Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
個人検証アカウントでも最低限設定したいプラクティス
Search
t.kizawa
January 30, 2024
Technology
3
1.7k
個人検証アカウントでも最低限設定したいプラクティス
2024/1/30開催
JAWS-UG 東京支部「AWS個人検証アカウントどう運用してる? ランチ共有会」
t.kizawa
January 30, 2024
Tweet
Share
More Decks by t.kizawa
See All by t.kizawa
Introduction of use cases using IoT buttons in Japan
kizawa2020
1
42
IoTボタン開発のススメ
kizawa2020
0
110
re:Inventで発表があったIoT事例の紹介と考察
kizawa2020
0
360
SORACOM User Groupのご紹介
kizawa2020
0
1.6k
SORACOM にて提供されている主なIoTデバイスのご紹介
kizawa2020
0
300
IoTボタン開発のススメ
kizawa2020
0
24
IoTボタンで働き方改革 !(SORACOM Buttonで会議脱出ボタンをつくる)
kizawa2020
1
510
Google HomeとSORACOMサービスで遊んでみた(SORACOM UG #10 LT)
kizawa2020
0
270
Other Decks in Technology
See All in Technology
SSMRunbook作成の勘所_20241120
koichiotomo
2
130
Amazon Personalizeのレコメンドシステム構築、実際何するの?〜大体10分で具体的なイメージをつかむ〜
kniino
1
100
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
750
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
140
データプロダクトの定義からはじめる、データコントラクト駆動なデータ基盤
chanyou0311
2
300
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
Featured
See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
4 Signs Your Business is Dying
shpigford
180
21k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Producing Creativity
orderedlist
PRO
341
39k
A Tale of Four Properties
chriscoyier
156
23k
Building an army of robots
kneath
302
43k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
A designer walks into a library…
pauljervisheath
203
24k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Side Projects
sachag
452
42k
Being A Developer After 40
akosma
86
590k
Become a Pro
speakerdeck
PRO
25
5k
Transcript
個人検証アカウントでも最低限設定したいプラクティス ~私の環境のご紹介~ 2024年1月30日 Tomotaka Kizawa ( kizawa2020 ) JAWS-UG東京 【
AWS個人検証アカウントどう運用してる? ランチ共有会 】
▪ 名前 : 木澤 朋隆 (きざわ ともたか) 所属 : とあるSIer
担当業務: ① AWSアーキテクト ② マーケティング施策の企画・運営・登壇 ③ 社内エンジニアへの支援活動(情報提供など) 第4740号 NEW! 自己紹介
▪ 話のいきさつ Page.3 個人検証環境の運用に関するイベント立てたよ! こんな設定してますけど、需要ありますか? ぜひ! 個人の検証アカウントでも行った方が良い設定例として、 私の個人アカウントでの設定内容について紹介します。
▪ 私の個人アカウントの利用用途 Page.4 本番用途 検証用途 • 個人ブログサイト環境 (Amazon CloudFront /
AWS WAF / Amazon EC2 ) • オンプレミスのNAS (Synology) のバックアップ (Amazon S3 Glacier Instant Retrieval) • AWSブログを巡回して、アップデートを通知するスクリプト (AWS Lambda / Amazon Translate / Amazon SNS等 ) • ハンズオン参加時や、ブログ記事執筆向けの検証環境 • 「会議脱出ボタン」 デモ環境 (AWS Lambda / Amazon Connect )
▪ 従来の構成/運用の課題 Page.5 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン)
本番環境 検証環境 便宜的にリージョンで本番/検証環境を分け運用 東京リージョン : 本番環境 オレゴンリージョン : 検証環境 本運用にて若干の問題が発生 IAM設定が混ざる 一部、リージョン指定があるハンズオンコンテンツの利用 本番環境への影響の懸念のため思い切った検証ができず 構成を見直し、改善を実施
▪ 主な実装内容 Page.6 ① 本番/検証環境のアカウント分離 ② セキュリティ運用の実施 • “おひとりさま AWS
