Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第124回 雲勉【オンライン】AWS Organizations / AWS Control ...
Search
iret.kumoben
January 11, 2024
Technology
0
140
第124回 雲勉【オンライン】AWS Organizations / AWS Control Towerの概要とcloudpackサービメニューの紹介
下記、勉強会での資料です。
https://youtu.be/keGP6x-XLxw
iret.kumoben
January 11, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第154回 雲勉 AWS Codeシリーズ盛り上げ隊 ~ Codeシリーズは砕けない ~
iret
0
15
第153回 雲勉 トラシューが秒で終わる新機能 Amazon Q Developer operational investigations
iret
0
45
第150回 雲勉 AWS AppSyncではじめるGraphQL体験
iret
0
41
第151回 雲勉 プロジェクトのドキュメントにおける課題をAmazon Bedrockで解決してみる
iret
0
57
第152回 雲勉 シームレスなマルチリージョンへの移行と検討 ~Amazon EKSとAWS Global Acceleratorを使用した環境〜
iret
0
48
第149回 雲勉 AWS ベストプラクティスの最新と実際 AWS Well-Architected
iret
0
82
第148回 雲勉 Web アプリケーションセキュリティ
iret
0
46
第147回 雲勉 Amazon CloudWatchをウォッチ!
iret
0
58
第146回 雲勉 BLEAを眺めてCDKの書き方について学ぶ
iret
1
70
Other Decks in Technology
See All in Technology
スクラムのイテレーションを導入してチームの雰囲気がより良くなった話
eccyun
0
110
Ask! NIKKEIの運用基盤と改善に向けた取り組み / NIKKEI TECH TALK #30
kaitomajima
1
450
依存関係があるコンポーネントは Barrel ファイルでまとめよう
azukiazusa1
3
530
Building Products in the LLM Era
ymatsuwitter
10
4.4k
『衛星データ利用の方々にとって近いようで触れる機会のなさそうな小話 ~ 衛星搭載ソフトウェアと衛星運用ソフトウェア (実物) を動かしながらわいわいする編 ~』 @日本衛星データコミニティ勉強会
meltingrabbit
0
120
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
500
5分で紹介する生成AIエージェントとAmazon Bedrock Agents / 5-minutes introduction to generative AI agents and Amazon Bedrock Agents
hideakiaoyagi
0
220
APIファーストで実現する運用性の高い IoT プラットフォーム: SORACOMのアプローチ
soracom
PRO
0
240
プロセス改善による品質向上事例
tomasagi
1
1.6k
7日間でハッキングをはじめる本をはじめてみませんか?_ITエンジニア本大賞2025
nomizone
2
1.4k
目の前の仕事と向き合うことで成長できる - 仕事とスキルを広げる / Every little bit counts
soudai
22
5.8k
君も受託系GISエンジニアにならないか
sudataka
2
370
Featured
See All Featured
Building a Scalable Design System with Sketch
lauravandoore
460
33k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
27
1.9k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Rails Girls Zürich Keynote
gr2m
94
13k
Navigating Team Friction
lara
183
15k
Building Better People: How to give real-time feedback that sticks.
wjessup
366
19k
Making Projects Easy
brettharned
116
6k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
How to Ace a Technical Interview
jacobian
276
23k
Speed Design
sergeychernyshev
25
780
Transcript
第124回 雲勉【オンライン】 AWS Organizations/ AWS Control Towerの概要と cloudpackサービスメニューの紹介
2 0.⾃⼰紹介 ⼩林 裕太 ▪所属 クラウドインテグレーション事業部 MSP開発セクション ▪⼊社⽇ 2022年3⽉ ▪好きなAWSサービス
Lambda、Organizations
アジェンダ 3 1.AWS Organizations • マルチアカウントの利点と考慮点 • 概要 • 機能
• 機能ピックアップ︓Identity Center(SSO) 2.AWS Control Tower • ランディングゾーンとは • 概要 • 構成 • 採⽤メリットと考慮点 • 機能 3.AWS Organizationsをお得に使う⽅法 • cloudpackのサービスメニュー紹介 4.まとめ
4 1.AWS Organizations
1.AWS Organizations マルチアカウントの利点と考慮点 5 AWSではマルチアカウント構成がベストプラクティス シングルアカウントアーキテクチャ マルチアカウントアーキテクチャ
1.AWS Organizations マルチアカウントの利点と考慮点 6 ▪ なぜマルチアカウント構成が推奨されるのか︖ → 全てのシステムをシングルアカウントの中に構築すると、アカウント内の環境が複 雑になる ▪
シングルアカウントアーキテクチャの課題 1. オペレーションミスによるリソースの停⽌・削除のリスクがある 2. コスト管理が困難になる 3. リソースごとのアクセス制御が困難になる 4. アカウントごとに上限(クォータ)がある
▪ AWSアカウントを分割することによる利点 1. 開発・本番環境を分離することにより、オペレーションミスによるリスクを低減できる 2. AWSのコストはアカウント単位で集計されるため、部署やシステムごとにコストを明確に分離 できる 3. アカウント単位で権限を分離できる 4.
