第124回 雲勉【オンライン】AWS Organizations / AWS Control Towerの概要とcloudpackサービメニューの紹介

Transcript

1. 第124回 雲勉【オンライン】 AWS Organizations/ AWS Control Towerの概要と cloudpackサービスメニューの紹介

2. 2 0．⾃⼰紹介 ⼩林 裕太 ▪所属 クラウドインテグレーション事業部 MSP開発セクション ▪⼊社⽇ 2022年3⽉ ▪好きなAWSサービス

   Lambda、Organizations

3. アジェンダ 3 1．AWS Organizations • マルチアカウントの利点と考慮点 • 概要 • 機能

   • 機能ピックアップ︓Identity Center(SSO) 2．AWS Control Tower • ランディングゾーンとは • 概要 • 構成 • 採⽤メリットと考慮点 • 機能 3．AWS Organizationsをお得に使う⽅法 • cloudpackのサービスメニュー紹介 4．まとめ

4. 4 1．AWS Organizations

5. 1．AWS Organizations マルチアカウントの利点と考慮点 5 AWSではマルチアカウント構成がベストプラクティス シングルアカウントアーキテクチャ マルチアカウントアーキテクチャ

6. 1．AWS Organizations マルチアカウントの利点と考慮点 6 ▪ なぜマルチアカウント構成が推奨されるのか︖ → 全てのシステムをシングルアカウントの中に構築すると、アカウント内の環境が複 雑になる ▪

   シングルアカウントアーキテクチャの課題 1. オペレーションミスによるリソースの停⽌・削除のリスクがある 2. コスト管理が困難になる 3. リソースごとのアクセス制御が困難になる 4. アカウントごとに上限（クォータ）がある

7. ▪ AWSアカウントを分割することによる利点 1. 開発・本番環境を分離することにより、オペレーションミスによるリスクを低減できる 2. AWSのコストはアカウント単位で集計されるため、部署やシステムごとにコストを明確に分離 できる 3. アカウント単位で権限を分離できる 4.

   API呼び出しレートやクォータはアカウントごとに独⽴しているため、他のワークロードへの 影響を隔離できる 参考︓AWS マルチアカウント管理を実現するベストプラクティスとは ? 7 1．AWS Organizations マルチアカウントの利点と考慮点

8. ▪ アカウントの数が増えることによる考慮点 • アカウントの数だけ個別に設定すると、設定ミスや漏れが⽣じるリスクがある • アカウントを横断しての状況把握や統制が困難になる • アカウントごとにIAMユーザーを作成すると、認証情報や権限の管理が煩雑になる 効率よく管理する仕組み（中央集権的な統制）が必要になってくる・・・ →

   そこで、マルチアカウント管理のためのサービスが AWS Organizations 8 1．AWS Organizations マルチアカウントの利点と考慮点

9. 複数のAWSアカウントを組織という単位でまとめて⼀元 的に管理できるサービス 9 1．AWS Organizations 概要 AWS Organizations

10. １つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける 10 1．AWS Organizations 概要 • 組織の設定や管理をするアカウ ント • アカウントの作成、招待、削除

    を⾏うことができる • 実際のワークロードを稼働させ るためのアカウント

11. 1．AWS Organizations 機能 11 ▪ 主な機能 ① 組織単位（OU）とサービスコントロールポリシー（SCP） ② AWSサービスとOrganizationsの統合

    ③ ⼀括請求 ④ 委任管理

12. ① 組織単位（OU）とサービスコントロールポリシー（SCP） 12

13. ▪ 組織単位（OU） 13 1．AWS Organizations 機能 ① OUとSCP • メンバーアカウントをグルーピングす

    るためのフォルダみたいなもの • 最⼤で 5 つの階層までネストできる 参考︓AWS Organizations における組織単位のベストプラクティス

14. ▪ サービスコントロールポリシー（SCP） ◦ 各アカウントでアクセスできるサービスや 操作を定義するポリシー ◦ 「ここまでは許可できる」という境界を設 定する（アクセス許可を付与しない） ◦ SCP

