Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
個人検証アカウントでも最低限設定したいプラクティス
Search
t.kizawa
January 30, 2024
Technology
3
1.7k
個人検証アカウントでも最低限設定したいプラクティス
2024/1/30開催
JAWS-UG 東京支部「AWS個人検証アカウントどう運用してる? ランチ共有会」
t.kizawa
January 30, 2024
Tweet
Share
More Decks by t.kizawa
See All by t.kizawa
Introduction of use cases using IoT buttons in Japan
kizawa2020
1
250
IoTボタン開発のススメ
kizawa2020
0
130
re:Inventで発表があったIoT事例の紹介と考察
kizawa2020
0
360
SORACOM User Groupのご紹介
kizawa2020
0
1.6k
SORACOM にて提供されている主なIoTデバイスのご紹介
kizawa2020
0
310
IoTボタン開発のススメ
kizawa2020
0
24
IoTボタンで働き方改革 !(SORACOM Buttonで会議脱出ボタンをつくる)
kizawa2020
1
530
Google HomeとSORACOMサービスで遊んでみた(SORACOM UG #10 LT)
kizawa2020
0
280
Other Decks in Technology
See All in Technology
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
590
ブラックフライデーで購入したPixel9で、Gemini Nanoを動かしてみた
marchin1989
1
540
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
160
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
550
DevFest 2024 Incheon / Songdo - Compose UI 조합 심화
wisemuji
0
110
社外コミュニティで学び社内に活かす共に学ぶプロジェクトの実践/backlogworld2024
nishiuma
0
270
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
380
第3回Snowflake女子会_LT登壇資料(合成データ)_Taro_CCCMK
tarotaro0129
0
190
ハイテク休憩
sat
PRO
2
160
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
1
250
5分でわかるDuckDB
chanyou0311
10
3.2k
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
For a Future-Friendly Web
brad_frost
175
9.4k
How to Ace a Technical Interview
jacobian
276
23k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
26
1.9k
Six Lessons from altMBA
skipperchong
27
3.5k
Music & Morning Musume
bryan
46
6.2k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Documentation Writing (for coders)
carmenintech
66
4.5k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Side Projects
sachag
452
42k
The Invisible Side of Design
smashingmag
298
50k
Transcript
個人検証アカウントでも最低限設定したいプラクティス ~私の環境のご紹介~ 2024年1月30日 Tomotaka Kizawa ( kizawa2020 ) JAWS-UG東京 【
AWS個人検証アカウントどう運用してる? ランチ共有会 】
▪ 名前 : 木澤 朋隆 (きざわ ともたか) 所属 : とあるSIer
担当業務: ① AWSアーキテクト ② マーケティング施策の企画・運営・登壇 ③ 社内エンジニアへの支援活動(情報提供など) 第4740号 NEW! 自己紹介
▪ 話のいきさつ Page.3 個人検証環境の運用に関するイベント立てたよ! こんな設定してますけど、需要ありますか? ぜひ! 個人の検証アカウントでも行った方が良い設定例として、 私の個人アカウントでの設定内容について紹介します。
▪ 私の個人アカウントの利用用途 Page.4 本番用途 検証用途 • 個人ブログサイト環境 (Amazon CloudFront /
AWS WAF / Amazon EC2 ) • オンプレミスのNAS (Synology) のバックアップ (Amazon S3 Glacier Instant Retrieval) • AWSブログを巡回して、アップデートを通知するスクリプト (AWS Lambda / Amazon Translate / Amazon SNS等 ) • ハンズオン参加時や、ブログ記事執筆向けの検証環境 • 「会議脱出ボタン」 デモ環境 (AWS Lambda / Amazon Connect )
▪ 従来の構成/運用の課題 Page.5 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン)
本番環境 検証環境 便宜的にリージョンで本番/検証環境を分け運用 東京リージョン : 本番環境 オレゴンリージョン : 検証環境 本運用にて若干の問題が発生 IAM設定が混ざる 一部、リージョン指定があるハンズオンコンテンツの利用 本番環境への影響の懸念のため思い切った検証ができず 構成を見直し、改善を実施
▪ 主な実装内容 Page.6 ① 本番/検証環境のアカウント分離 ② セキュリティ運用の実施 • “おひとりさま AWS