API呼び出しレートやクォータはアカウントごとに独⽴しているため、他のワークロードへの 影響を隔離できる 参考︓AWS マルチアカウント管理を実現するベストプラクティスとは ? 7 1.AWS Organizations マルチアカウントの利点と考慮点
▪ アカウントの数が増えることによる考慮点 • アカウントの数だけ個別に設定すると、設定ミスや漏れが⽣じるリスクがある • アカウントを横断しての状況把握や統制が困難になる • アカウントごとにIAMユーザーを作成すると、認証情報や権限の管理が煩雑になる 効率よく管理する仕組み(中央集権的な統制)が必要になってくる・・・ →
そこで、マルチアカウント管理のためのサービスが AWS Organizations 8 1.AWS Organizations マルチアカウントの利点と考慮点
複数のAWSアカウントを組織という単位でまとめて⼀元 的に管理できるサービス 9 1.AWS Organizations 概要 AWS Organizations
1つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける 10 1.AWS Organizations 概要 • 組織の設定や管理をするアカウ ント • アカウントの作成、招待、削除
を⾏うことができる • 実際のワークロードを稼働させ るためのアカウント
1.AWS Organizations 機能 11 ▪ 主な機能 ① 組織単位(OU)とサービスコントロールポリシー(SCP) ② AWSサービスとOrganizationsの統合
③ ⼀括請求 ④ 委任管理
① 組織単位(OU)とサービスコントロールポリシー(SCP) 12
▪ 組織単位(OU) 13 1.AWS Organizations 機能 ① OUとSCP • メンバーアカウントをグルーピングす
るためのフォルダみたいなもの • 最⼤で 5 つの階層までネストできる 参考︓AWS Organizations における組織単位のベストプラクティス
▪ サービスコントロールポリシー(SCP) ◦ 各アカウントでアクセスできるサービスや 操作を定義するポリシー ◦ 「ここまでは許可できる」という境界を設 定する(アクセス許可を付与しない) ◦ SCP
と IAM ポリシーの両⽅で許可されて いるサービスにアクセスができる 14 1.AWS Organizations 機能 ① OUとSCP 出典︓ポリシーの評価論理
15 1.AWS Organizations 機能 ① OUとSCP Root OU: Sandbox OU:
Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ • SCPは組織のRoot、OU、アカウントにアタッチする • (Tips)管理アカウントには適⽤されない • 組織内の全てのOUとア カウントを包含する最 上位のコンテナ • SCPをRootにアタッチ すると、全てのOUとア カウントに適⽤される • 「FullAWSAccess」( =全てのアクセスを許 可)がRootにアタッチ されている SCPをOUにアタッチ すると、OU内の全て のOUとアカウントに 適⽤される(SCPの 継承)
② AWSサービスとOrganizationsの統合 16
• 組織内のアカウントに対して、⼀括で対応したAWSサービスの機能を適⽤することができる( ※ AWS Organizationsに対応しているAWSサービスのみ) • 対応サービスの「信頼されたアクセス」を有効にする必要がある 17 1.AWS Organizations
機能 ② AWSサービスとOrganizationsの統合 ※ AWS Organizations で使⽤できる AWS のサービス
• ユーザーごとのアクセス権限を⼀元管理できる • 1つの認証情報で複数の AWSアカウントにログインできる • 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる 18 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On ) AWS Account ユーザー or グループ 許可セット 割り当て
ユーザーはIAM Identity Centerのポータルサイト経由でAWSアカウントにアクセス 19 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧
AWS Single Sign-On )
▪ 外部認証サービスとの連携ができる 外部IDプロバイダー(例: Azure AD、Google Workspace、Oktaなど)と連携することで、既存 の認証情報を使⽤してAWSアカウントにシングルサインオンでログインできる 参考︓サポートされている ID プロバイダー
20 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
▪ クラウドアプリケーションの認証ができる クラウドアプリケーション(例: Salesforce、Office 365、Boxなど)の認証情報を⼀元管理し、 シングルサインオンでログインできる 参考︓サポートされているアプリケーション 21 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
③ ⼀括請求 22