    と IAM ポリシーの両⽅で許可されて いるサービスにアクセスができる 14 1．AWS Organizations 機能 ① OUとSCP 出典︓ポリシーの評価論理

15. 15 1．AWS Organizations 機能 ① OUとSCP Root OU: Sandbox OU:

    Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ • SCPは組織のRoot、OU、アカウントにアタッチする • （Tips）管理アカウントには適⽤されない • 組織内の全てのOUとア カウントを包含する最 上位のコンテナ • SCPをRootにアタッチ すると、全てのOUとア カウントに適⽤される • 「FullAWSAccess」（ ＝全てのアクセスを許 可）がRootにアタッチ されている SCPをOUにアタッチ すると、OU内の全て のOUとアカウントに 適⽤される（SCPの 継承）

16. ② AWSサービスとOrganizationsの統合 16

17. • 組織内のアカウントに対して、⼀括で対応したAWSサービスの機能を適⽤することができる（ ※ AWS Organizationsに対応しているAWSサービスのみ） • 対応サービスの「信頼されたアクセス」を有効にする必要がある 17 1．AWS Organizations

    機能 ② AWSサービスとOrganizationsの統合 ※ AWS Organizations で使⽤できる AWS のサービス

18. • ユーザーごとのアクセス権限を⼀元管理できる • １つの認証情報で複数の AWSアカウントにログインできる • 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる 18 1．AWS Organizations

    機能ピックアップ: IAM Identity Center（旧 AWS Single Sign-On ） AWS Account ユーザー or グループ 許可セット 割り当て

19. ユーザーはIAM Identity Centerのポータルサイト経由でAWSアカウントにアクセス 19 1．AWS Organizations 機能ピックアップ: IAM Identity Center（旧

    AWS Single Sign-On ）

20. ▪ 外部認証サービスとの連携ができる 外部IDプロバイダー（例: Azure AD、Google Workspace、Oktaなど）と連携することで、既存 の認証情報を使⽤してAWSアカウントにシングルサインオンでログインできる 参考︓サポートされている ID プロバイダー

    20 1．AWS Organizations 機能ピックアップ: IAM Identity Center（旧 AWS Single Sign-On ）

21. ▪ クラウドアプリケーションの認証ができる クラウドアプリケーション（例: Salesforce、Office 365、Boxなど）の認証情報を⼀元管理し、 シングルサインオンでログインできる 参考︓サポートされているアプリケーション 21 1．AWS Organizations

    機能ピックアップ: IAM Identity Center（旧 AWS Single Sign-On ）

22. ③ ⼀括請求 22

23. 1．AWS Organizations 機能 ③ ⼀括請求 23 • 組織内のアカウントの利⽤料⾦を単⼀の請求にまとめることができる • 利⽤量が合算されることにより、S3のストレージやデータ転送などにボリュームディ

    スカウントが適⽤される

24. ④ 委任管理 24

25. 25 1．AWS Organizations 機能 ④ 委任管理 特定のサービスの管理を、メンバーアカウントに委任できる機能（※ 委任管理に対応してい るAWSサービスのみ） ※

    AWS Organizations で使⽤できる AWS のサービス （Tips）管理アカウントの利⽤は必要最 低限することが推奨されている 参考︓管理アカウントのベストプラクテ ィス

26. 26 2．AWS Control Tower

27. ▪ ランディングゾーンとは • AWSのベストプラクティスに基づいたマルチアカウント構成 • マルチアカウントの管理、運⽤をスケーラブルに⾏うための仕組み、考え⽅ 27 2．AWS Control Tower

    ランディングゾーンとは

28. 28 ▪ ランディングゾーンに含まれる機能 • ID管理︓各アカウントへのアクセス管理 • コントロール︓ポリシーに違反する操作の制限または検知 • ベースラインの展開︓複数のアカウントにまたがる共通設定の展開 •

    ログ管理・監視︓必要なログを保全してシステムの健全性やセキュリティ状態の監視 これだけの仕組みを⾃前で作るのは⼤変・・・ → ランディングゾーンを実装するサービスが AWS Control Tower 2．AWS Control Tower ランディングゾーンとは