Organizations” の立ち上げ • 検証環境のアカウント分離 • 不要リージョン利用の抑止 • AWS IAM Identity CenterによるSSO環境の構築 AWS Organizations AWS IAM Identity Center • AWS CloudTrailによる証跡保存 • Amazon GuardDutyによる脅威検出 • AWS Configによる設定変更履歴の記録と評価 • AWS Security Hubによる統合管理 • ログイン通知の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub
Page.7 ① アカウント分離 AWS Organizations AWS IAM Identity Center
▪ おひとり様 AWS Orgnizationsの立ち上げ Page.8 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント
us-west-2 (オレゴンリージョン) 本番環境 検証環境 AWS Cloud AWSアカウント(本番) 本番環境 検証環境 AWSアカウント(検証) AWS Organizations AWS Organizationsを利用したアカウント分離の主なメリット 設定や課金が混ざらない アカウント内がゴチャゴチャになった際は、いつでもアカウント廃止できる 課金は統合されており一括請求 新規アカウント向け無料枠 (12ヶ月間)
▪ 個人検証でのアカウント構成のベストプラクティス Page.9 管理アカウントにはSCP(サービスコントロールポリシー)が適用できず、統制が掛けられない。 (SCPの例 : 不要なリージョンの利用を制限) 管理アカウントはAWS Organizationsや管理サービスに限定すべき。 AWS
Control Towerを利用し、AWSが推奨するベストプラクティスのアカウント構成を適用しても良い (が、個人検証アカウントではオーバースペック?) AWS Organizations 私のアカウント 本来こうあるべき AWS Organizations 本番環境 検証環境 管理アカウント 本番環境アカウント 本番環境 検証環境 検証検証アカウント 管理アカウント(兼 本番環境) 検証環境アカウント
▪ AWS IAM Identity CenterによるSSO Page.10 IAM Identity Centerのメリット 複数AWSアカウントへのSSO
SAML 2.0対応 外部サービスとのSSO統合もできる MFAデバイスとしてOSの生体認証デバイスが使える (Windows Hello / Mac TouchID等) 設定手順(ご参考) AWS Organizations導入後は、合わせてIAM Identity Centerも導入しましょう!! ※ 最近はIAM Identity Center前提のAWSサービスも多い。 AWS Managed Service for Grafana / AWS Supply Chain / Amazon Monitron等
Page.11 ② セキュリティ運用の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS
Security Hub
▪ AWSアカウントで対応したいセキュリティ設定 Page.12 AWS CloudTrail AWSアカウントの操作ログを記録し継続的に監視 証跡の保存 (AWS Organization全体/マルチリージョン対応) AWS
Config AWSリソースの設定変更履歴の記録と評価 Amazon GuardDuty AWSアカウントやワークロードの保護、脅威検知 AWS Security Hub セキュリティアラートの一元的な表示および管理、チェックの自動化 有効化 (利用するリージョンごとに設定。Config RulesはAWS Security Hub統合で導入される) 脅威検出の有効化 (利用するリージョンごとに設定) セキュリティ標準に則った適合の確認。通知設定
▪ 構成 Page.13 AWS Cloud AWSアカウント(管理/本番) 本番環境 検証環境 AWSアカウント(検証) AWS
Organizations リージョン①(集約リージョン) リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty リージョン① リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 検出結果の 集約 AWS Organizations内全アカウント/全(利用)リージョン内の、Amazon GuardDuty/AWS Configの検出結果を 管理アカウント(もしくは委任アカウント)のSecurity Hubにて統合管理する。 ご参考:クラスメソッド臼田さんのブログ https://dev.classmethod.jp/articles/security-hub-cross-region-compliance-aggregation/
▪ 各サービスの設定方法 (AWS CloudTrail / AWS Config / Amazon GuardDuty)
Page.14 AWSハンズオン資料(Hands-on for Beginners)の、 「アカウント作成後すぐやるセキュリティ対策」 がわかりやすく、神動画だと思っているので こちらをオススメします。
▪ AWS Security Hubの運用 Page.15 検出結果の一元管理、可視化ができる セキュリティ標準は一旦 「AWS基礎セキュリティのベストプラクティス」 のみ設定。 必要に応じてCISベンチマークなども有効にできる。(コストに影響するはず…)
▪ 気になるコスト Page.16 デフォルト設定では、大きく気になる料金ではないかなと思います。
▪ 参考) AWSマネジメントドコンソールへの ログイン時やIAM操作時にメール通知する Page.17 AWSコンソールサインイン時や、IAM操作時にメール通知する仕組みについて解説している記事 を参考に、ログイン時にメール通知を行う設定を行いました。 皆様もご活用ください。 (CloudFormationテンプレートつき)
Page.18 まとめ/その他
▪ 最後に、AWS Budgetsは有効にしましょう! Page.19
▪ ▪ Page.20 ありがとうございました。 正しい設定を行って、快適な AWS検証ライフをお過ごしください!