1.AWS Organizations 機能 ③ ⼀括請求 23 • 組織内のアカウントの利⽤料⾦を単⼀の請求にまとめることができる • 利⽤量が合算されることにより、S3のストレージやデータ転送などにボリュームディ
スカウントが適⽤される
④ 委任管理 24
25 1.AWS Organizations 機能 ④ 委任管理 特定のサービスの管理を、メンバーアカウントに委任できる機能(※ 委任管理に対応してい るAWSサービスのみ) ※
AWS Organizations で使⽤できる AWS のサービス (Tips)管理アカウントの利⽤は必要最 低限することが推奨されている 参考︓管理アカウントのベストプラクテ ィス
26 2.AWS Control Tower
▪ ランディングゾーンとは • AWSのベストプラクティスに基づいたマルチアカウント構成 • マルチアカウントの管理、運⽤をスケーラブルに⾏うための仕組み、考え⽅ 27 2.AWS Control Tower
ランディングゾーンとは
28 ▪ ランディングゾーンに含まれる機能 • ID管理︓各アカウントへのアクセス管理 • コントロール︓ポリシーに違反する操作の制限または検知 • ベースラインの展開︓複数のアカウントにまたがる共通設定の展開 •
ログ管理・監視︓必要なログを保全してシステムの健全性やセキュリティ状態の監視 これだけの仕組みを⾃前で作るのは⼤変・・・ → ランディングゾーンを実装するサービスが AWS Control Tower 2.AWS Control Tower ランディングゾーンとは
29 2.AWS Control Tower 概要 • ランディングゾーンを⾃動で設定、統制してくれるサービ ス → マルチアカウント構成の設計、構築の負荷を軽減する
ことができる • 既存の組織に対しても適⽤できる AWS Control Tower
2.AWS Control Tower 概要 30 ⾃動でセットアップ AWS Control Towerを使⽤すると、裏側で複数のAWSサービスが組み合わされてランディ ングゾーンが⾃動的に構築される
出典︓AWS ControlTowerでマルチアカウント管理しませんか
31 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 出典︓AWS Control Tower
基礎編
32 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 • セキュリティやコンプライアンスを監査す るアカウント
• 変更と違反を監視して通知を送信するよう に設定できる • ログを保存するアカウント • AWS CloudTrailとAWS Configのログを Amazon S3バケットに保存 出典︓AWS Control Tower 基礎編
33 2.AWS Control Tower 構成 AWS Control Towerの有効化で各アカウントに作成されるAWSサービス 参考︓AWS Control
Tower の仕組み
▪ 採⽤メリット 簡単にAWSの考えるベストプラクティス環境のベースラインを構築できる ▪ 考慮点 AWS Control TowerのLanding Zoneは定期的にアップデートされていくため、最新構成を使⽤し たい場合は追従していく必要がある
34 2.AWS Control Tower 採⽤メリットと考慮点
① コントロール • リスクのある操作の予防・発⾒ ② ログの取得と⼀元管理 • AWSの操作ログの⾃動収集 ③ アカウントの新規作成(Account
Factory) • 新規AWSアカウントの⾃動セットアップ 35 2.AWS Control Tower 機能
36 ① コントロール
37 2.AWS Control Tower 機能 ① コントロールの概要 リスクのある操作を禁⽌ リスクのある操作を監視(通知)
• AWSによって事前に定義された500を超えるコントロールから選択 • 組織単位(OU)、アカウント単位で有効化 • コントロールは「動作」と「ガイダンス」で分類される 38 2.AWS Control Tower
機能 ① コントロールの概要
39 2.AWS Control Tower 機能 ① コントロールの動作 動作 説明 実装
予防 • 特定の操作を実施できないように防ぐ • OU 階層の下位に継承される サービスコントロー ルポリシー (SCP) 検出 • コントロールに違反する設定を検知 AWS Config ルール プロアクティブ • AWS CloudFormationで作成するリソースを チェックし、コントロールに準拠しているリ ソースのみ作成 AWS CloudFormation フ ック
40 2.AWS Control Tower 機能 ① コントロールのガイダンス ガイダンス 説明 必須
• Control Towerを正常に稼働させるために必要な禁⽌事項(ワーク ロードには影響しない) • デフォルトで有効化(無効化できない) 強く推奨 • マルチアカウントのベストプラクティスに基づく制限事項 • 任意で選択 選択的 • AWSエンタープライズ環境で⼀般的に利⽤される制限事項 • 任意で選択
41 2.AWS Control Tower 機能 ① 必須コントロールの例 ▪必須コントロールの例 参考︓必須コントロール
参考︓必須コントロール 42 2.AWS Control Tower 機能 ① 必須コントロールの例 CloudTrailへの設定変更を禁⽌ CloudFormationによって
