Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第124回 雲勉【オンライン】AWS Organizations / AWS Control ...
Search
iret.kumoben
January 11, 2024
Technology
0
150
第124回 雲勉【オンライン】AWS Organizations / AWS Control Towerの概要とcloudpackサービメニューの紹介
下記、勉強会での資料です。
https://youtu.be/keGP6x-XLxw
iret.kumoben
January 11, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第155回 雲勉 サーバレスアーキテクチャを 用いたコスト重視 AI サービス
iret
0
37
第154回 雲勉 AWS Codeシリーズ盛り上げ隊 ~ Codeシリーズは砕けない ~
iret
0
38
第153回 雲勉 トラシューが秒で終わる新機能 Amazon Q Developer operational investigations
iret
0
52
第150回 雲勉 AWS AppSyncではじめるGraphQL体験
iret
0
46
第151回 雲勉 プロジェクトのドキュメントにおける課題をAmazon Bedrockで解決してみる
iret
0
61
第152回 雲勉 シームレスなマルチリージョンへの移行と検討 ~Amazon EKSとAWS Global Acceleratorを使用した環境〜
iret
0
57
第149回 雲勉 AWS ベストプラクティスの最新と実際 AWS Well-Architected
iret
0
89
第148回 雲勉 Web アプリケーションセキュリティ
iret
0
52
第147回 雲勉 Amazon CloudWatchをウォッチ!
iret
0
66
Other Decks in Technology
See All in Technology
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
yuj1osm
0
100
Aurora PostgreSQLがCloudWatch Logsに 出力するログの課金を削減してみる #jawsdays2025
non97
1
200
生成AI “再”入門 2025年春@WIRED TUESDAY EDITOR'S LOUNGE
kajikent
0
110
JavaにおけるNull非許容性
skrb
2
2.6k
(機械学習システムでも) SLO から始める信頼性構築 - ゆる SRE#9 2025/02/21
daigo0927
0
270
Cracking the Coding Interview 6th Edition
gdplabs
14
28k
Ruby on Railsで持続可能な開発を行うために取り組んでいること
am1157154
3
150
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
590
LINE NEWSにおけるバックエンド開発
lycorptech_jp
PRO
0
240
RayでPHPのデバッグをちょっと快適にする
muno92
PRO
0
190
AIエージェント元年@日本生成AIユーザ会
shukob
1
210
わたしがEMとして入社した「最初の100日」の過ごし方 / EMConfJp2025
daiksy
14
5k
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
298
20k
BBQ
matthewcrist
87
9.5k
The Invisible Side of Design
smashingmag
299
50k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Large-scale JavaScript Application Architecture
addyosmani
511
110k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
30
4.6k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.5k
Fireside Chat
paigeccino
34
3.2k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
27
1.6k
Building Adaptive Systems
keathley
40
2.4k
Embracing the Ebb and Flow
colly
84
4.6k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
4
370
Transcript
第124回 雲勉【オンライン】 AWS Organizations/ AWS Control Towerの概要と cloudpackサービスメニューの紹介
2 0.⾃⼰紹介 ⼩林 裕太 ▪所属 クラウドインテグレーション事業部 MSP開発セクション ▪⼊社⽇ 2022年3⽉ ▪好きなAWSサービス
Lambda、Organizations
アジェンダ 3 1.AWS Organizations • マルチアカウントの利点と考慮点 • 概要 • 機能
• 機能ピックアップ︓Identity Center(SSO) 2.AWS Control Tower • ランディングゾーンとは • 概要 • 構成 • 採⽤メリットと考慮点 • 機能 3.AWS Organizationsをお得に使う⽅法 • cloudpackのサービスメニュー紹介 4.まとめ
4 1.AWS Organizations
1.AWS Organizations マルチアカウントの利点と考慮点 5 AWSではマルチアカウント構成がベストプラクティス シングルアカウントアーキテクチャ マルチアカウントアーキテクチャ
1.AWS Organizations マルチアカウントの利点と考慮点 6 ▪ なぜマルチアカウント構成が推奨されるのか︖ → 全てのシステムをシングルアカウントの中に構築すると、アカウント内の環境が複 雑になる ▪
シングルアカウントアーキテクチャの課題 1. オペレーションミスによるリソースの停⽌・削除のリスクがある 2. コスト管理が困難になる 3. リソースごとのアクセス制御が困難になる 4. アカウントごとに上限(クォータ)がある
▪ AWSアカウントを分割することによる利点 1. 開発・本番環境を分離することにより、オペレーションミスによるリスクを低減できる 2. AWSのコストはアカウント単位で集計されるため、部署やシステムごとにコストを明確に分離 できる 3. アカウント単位で権限を分離できる 4.