29. 29 2．AWS Control Tower 概要 • ランディングゾーンを⾃動で設定、統制してくれるサービ ス → マルチアカウント構成の設計、構築の負荷を軽減する

    ことができる • 既存の組織に対しても適⽤できる AWS Control Tower

30. 2．AWS Control Tower 概要 30 ⾃動でセットアップ AWS Control Towerを使⽤すると、裏側で複数のAWSサービスが組み合わされてランディ ングゾーンが⾃動的に構築される

    出典︓AWS ControlTowerでマルチアカウント管理しませんか

31. 31 2．AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 出典︓AWS Control Tower

    基礎編

32. 32 2．AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 • セキュリティやコンプライアンスを監査す るアカウント

    • 変更と違反を監視して通知を送信するよう に設定できる • ログを保存するアカウント • AWS CloudTrailとAWS Configのログを Amazon S3バケットに保存 出典︓AWS Control Tower 基礎編

33. 33 2．AWS Control Tower 構成 AWS Control Towerの有効化で各アカウントに作成されるAWSサービス 参考︓AWS Control

    Tower の仕組み

34. ▪ 採⽤メリット 簡単にAWSの考えるベストプラクティス環境のベースラインを構築できる ▪ 考慮点 AWS Control TowerのLanding Zoneは定期的にアップデートされていくため、最新構成を使⽤し たい場合は追従していく必要がある

    34 2．AWS Control Tower 採⽤メリットと考慮点

35. ① コントロール • リスクのある操作の予防・発⾒ ② ログの取得と⼀元管理 • AWSの操作ログの⾃動収集 ③ アカウントの新規作成（Account

    Factory） • 新規AWSアカウントの⾃動セットアップ 35 2．AWS Control Tower 機能

36. 36 ① コントロール

37. 37 2．AWS Control Tower 機能 ① コントロールの概要 リスクのある操作を禁⽌ リスクのある操作を監視（通知）

38. • AWSによって事前に定義された500を超えるコントロールから選択 • 組織単位（OU）、アカウント単位で有効化 • コントロールは「動作」と「ガイダンス」で分類される 38 2．AWS Control Tower

    機能 ① コントロールの概要

39. 39 2．AWS Control Tower 機能 ① コントロールの動作 動作 説明 実装

    予防 • 特定の操作を実施できないように防ぐ • OU 階層の下位に継承される サービスコントロー ルポリシー (SCP) 検出 • コントロールに違反する設定を検知 AWS Config ルール プロアクティブ • AWS CloudFormationで作成するリソースを チェックし、コントロールに準拠しているリ ソースのみ作成 AWS CloudFormation フ ック

40. 40 2．AWS Control Tower 機能 ① コントロールのガイダンス ガイダンス 説明 必須

    • Control Towerを正常に稼働させるために必要な禁⽌事項（ワーク ロードには影響しない） • デフォルトで有効化（無効化できない） 強く推奨 • マルチアカウントのベストプラクティスに基づく制限事項 • 任意で選択 選択的 • AWSエンタープライズ環境で⼀般的に利⽤される制限事項 • 任意で選択

41. 41 2．AWS Control Tower 機能 ① 必須コントロールの例 ▪必須コントロールの例 参考︓必須コントロール

42. 参考︓必須コントロール 42 2．AWS Control Tower 機能 ① 必須コントロールの例 CloudTrailへの設定変更を禁⽌ CloudFormationによって

    設定されたIAMロールへの 変更を禁⽌ SNSへの変更を禁⽌ S3バケットの設定変更、削除を禁⽌ Configへの設定変更を禁⽌ ▪必須コントロールの例

43. • AWS Control Towerの管理下にある OUとアカウント数 • 適⽤したコントロール数 • ⾮準拠リソース 43

    2．AWS Control Tower 機能 ① 監視⽤ダッシュボード

44. アップデート︓リージョン拒否コントロール 44 • リージョン拒否コントロール は、特定のリージョンでの操 作を制限し、意図しないデー タ保存を防⽌するためのコン トロール • 以前はランディングゾーン全

    体に適⽤されていたが、組織 単位（OU）ごとに適⽤するこ とが可能になった 参考︓お客様がデジタル主権の要件を満たすのに役⽴つ新しいコントロールを AWS Control Tower が追加