設定されたIAMロールへの 変更を禁⽌ SNSへの変更を禁⽌ S3バケットの設定変更、削除を禁⽌ Configへの設定変更を禁⽌ ▪必須コントロールの例
• AWS Control Towerの管理下にある OUとアカウント数 • 適⽤したコントロール数 • ⾮準拠リソース 43
2.AWS Control Tower 機能 ① 監視⽤ダッシュボード
アップデート︓リージョン拒否コントロール 44 • リージョン拒否コントロール は、特定のリージョンでの操 作を制限し、意図しないデー タ保存を防⽌するためのコン トロール • 以前はランディングゾーン全
体に適⽤されていたが、組織 単位(OU)ごとに適⽤するこ とが可能になった 参考︓お客様がデジタル主権の要件を満たすのに役⽴つ新しいコントロールを AWS Control Tower が追加
45 ② ログの取得と⼀元管理
46 2.AWS Control Tower 機能 ② ログの取得と⼀元管理 • 各アカウントのCloudTrail とConfig
のログをログアーカイブアカウントのS3バケットに集約 • 保存期間は1⽇〜15年の間で設定可能 • 個々のアカウントからログの削除、無効化ができないように必須コントロールで防⽌ 既存のCloudTrail設定(ログ 記録が有効になっている証跡 )がある場合は2つ⽬が無料 枠の対象外となり課⾦される 点に注意
47 ③ アカウントの新規作成(Account Factory)
• 各種機能(ログ集約、コントロール)が 初めから設定されたアカウントが作成さ れる • Service Catalog、CloudFormation StackSetsで実装されている 参考︓Account Factory
のリソースに関する 考慮事項 48 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
• (オプション)CloudFormation テ ンプレートまたは Terraformを使⽤ して、アカウントのカスタマイズが 可能 参考︓Account Factory Customization
(AFC) を使⽤したアカウントのカスタマ イズ 49 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
50 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 51 AWS請求代⾏+Organizations
3.AWS Organizationsをお得に使う⽅法 52 AWS請求代⾏
3.AWS Organizationsをお得に使う⽅法 53 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS
アカウントを移管して利⽤できます。
3.AWS Organizationsをお得に使う⽅法 54 AWS請求代⾏+Organizations 再掲
55 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 56 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 0万円 ⽉額費⽤
2万円 • 委任管理が可能なOrganizations連携サ ービスを利⽤可能 ※ ⼀部のサービスを除く
3.AWS Organizationsをお得に使う⽅法 57 請求代⾏ + Organizations (管理アカウント利⽤) 初期費⽤ 15万円 ⽉額費⽤
5万円 • 委任アカウント利⽤プランで制限される 機能が利⽤可能 ※ ⼀部機能制限があり
3.AWS Organizationsをお得に使う⽅法 58 請求代⾏ + Organizations (管理アカウント利⽤ + AWS Control
Tower) 初期費⽤ 30万円 ⽉額費⽤ 7万円 • 管理アカウント利⽤の内容に加え、AWS Control Towerを利⽤可能 ※ ⼀部機能制限があり
59 3.AWS Organizationsをお得に使う⽅法 委任アカウント利⽤ 管理アカウント利⽤ 管理アカウント利⽤+AWS Control Tower 初期費⽤ 0円
15万円 30万円 ※ ⽉額費⽤(定額) 2万円 5万円 7万円 ※ 連携可能サービス数 24 32 33 OU設定 △ ◯ ◯ SCP設定 ◯ ◯ ◯ AWS Control Tower利⽤ X X ◯ (⼀部△) アカウント追加 △ △ △ ◯ = 顧客で⾃由に利⽤可能 △=申し込み or Backlogでiretに依頼 ※別途、Landing Zone構成に必要な各AWSサービスの費⽤が発⽣
3.AWS Organizationsをお得に使う⽅法 60 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/
3.AWS Organizationsをお得に使う⽅法 61 詳細はこちら https://cloudpack.jp/lp/20th-campaign/
4. まとめ 62
4.まとめ 63 • AWS Organizationsと連携サービスを活⽤することで、マルチアカウントの管理が容 易になる • AWS Control Towerを利⽤することで、AWS
Organizationsやその連携サービスの設 定をベストプラクティスに沿ったプリセット環境として簡単にセットアップすることが できる • AWS Organizations や AWS Control Towerをお得に使うには、Iretの請求代⾏ +Organizationsをチェック