API呼び出しレートやクォータはアカウントごとに独⽴しているため、他のワークロードへの 影響を隔離できる 参考︓AWS マルチアカウント管理を実現するベストプラクティスとは ? 7 1.AWS Organizations マルチアカウントの利点と考慮点
▪ アカウントの数が増えることによる考慮点 • アカウントの数だけ個別に設定すると、設定ミスや漏れが⽣じるリスクがある • アカウントを横断しての状況把握や統制が困難になる • アカウントごとにIAMユーザーを作成すると、認証情報や権限の管理が煩雑になる 効率よく管理する仕組み(中央集権的な統制)が必要になってくる・・・ →
そこで、マルチアカウント管理のためのサービスが AWS Organizations 8 1.AWS Organizations マルチアカウントの利点と考慮点
複数のAWSアカウントを組織という単位でまとめて⼀元 的に管理できるサービス 9 1.AWS Organizations 概要 AWS Organizations
1つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける 10 1.AWS Organizations 概要 • 組織の設定や管理をするアカウ ント • アカウントの作成、招待、削除
を⾏うことができる • 実際のワークロードを稼働させ るためのアカウント
1.AWS Organizations 機能 11 ▪ 主な機能 ① 組織単位(OU)とサービスコントロールポリシー(SCP) ② AWSサービスとOrganizationsの統合
③ ⼀括請求 ④ 委任管理
① 組織単位(OU)とサービスコントロールポリシー(SCP) 12
▪ 組織単位(OU) 13 1.AWS Organizations 機能 ① OUとSCP • メンバーアカウントをグルーピングす
るためのフォルダみたいなもの • 最⼤で 5 つの階層までネストできる 参考︓AWS Organizations における組織単位のベストプラクティス
▪ サービスコントロールポリシー(SCP) ◦ 各アカウントでアクセスできるサービスや 操作を定義するポリシー ◦ 「ここまでは許可できる」という境界を設 定する(アクセス許可を付与しない) ◦ SCP
と IAM ポリシーの両⽅で許可されて いるサービスにアクセスができる 14 1.AWS Organizations 機能 ① OUとSCP 出典︓ポリシーの評価論理
15 1.AWS Organizations 機能 ① OUとSCP Root OU: Sandbox OU:
Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ • SCPは組織のRoot、OU、アカウントにアタッチする • (Tips)管理アカウントには適⽤されない • 組織内の全てのOUとア カウントを包含する最 上位のコンテナ • SCPをRootにアタッチ すると、全てのOUとア カウントに適⽤される • 「FullAWSAccess」( =全てのアクセスを許 可)がRootにアタッチ されている SCPをOUにアタッチ すると、OU内の全て のOUとアカウントに 適⽤される(SCPの 継承)
② AWSサービスとOrganizationsの統合 16
• 組織内のアカウントに対して、⼀括で対応したAWSサービスの機能を適⽤することができる( ※ AWS Organizationsに対応しているAWSサービスのみ) • 対応サービスの「信頼されたアクセス」を有効にする必要がある 17 1.AWS Organizations
機能 ② AWSサービスとOrganizationsの統合 ※ AWS Organizations で使⽤できる AWS のサービス
• ユーザーごとのアクセス権限を⼀元管理できる • 1つの認証情報で複数の AWSアカウントにログインできる • 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる 18 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On ) AWS Account ユーザー or グループ 許可セット 割り当て
ユーザーはIAM Identity Centerのポータルサイト経由でAWSアカウントにアクセス 19 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧
AWS Single Sign-On )
▪ 外部認証サービスとの連携ができる 外部IDプロバイダー(例: Azure AD、Google Workspace、Oktaなど)と連携することで、既存 の認証情報を使⽤してAWSアカウントにシングルサインオンでログインできる 参考︓サポートされている ID プロバイダー
20 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
▪ クラウドアプリケーションの認証ができる クラウドアプリケーション(例: Salesforce、Office 365、Boxなど)の認証情報を⼀元管理し、 シングルサインオンでログインできる 参考︓サポートされているアプリケーション 21 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
③ ⼀括請求 22
