • リージョン拒否コントロール は、特定のリージョンでの操 作を制限し、意図しないデー タ保存を防⽌するためのコン トロール • 以前はランディングゾーン全
体に適⽤されていたが、組織 単位(OU)ごとに適⽤するこ とが可能になった 参考︓お客様がデジタル主権の要件を満たすのに役⽴つ新しいコントロールを AWS Control Tower が追加
45 ② ログの取得と⼀元管理
46 2.AWS Control Tower 機能 ② ログの取得と⼀元管理 • 各アカウントのCloudTrail とConfig
のログをログアーカイブアカウントのS3バケットに集約 • 保存期間は1⽇〜15年の間で設定可能 • 個々のアカウントからログの削除、無効化ができないように必須コントロールで防⽌ 既存のCloudTrail設定(ログ 記録が有効になっている証跡 )がある場合は2つ⽬が無料 枠の対象外となり課⾦される 点に注意
47 ③ アカウントの新規作成(Account Factory)
• 各種機能(ログ集約、コントロール)が 初めから設定されたアカウントが作成さ れる • Service Catalog、CloudFormation StackSetsで実装されている 参考︓Account Factory
のリソースに関する 考慮事項 48 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
• (オプション)CloudFormation テ ンプレートまたは Terraformを使⽤ して、アカウントのカスタマイズが 可能 参考︓Account Factory Customization
(AFC) を使⽤したアカウントのカスタマ イズ 49 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
50 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 51 AWS請求代⾏+Organizations
3.AWS Organizationsをお得に使う⽅法 52 AWS請求代⾏
3.AWS Organizationsをお得に使う⽅法 53 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS
アカウントを移管して利⽤できます。
3.AWS Organizationsをお得に使う⽅法 54 AWS請求代⾏+Organizations 再掲
55 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 56 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 0万円 ⽉額費⽤
2万円 • 委任管理が可能なOrganizations連携サ ービスを利⽤可能 ※ ⼀部のサービスを除く
3.AWS Organizationsをお得に使う⽅法 57 請求代⾏ + Organizations (管理アカウント利⽤) 初期費⽤ 15万円 ⽉額費⽤
5万円 • 委任アカウント利⽤プランで制限される 機能が利⽤可能 ※ ⼀部機能制限があり
3.AWS Organizationsをお得に使う⽅法 58 請求代⾏ + Organizations (管理アカウント利⽤ + AWS Control
Tower) 初期費⽤ 30万円 ⽉額費⽤ 7万円 • 管理アカウント利⽤の内容に加え、AWS Control Towerを利⽤可能 ※ ⼀部機能制限があり
59 3.AWS Organizationsをお得に使う⽅法 委任アカウント利⽤ 管理アカウント利⽤ 管理アカウント利⽤+AWS Control Tower 初期費⽤ 0円
15万円 30万円 ※ ⽉額費⽤(定額) 2万円 5万円 7万円 ※ 連携可能サービス数 24 32 33 OU設定 △ ◯ ◯ SCP設定 ◯ ◯ ◯ AWS Control Tower利⽤ X X ◯ (⼀部△) アカウント追加 △ △ △ ◯ = 顧客で⾃由に利⽤可能 △=申し込み or Backlogでiretに依頼 ※別途、Landing Zone構成に必要な各AWSサービスの費⽤が発⽣
3.AWS Organizationsをお得に使う⽅法 60 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/
3.AWS Organizationsをお得に使う⽅法 61 詳細はこちら https://cloudpack.jp/lp/20th-campaign/
4. まとめ 62
4.まとめ 63 • AWS Organizationsと連携サービスを活⽤することで、マルチアカウントの管理が容 易になる • AWS Control Towerを利⽤することで、AWS
Organizationsやその連携サービスの設 定をベストプラクティスに沿ったプリセット環境として簡単にセットアップすることが できる • AWS Organizations や AWS Control Towerをお得に使うには、Iretの請求代⾏ +Organizationsをチェック