45. 45 ② ログの取得と⼀元管理

46. 46 2．AWS Control Tower 機能 ② ログの取得と⼀元管理 • 各アカウントのCloudTrail とConfig

    のログをログアーカイブアカウントのS3バケットに集約 • 保存期間は1⽇〜15年の間で設定可能 • 個々のアカウントからログの削除、無効化ができないように必須コントロールで防⽌ 既存のCloudTrail設定（ログ 記録が有効になっている証跡 ）がある場合は２つ⽬が無料 枠の対象外となり課⾦される 点に注意

47. 47 ③ アカウントの新規作成（Account Factory）

48. • 各種機能（ログ集約、コントロール）が 初めから設定されたアカウントが作成さ れる • Service Catalog、CloudFormation StackSetsで実装されている 参考︓Account Factory

    のリソースに関する 考慮事項 48 2．AWS Control Tower 機能 ③ アカウントの新規作成（Account Factory）

49. • （オプション）CloudFormation テ ンプレートまたは Terraformを使⽤ して、アカウントのカスタマイズが 可能 参考︓Account Factory Customization

    (AFC) を使⽤したアカウントのカスタマ イズ 49 2．AWS Control Tower 機能 ③ アカウントの新規作成（Account Factory）

50. 50 3．AWS Organizationsをお得に使う⽅法

51. 3．AWS Organizationsをお得に使う⽅法 51 AWS請求代⾏+Organizations

52. 3．AWS Organizationsをお得に使う⽅法 52 AWS請求代⾏

53. 3．AWS Organizationsをお得に使う⽅法 53 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS

    アカウントを移管して利⽤できます。

54. 3．AWS Organizationsをお得に使う⽅法 54 AWS請求代⾏+Organizations 再掲

55. 55 3．AWS Organizationsをお得に使う⽅法

56. 3．AWS Organizationsをお得に使う⽅法 56 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 0万円 ⽉額費⽤

    2万円 • 委任管理が可能なOrganizations連携サ ービスを利⽤可能 ※ ⼀部のサービスを除く

57. 3．AWS Organizationsをお得に使う⽅法 57 請求代⾏ + Organizations (管理アカウント利⽤) 初期費⽤ 15万円 ⽉額費⽤

    5万円 • 委任アカウント利⽤プランで制限される 機能が利⽤可能 ※ ⼀部機能制限があり

58. 3．AWS Organizationsをお得に使う⽅法 58 請求代⾏ + Organizations (管理アカウント利⽤ + AWS Control

    Tower) 初期費⽤ 30万円 ⽉額費⽤ 7万円 • 管理アカウント利⽤の内容に加え、AWS Control Towerを利⽤可能 ※ ⼀部機能制限があり

59. 59 3．AWS Organizationsをお得に使う⽅法 委任アカウント利⽤ 管理アカウント利⽤ 管理アカウント利⽤+AWS Control Tower 初期費⽤ 0円

    15万円 30万円 ※ ⽉額費⽤(定額) 2万円 5万円 7万円 ※ 連携可能サービス数 24 32 33 OU設定 △ ◯ ◯ SCP設定 ◯ ◯ ◯ AWS Control Tower利⽤ X X ◯ (⼀部△) アカウント追加 △ △ △ ◯ = 顧客で⾃由に利⽤可能 △＝申し込み or Backlogでiretに依頼 ※別途、Landing Zone構成に必要な各AWSサービスの費⽤が発⽣

60. 3．AWS Organizationsをお得に使う⽅法 60 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/

61. 3．AWS Organizationsをお得に使う⽅法 61 詳細はこちら https://cloudpack.jp/lp/20th-campaign/

62. 4. まとめ 62

63. 4．まとめ 63 • AWS Organizationsと連携サービスを活⽤することで、マルチアカウントの管理が容 易になる • AWS Control Towerを利⽤することで、AWS

    Organizationsやその連携サービスの設 定をベストプラクティスに沿ったプリセット環境として簡単にセットアップすることが できる • AWS Organizations や AWS Control Towerをお得に使うには、Iretの請求代⾏ +Organizationsをチェック