1.AWS Organizations 機能 ③ ⼀括請求 23 • 組織内のアカウントの利⽤料⾦を単⼀の請求にまとめることができる • 利⽤量が合算されることにより、S3のストレージやデータ転送などにボリュームディ
スカウントが適⽤される
④ 委任管理 24
25 1.AWS Organizations 機能 ④ 委任管理 特定のサービスの管理を、メンバーアカウントに委任できる機能(※ 委任管理に対応してい るAWSサービスのみ) ※
AWS Organizations で使⽤できる AWS のサービス (Tips)管理アカウントの利⽤は必要最 低限することが推奨されている 参考︓管理アカウントのベストプラクテ ィス
26 2.AWS Control Tower
▪ ランディングゾーンとは • AWSのベストプラクティスに基づいたマルチアカウント構成 • マルチアカウントの管理、運⽤をスケーラブルに⾏うための仕組み、考え⽅ 27 2.AWS Control Tower
ランディングゾーンとは
28 ▪ ランディングゾーンに含まれる機能 • ID管理︓各アカウントへのアクセス管理 • コントロール︓ポリシーに違反する操作の制限または検知 • ベースラインの展開︓複数のアカウントにまたがる共通設定の展開 •
ログ管理・監視︓必要なログを保全してシステムの健全性やセキュリティ状態の監視 これだけの仕組みを⾃前で作るのは⼤変・・・ → ランディングゾーンを実装するサービスが AWS Control Tower 2.AWS Control Tower ランディングゾーンとは
29 2.AWS Control Tower 概要 • ランディングゾーンを⾃動で設定、統制してくれるサービ ス → マルチアカウント構成の設計、構築の負荷を軽減する
ことができる • 既存の組織に対しても適⽤できる AWS Control Tower
2.AWS Control Tower 概要 30 ⾃動でセットアップ AWS Control Towerを使⽤すると、裏側で複数のAWSサービスが組み合わされてランディ ングゾーンが⾃動的に構築される
出典︓AWS ControlTowerでマルチアカウント管理しませんか
31 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 出典︓AWS Control Tower
基礎編
32 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 • セキュリティやコンプライアンスを監査す るアカウント
• 変更と違反を監視して通知を送信するよう に設定できる • ログを保存するアカウント • AWS CloudTrailとAWS Configのログを Amazon S3バケットに保存 出典︓AWS Control Tower 基礎編
33 2.AWS Control Tower 構成 AWS Control Towerの有効化で各アカウントに作成されるAWSサービス 参考︓AWS Control
Tower の仕組み
▪ 採⽤メリット 簡単にAWSの考えるベストプラクティス環境のベースラインを構築できる ▪ 考慮点 AWS Control TowerのLanding Zoneは定期的にアップデートされていくため、最新構成を使⽤し たい場合は追従していく必要がある
34 2.AWS Control Tower 採⽤メリットと考慮点
① コントロール • リスクのある操作の予防・発⾒ ② ログの取得と⼀元管理 • AWSの操作ログの⾃動収集 ③ アカウントの新規作成(Account
Factory) • 新規AWSアカウントの⾃動セットアップ 35 2.AWS Control Tower 機能
36 ① コントロール
37 2.AWS Control Tower 機能 ① コントロールの概要 リスクのある操作を禁⽌ リスクのある操作を監視(通知)
• AWSによって事前に定義された500を超えるコントロールから選択 • 組織単位(OU)、アカウント単位で有効化 • コントロールは「動作」と「ガイダンス」で分類される 38 2.AWS Control Tower
機能 ① コントロールの概要
39 2.AWS Control Tower 機能 ① コントロールの動作 動作 説明 実装
予防 • 特定の操作を実施できないように防ぐ • OU 階層の下位に継承される サービスコントロー ルポリシー (SCP) 検出 • コントロールに違反する設定を検知 AWS Config ルール プロアクティブ • AWS CloudFormationで作成するリソースを チェックし、コントロールに準拠しているリ ソースのみ作成 AWS CloudFormation フ ック
40 2.AWS Control Tower 機能 ① コントロールのガイダンス ガイダンス 説明 必須
• Control Towerを正常に稼働させるために必要な禁⽌事項(ワーク ロードには影響しない) • デフォルトで有効化(無効化できない) 強く推奨 • マルチアカウントのベストプラクティスに基づく制限事項 • 任意で選択 選択的 • AWSエンタープライズ環境で⼀般的に利⽤される制限事項 • 任意で選択
41 2.AWS Control Tower 機能 ① 必須コントロールの例 ▪必須コントロールの例 参考︓必須コントロール
参考︓必須コントロール 42 2.AWS Control Tower 機能 ① 必須コントロールの例 CloudTrailへの設定変更を禁⽌ CloudFormationによって
