Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第124回 雲勉【オンライン】AWS Organizations / AWS Control Towerの概要とcloudpackサービメニューの紹介
Search
iret.kumoben
January 11, 2024
Technology
0
79
第124回 雲勉【オンライン】AWS Organizations / AWS Control Towerの概要とcloudpackサービメニューの紹介
下記、勉強会での資料です。
https://youtu.be/keGP6x-XLxw
iret.kumoben
January 11, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第140回 雲勉 今度こそ AWS CDK で構築してみたくなるようなCDK活用集
iret
0
33
第139回 雲勉 Amazon Q Developerで安全快適な IaC with Terraform
iret
0
32
第138回 雲勉 Google Cloudではじめるプラットフォームエンジニアリング
iret
0
30
第137回 雲勉 Google Cloud Vertex AIとLangGraphを味方につけてRAGを改善したひ
iret
0
78
第136回 雲勉 AIに構成図を読み込ませてサーバー作成(Amazon Bedrock)
iret
0
86
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
iret
1
120
第134回 雲勉 未経験クラウドエンジニア1年生(社会人1年生)の奮闘記
iret
0
60
第133回 雲勉 【オンライン】今度こそ既存のAWSリソースをいい感じにコードに落とし込みたい!
iret
0
55
第132回 雲勉【オンライン】春の生成AI祭り
iret
1
73
Other Decks in Technology
See All in Technology
ソフトウェアエンジニアリングの知見を活かして データ基盤をいい感じにする on Snowflake [MIERUNE BBQ #10]
mtpooh
2
150
データベース研修 分析向けSQL入門【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
110
What if...? 처음부터 다시 LLM 어플리케이션을 개발한다면
huffon
0
1k
AOAI Dev Day LLMシステム開発 Tips集
hirosatogamo
15
3.6k
成長期に歩みを止めないための創業期の開発文化形成
mayah
6
420
スレットハンティングについて知っておきたいこと
hacket
0
130
AOAI Dev Day - Opening Session
yoshidashingo
2
430
AI研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
130
CEL(Common Expression Language)で書いた条件にマッチしたIAM Policyを見つける / iam-policy-finder
fujiwara3
0
710
スタートアップにおける組織設計とスクラムの長期戦略 / Scrum Fest Kanazawa 2024
yoshikiiida
13
3.6k
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
flatt_security
0
360
大規模ドラレコデータ収集・機械学習基盤を支える AWS CDK 〜導入・運用事例紹介〜
pemugi
0
110
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
59
9.6k
Raft: Consensus for Rubyists
vanstee
134
6.5k
Gamification - CAS2011
davidbonilla
78
4.9k
[RailsConf 2023] Rails as a piece of cake
palkan
35
4.4k
Become a Pro
speakerdeck
PRO
15
4.8k
Why Our Code Smells
bkeepers
PRO
332
56k
What's new in Ruby 2.0
geeforr
338
31k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
224
21k
Designing with Data
zakiwarfel
96
5k
The Invisible Side of Design
smashingmag
294
50k
Facilitating Awesome Meetings
lara
46
5.8k
The Cult of Friendly URLs
andyhume
75
5.9k
Transcript
第124回 雲勉【オンライン】 AWS Organizations/ AWS Control Towerの概要と cloudpackサービスメニューの紹介
2 0.⾃⼰紹介 ⼩林 裕太 ▪所属 クラウドインテグレーション事業部 MSP開発セクション ▪⼊社⽇ 2022年3⽉ ▪好きなAWSサービス
Lambda、Organizations
アジェンダ 3 1.AWS Organizations • マルチアカウントの利点と考慮点 • 概要 • 機能
• 機能ピックアップ︓Identity Center(SSO) 2.AWS Control Tower • ランディングゾーンとは • 概要 • 構成 • 採⽤メリットと考慮点 • 機能 3.AWS Organizationsをお得に使う⽅法 • cloudpackのサービスメニュー紹介 4.まとめ
4 1.AWS Organizations
1.AWS Organizations マルチアカウントの利点と考慮点 5 AWSではマルチアカウント構成がベストプラクティス シングルアカウントアーキテクチャ マルチアカウントアーキテクチャ
1.AWS Organizations マルチアカウントの利点と考慮点 6 ▪ なぜマルチアカウント構成が推奨されるのか︖ → 全てのシステムをシングルアカウントの中に構築すると、アカウント内の環境が複 雑になる ▪
シングルアカウントアーキテクチャの課題 1. オペレーションミスによるリソースの停⽌・削除のリスクがある 2. コスト管理が困難になる 3. リソースごとのアクセス制御が困難になる 4. アカウントごとに上限(クォータ)がある
▪ AWSアカウントを分割することによる利点 1. 開発・本番環境を分離することにより、オペレーションミスによるリスクを低減できる 2. AWSのコストはアカウント単位で集計されるため、部署やシステムごとにコストを明確に分離 できる 3. アカウント単位で権限を分離できる 4.