Organizations” の立ち上げ • 検証環境のアカウント分離 • 不要リージョン利用の抑止 • AWS IAM Identity CenterによるSSO環境の構築 AWS Organizations AWS IAM Identity Center • AWS CloudTrailによる証跡保存 • Amazon GuardDutyによる脅威検出 • AWS Configによる設定変更履歴の記録と評価 • AWS Security Hubによる統合管理 • ログイン通知の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub
Page.7 ① アカウント分離 AWS Organizations AWS IAM Identity Center
▪ おひとり様 AWS Orgnizationsの立ち上げ Page.8 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント
us-west-2 (オレゴンリージョン) 本番環境 検証環境 AWS Cloud AWSアカウント(本番) 本番環境 検証環境 AWSアカウント(検証) AWS Organizations AWS Organizationsを利用したアカウント分離の主なメリット 設定や課金が混ざらない アカウント内がゴチャゴチャになった際は、いつでもアカウント廃止できる 課金は統合されており一括請求 新規アカウント向け無料枠 (12ヶ月間)
▪ 個人検証でのアカウント構成のベストプラクティス Page.9 管理アカウントにはSCP(サービスコントロールポリシー)が適用できず、統制が掛けられない。 (SCPの例 : 不要なリージョンの利用を制限) 管理アカウントはAWS Organizationsや管理サービスに限定すべき。 AWS
Control Towerを利用し、AWSが推奨するベストプラクティスのアカウント構成を適用しても良い (が、個人検証アカウントではオーバースペック?) AWS Organizations 私のアカウント 本来こうあるべき AWS Organizations 本番環境 検証環境 管理アカウント 本番環境アカウント 本番環境 検証環境 検証検証アカウント 管理アカウント(兼 本番環境) 検証環境アカウント
▪ AWS IAM Identity CenterによるSSO Page.10 IAM Identity Centerのメリット 複数AWSアカウントへのSSO
SAML 2.0対応 外部サービスとのSSO統合もできる MFAデバイスとしてOSの生体認証デバイスが使える (Windows Hello / Mac TouchID等) 設定手順(ご参考) AWS Organizations導入後は、合わせてIAM Identity Centerも導入しましょう!! ※ 最近はIAM Identity Center前提のAWSサービスも多い。 AWS Managed Service for Grafana / AWS Supply Chain / Amazon Monitron等
Page.11 ② セキュリティ運用の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS
Security Hub
▪ AWSアカウントで対応したいセキュリティ設定 Page.12 AWS CloudTrail AWSアカウントの操作ログを記録し継続的に監視 証跡の保存 (AWS Organization全体/マルチリージョン対応) AWS
Config AWSリソースの設定変更履歴の記録と評価 Amazon GuardDuty AWSアカウントやワークロードの保護、脅威検知 AWS Security Hub セキュリティアラートの一元的な表示および管理、チェックの自動化 有効化 (利用するリージョンごとに設定。Config RulesはAWS Security Hub統合で導入される) 脅威検出の有効化 (利用するリージョンごとに設定) セキュリティ標準に則った適合の確認。通知設定
▪ 構成 Page.13 AWS Cloud AWSアカウント(管理/本番) 本番環境 検証環境 AWSアカウント(検証) AWS
Organizations リージョン①(集約リージョン) リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty リージョン① リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 検出結果の 集約 AWS Organizations内全アカウント/全(利用)リージョン内の、Amazon GuardDuty/AWS Configの検出結果を 管理アカウント(もしくは委任アカウント)のSecurity Hubにて統合管理する。 ご参考:クラスメソッド臼田さんのブログ https://dev.classmethod.jp/articles/security-hub-cross-region-compliance-aggregation/
▪ 各サービスの設定方法 (AWS CloudTrail / AWS Config / Amazon GuardDuty)
Page.14 AWSハンズオン資料(Hands-on for Beginners)の、 「アカウント作成後すぐやるセキュリティ対策」 がわかりやすく、神動画だと思っているので こちらをオススメします。
▪ AWS Security Hubの運用 Page.15 検出結果の一元管理、可視化ができる セキュリティ標準は一旦 「AWS基礎セキュリティのベストプラクティス」 のみ設定。 必要に応じてCISベンチマークなども有効にできる。(コストに影響するはず…)
▪ 気になるコスト Page.16 デフォルト設定では、大きく気になる料金ではないかなと思います。
▪ 参考) AWSマネジメントドコンソールへの ログイン時やIAM操作時にメール通知する Page.17 AWSコンソールサインイン時や、IAM操作時にメール通知する仕組みについて解説している記事 を参考に、ログイン時にメール通知を行う設定を行いました。 皆様もご活用ください。 (CloudFormationテンプレートつき)
Page.18 まとめ/その他
▪ 最後に、AWS Budgetsは有効にしましょう! Page.19
▪ ▪ Page.20 ありがとうございました。 正しい設定を行って、快適な AWS検証ライフをお過ごしください!