設定されたIAMロールへの 変更を禁⽌ SNSへの変更を禁⽌ S3バケットの設定変更、削除を禁⽌ Configへの設定変更を禁⽌ ▪必須コントロールの例
• AWS Control Towerの管理下にある OUとアカウント数 • 適⽤したコントロール数 • ⾮準拠リソース 43
2.AWS Control Tower 機能 ① 監視⽤ダッシュボード
アップデート︓リージョン拒否コントロール 44 • リージョン拒否コントロール は、特定のリージョンでの操 作を制限し、意図しないデー タ保存を防⽌するためのコン トロール • 以前はランディングゾーン全
体に適⽤されていたが、組織 単位(OU)ごとに適⽤するこ とが可能になった 参考︓お客様がデジタル主権の要件を満たすのに役⽴つ新しいコントロールを AWS Control Tower が追加
45 ② ログの取得と⼀元管理
46 2.AWS Control Tower 機能 ② ログの取得と⼀元管理 • 各アカウントのCloudTrail とConfig
のログをログアーカイブアカウントのS3バケットに集約 • 保存期間は1⽇〜15年の間で設定可能 • 個々のアカウントからログの削除、無効化ができないように必須コントロールで防⽌ 既存のCloudTrail設定(ログ 記録が有効になっている証跡 )がある場合は2つ⽬が無料 枠の対象外となり課⾦される 点に注意
47 ③ アカウントの新規作成(Account Factory)
• 各種機能(ログ集約、コントロール)が 初めから設定されたアカウントが作成さ れる • Service Catalog、CloudFormation StackSetsで実装されている 参考︓Account Factory
のリソースに関する 考慮事項 48 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
• (オプション)CloudFormation テ ンプレートまたは Terraformを使⽤ して、アカウントのカスタマイズが 可能 参考︓Account Factory Customization
(AFC) を使⽤したアカウントのカスタマ イズ 49 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
50 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 51 AWS請求代⾏+Organizations
3.AWS Organizationsをお得に使う⽅法 52 AWS請求代⾏
3.AWS Organizationsをお得に使う⽅法 53 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS
アカウントを移管して利⽤できます。
3.AWS Organizationsをお得に使う⽅法 54 AWS請求代⾏+Organizations 再掲
55 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 56 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 0万円 ⽉額費⽤
2万円 • 委任管理が可能なOrganizations連携サ ービスを利⽤可能 ※ ⼀部のサービスを除く
3.AWS Organizationsをお得に使う⽅法 57 請求代⾏ + Organizations (管理アカウント利⽤) 初期費⽤ 15万円 ⽉額費⽤
5万円 • 委任アカウント利⽤プランで制限される 機能が利⽤可能 ※ ⼀部機能制限があり
3.AWS Organizationsをお得に使う⽅法 58 請求代⾏ + Organizations (管理アカウント利⽤ + AWS Control
Tower) 初期費⽤ 30万円 ⽉額費⽤ 7万円 • 管理アカウント利⽤の内容に加え、AWS Control Towerを利⽤可能 ※ ⼀部機能制限があり
59 3.AWS Organizationsをお得に使う⽅法 委任アカウント利⽤ 管理アカウント利⽤ 管理アカウント利⽤+AWS Control Tower 初期費⽤ 0円
15万円 30万円 ※ ⽉額費⽤(定額) 2万円 5万円 7万円 ※ 連携可能サービス数 24 32 33 OU設定 △ ◯ ◯ SCP設定 ◯ ◯ ◯ AWS Control Tower利⽤ X X ◯ (⼀部△) アカウント追加 △ △ △ ◯ = 顧客で⾃由に利⽤可能 △=申し込み or Backlogでiretに依頼 ※別途、Landing Zone構成に必要な各AWSサービスの費⽤が発⽣
3.AWS Organizationsをお得に使う⽅法 60 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/
3.AWS Organizationsをお得に使う⽅法 61 詳細はこちら https://cloudpack.jp/lp/20th-campaign/
4. まとめ 62
4.まとめ 63 • AWS Organizationsと連携サービスを活⽤することで、マルチアカウントの管理が容 易になる • AWS Control Towerを利⽤することで、AWS
Organizationsやその連携サービスの設 定をベストプラクティスに沿ったプリセット環境として簡単にセットアップすることが できる • AWS Organizations や AWS Control Towerをお得に使うには、Iretの請求代⾏ +Organizationsをチェック