API呼び出しレートやクォータはアカウントごとに独⽴しているため、他のワークロードへの 影響を隔離できる 参考︓AWS マルチアカウント管理を実現するベストプラクティスとは ? 7 1.AWS Organizations マルチアカウントの利点と考慮点
▪ アカウントの数が増えることによる考慮点 • アカウントの数だけ個別に設定すると、設定ミスや漏れが⽣じるリスクがある • アカウントを横断しての状況把握や統制が困難になる • アカウントごとにIAMユーザーを作成すると、認証情報や権限の管理が煩雑になる 効率よく管理する仕組み(中央集権的な統制)が必要になってくる・・・ →
そこで、マルチアカウント管理のためのサービスが AWS Organizations 8 1.AWS Organizations マルチアカウントの利点と考慮点
複数のAWSアカウントを組織という単位でまとめて⼀元 的に管理できるサービス 9 1.AWS Organizations 概要 AWS Organizations
1つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける 10 1.AWS Organizations 概要 • 組織の設定や管理をするアカウ ント • アカウントの作成、招待、削除
を⾏うことができる • 実際のワークロードを稼働させ るためのアカウント
1.AWS Organizations 機能 11 ▪ 主な機能 ① 組織単位(OU)とサービスコントロールポリシー(SCP) ② AWSサービスとOrganizationsの統合
③ ⼀括請求 ④ 委任管理
① 組織単位(OU)とサービスコントロールポリシー(SCP) 12
▪ 組織単位(OU) 13 1.AWS Organizations 機能 ① OUとSCP • メンバーアカウントをグルーピングす
るためのフォルダみたいなもの • 最⼤で 5 つの階層までネストできる 参考︓AWS Organizations における組織単位のベストプラクティス
▪ サービスコントロールポリシー(SCP) ◦ 各アカウントでアクセスできるサービスや 操作を定義するポリシー ◦ 「ここまでは許可できる」という境界を設 定する(アクセス許可を付与しない) ◦ SCP
と IAM ポリシーの両⽅で許可されて いるサービスにアクセスができる 14 1.AWS Organizations 機能 ① OUとSCP 出典︓ポリシーの評価論理
15 1.AWS Organizations 機能 ① OUとSCP Root OU: Sandbox OU:
Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ • SCPは組織のRoot、OU、アカウントにアタッチする • (Tips)管理アカウントには適⽤されない • 組織内の全てのOUとア カウントを包含する最 上位のコンテナ • SCPをRootにアタッチ すると、全てのOUとア カウントに適⽤される • 「FullAWSAccess」( =全てのアクセスを許 可)がRootにアタッチ されている SCPをOUにアタッチ すると、OU内の全て のOUとアカウントに 適⽤される(SCPの 継承)
② AWSサービスとOrganizationsの統合 16
• 組織内のアカウントに対して、⼀括で対応したAWSサービスの機能を適⽤することができる( ※ AWS Organizationsに対応しているAWSサービスのみ) • 対応サービスの「信頼されたアクセス」を有効にする必要がある 17 1.AWS Organizations
機能 ② AWSサービスとOrganizationsの統合 ※ AWS Organizations で使⽤できる AWS のサービス
• ユーザーごとのアクセス権限を⼀元管理できる • 1つの認証情報で複数の AWSアカウントにログインできる • 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる 18 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On ) AWS Account ユーザー or グループ 許可セット 割り当て
ユーザーはIAM Identity Centerのポータルサイト経由でAWSアカウントにアクセス 19 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧
AWS Single Sign-On )
▪ 外部認証サービスとの連携ができる 外部IDプロバイダー(例: Azure AD、Google Workspace、Oktaなど)と連携することで、既存 の認証情報を使⽤してAWSアカウントにシングルサインオンでログインできる 参考︓サポートされている ID プロバイダー
20 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
▪ クラウドアプリケーションの認証ができる クラウドアプリケーション(例: Salesforce、Office 365、Boxなど)の認証情報を⼀元管理し、 シングルサインオンでログインできる 参考︓サポートされているアプリケーション 21 1.AWS Organizations
機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )
③ ⼀括請求 22
1.AWS Organizations 機能 ③ ⼀括請求 23 • 組織内のアカウントの利⽤料⾦を単⼀の請求にまとめることができる • 利⽤量が合算されることにより、S3のストレージやデータ転送などにボリュームディ
スカウントが適⽤される
④ 委任管理 24
25 1.AWS Organizations 機能 ④ 委任管理 特定のサービスの管理を、メンバーアカウントに委任できる機能(※ 委任管理に対応してい るAWSサービスのみ) ※
AWS Organizations で使⽤できる AWS のサービス (Tips)管理アカウントの利⽤は必要最 低限することが推奨されている 参考︓管理アカウントのベストプラクテ ィス
26 2.AWS Control Tower
▪ ランディングゾーンとは • AWSのベストプラクティスに基づいたマルチアカウント構成 • マルチアカウントの管理、運⽤をスケーラブルに⾏うための仕組み、考え⽅ 27 2.AWS Control Tower
ランディングゾーンとは
28 ▪ ランディングゾーンに含まれる機能 • ID管理︓各アカウントへのアクセス管理 • コントロール︓ポリシーに違反する操作の制限または検知 • ベースラインの展開︓複数のアカウントにまたがる共通設定の展開 •
ログ管理・監視︓必要なログを保全してシステムの健全性やセキュリティ状態の監視 これだけの仕組みを⾃前で作るのは⼤変・・・ → ランディングゾーンを実装するサービスが AWS Control Tower 2.AWS Control Tower ランディングゾーンとは
29 2.AWS Control Tower 概要 • ランディングゾーンを⾃動で設定、統制してくれるサービ ス → マルチアカウント構成の設計、構築の負荷を軽減する
ことができる • 既存の組織に対しても適⽤できる AWS Control Tower
2.AWS Control Tower 概要 30 ⾃動でセットアップ AWS Control Towerを使⽤すると、裏側で複数のAWSサービスが組み合わされてランディ ングゾーンが⾃動的に構築される
出典︓AWS ControlTowerでマルチアカウント管理しませんか
31 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 出典︓AWS Control Tower
基礎編
32 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 • セキュリティやコンプライアンスを監査す るアカウント
• 変更と違反を監視して通知を送信するよう に設定できる • ログを保存するアカウント • AWS CloudTrailとAWS Configのログを Amazon S3バケットに保存 出典︓AWS Control Tower 基礎編
33 2.AWS Control Tower 構成 AWS Control Towerの有効化で各アカウントに作成されるAWSサービス 参考︓AWS Control
Tower の仕組み
▪ 採⽤メリット 簡単にAWSの考えるベストプラクティス環境のベースラインを構築できる ▪ 考慮点 AWS Control TowerのLanding Zoneは定期的にアップデートされていくため、最新構成を使⽤し たい場合は追従していく必要がある
34 2.AWS Control Tower 採⽤メリットと考慮点
① コントロール • リスクのある操作の予防・発⾒ ② ログの取得と⼀元管理 • AWSの操作ログの⾃動収集 ③ アカウントの新規作成(Account
Factory) • 新規AWSアカウントの⾃動セットアップ 35 2.AWS Control Tower 機能
36 ① コントロール
37 2.AWS Control Tower 機能 ① コントロールの概要 リスクのある操作を禁⽌ リスクのある操作を監視(通知)
• AWSによって事前に定義された500を超えるコントロールから選択 • 組織単位(OU)、アカウント単位で有効化 • コントロールは「動作」と「ガイダンス」で分類される 38 2.AWS Control Tower
機能 ① コントロールの概要
39 2.AWS Control Tower 機能 ① コントロールの動作 動作 説明 実装
予防 • 特定の操作を実施できないように防ぐ • OU 階層の下位に継承される サービスコントロー ルポリシー (SCP) 検出 • コントロールに違反する設定を検知 AWS Config ルール プロアクティブ • AWS CloudFormationで作成するリソースを チェックし、コントロールに準拠しているリ ソースのみ作成 AWS CloudFormation フ ック
40 2.AWS Control Tower 機能 ① コントロールのガイダンス ガイダンス 説明 必須
• Control Towerを正常に稼働させるために必要な禁⽌事項(ワーク ロードには影響しない) • デフォルトで有効化(無効化できない) 強く推奨 • マルチアカウントのベストプラクティスに基づく制限事項 • 任意で選択 選択的 • AWSエンタープライズ環境で⼀般的に利⽤される制限事項 • 任意で選択
41 2.AWS Control Tower 機能 ① 必須コントロールの例 ▪必須コントロールの例 参考︓必須コントロール
参考︓必須コントロール 42 2.AWS Control Tower 機能 ① 必須コントロールの例 CloudTrailへの設定変更を禁⽌ CloudFormationによって
設定されたIAMロールへの 変更を禁⽌ SNSへの変更を禁⽌ S3バケットの設定変更、削除を禁⽌ Configへの設定変更を禁⽌ ▪必須コントロールの例
• AWS Control Towerの管理下にある OUとアカウント数 • 適⽤したコントロール数 • ⾮準拠リソース 43
2.AWS Control Tower 機能 ① 監視⽤ダッシュボード
アップデート︓リージョン拒否コントロール 44 • リージョン拒否コントロール は、特定のリージョンでの操 作を制限し、意図しないデー タ保存を防⽌するためのコン トロール • 以前はランディングゾーン全
体に適⽤されていたが、組織 単位(OU)ごとに適⽤するこ とが可能になった 参考︓お客様がデジタル主権の要件を満たすのに役⽴つ新しいコントロールを AWS Control Tower が追加
45 ② ログの取得と⼀元管理
46 2.AWS Control Tower 機能 ② ログの取得と⼀元管理 • 各アカウントのCloudTrail とConfig
のログをログアーカイブアカウントのS3バケットに集約 • 保存期間は1⽇〜15年の間で設定可能 • 個々のアカウントからログの削除、無効化ができないように必須コントロールで防⽌ 既存のCloudTrail設定(ログ 記録が有効になっている証跡 )がある場合は2つ⽬が無料 枠の対象外となり課⾦される 点に注意
47 ③ アカウントの新規作成(Account Factory)
• 各種機能(ログ集約、コントロール)が 初めから設定されたアカウントが作成さ れる • Service Catalog、CloudFormation StackSetsで実装されている 参考︓Account Factory
のリソースに関する 考慮事項 48 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
• (オプション)CloudFormation テ ンプレートまたは Terraformを使⽤ して、アカウントのカスタマイズが 可能 参考︓Account Factory Customization
(AFC) を使⽤したアカウントのカスタマ イズ 49 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)
50 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 51 AWS請求代⾏+Organizations
3.AWS Organizationsをお得に使う⽅法 52 AWS請求代⾏
3.AWS Organizationsをお得に使う⽅法 53 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS
アカウントを移管して利⽤できます。
3.AWS Organizationsをお得に使う⽅法 54 AWS請求代⾏+Organizations 再掲
55 3.AWS Organizationsをお得に使う⽅法
3.AWS Organizationsをお得に使う⽅法 56 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 0万円 ⽉額費⽤
2万円 • 委任管理が可能なOrganizations連携サ ービスを利⽤可能 ※ ⼀部のサービスを除く
3.AWS Organizationsをお得に使う⽅法 57 請求代⾏ + Organizations (管理アカウント利⽤) 初期費⽤ 15万円 ⽉額費⽤
5万円 • 委任アカウント利⽤プランで制限される 機能が利⽤可能 ※ ⼀部機能制限があり
3.AWS Organizationsをお得に使う⽅法 58 請求代⾏ + Organizations (管理アカウント利⽤ + AWS Control
Tower) 初期費⽤ 30万円 ⽉額費⽤ 7万円 • 管理アカウント利⽤の内容に加え、AWS Control Towerを利⽤可能 ※ ⼀部機能制限があり
59 3.AWS Organizationsをお得に使う⽅法 委任アカウント利⽤ 管理アカウント利⽤ 管理アカウント利⽤+AWS Control Tower 初期費⽤ 0円
15万円 30万円 ※ ⽉額費⽤(定額) 2万円 5万円 7万円 ※ 連携可能サービス数 24 32 33 OU設定 △ ◯ ◯ SCP設定 ◯ ◯ ◯ AWS Control Tower利⽤ X X ◯ (⼀部△) アカウント追加 △ △ △ ◯ = 顧客で⾃由に利⽤可能 △=申し込み or Backlogでiretに依頼 ※別途、Landing Zone構成に必要な各AWSサービスの費⽤が発⽣
3.AWS Organizationsをお得に使う⽅法 60 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/
3.AWS Organizationsをお得に使う⽅法 61 詳細はこちら https://cloudpack.jp/lp/20th-campaign/
4. まとめ 62
4.まとめ 63 • AWS Organizationsと連携サービスを活⽤することで、マルチアカウントの管理が容 易になる • AWS Control Towerを利⽤することで、AWS
Organizationsやその連携サービスの設 定をベストプラクティスに沿ったプリセット環境として簡単にセットアップすることが できる • AWS Organizations や AWS Control Towerをお得に使うには、Iretの請求代⾏ +Organizationsをチェック