Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
個人検証アカウントでも最低限設定したいプラクティス
Search
t.kizawa
January 30, 2024
Technology
3
1.6k
個人検証アカウントでも最低限設定したいプラクティス
2024/1/30開催
JAWS-UG 東京支部「AWS個人検証アカウントどう運用してる? ランチ共有会」
t.kizawa
January 30, 2024
Tweet
Share
More Decks by t.kizawa
See All by t.kizawa
Introduction of use cases using IoT buttons in Japan
kizawa2020
1
37
IoTボタン開発のススメ
kizawa2020
0
110
re:Inventで発表があったIoT事例の紹介と考察
kizawa2020
0
360
SORACOM User Groupのご紹介
kizawa2020
0
1.6k
SORACOM にて提供されている主なIoTデバイスのご紹介
kizawa2020
0
300
IoTボタン開発のススメ
kizawa2020
0
24
IoTボタンで働き方改革 !(SORACOM Buttonで会議脱出ボタンをつくる)
kizawa2020
1
490
Google HomeとSORACOMサービスで遊んでみた(SORACOM UG #10 LT)
kizawa2020
0
270
Other Decks in Technology
See All in Technology
CyberAgent 生成AI Deep Dive with Amazon Web Services / genai-aws
cyberagentdevelopers
PRO
1
480
[JAWS-UG金沢支部×コンテナ支部合同企画]コンテナとは何か
furuton
3
240
急成長中のWINTICKETにおける品質と開発スピードと向き合ったQA戦略と今後の展望 / winticket-autify
cyberagentdevelopers
PRO
1
160
チームを主語にしてみる / Making "Team" the Subject
ar_tama
4
310
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
120
なんで、私がAWS Heroに!? 〜社外の広い世界に一歩踏み出そう〜
minorun365
PRO
6
1.1k
Nix入門パラダイム編
asa1984
2
200
IaC運用を楽にするためにCDK Pipelinesを導入したけど、思い通りにいかなかった話
smt7174
1
110
君は隠しイベントを見つけれるか?
mujyun
0
290
WINTICKETアプリで実現した高可用性と高速リリースを支えるエコシステム / winticket-eco-system
cyberagentdevelopers
PRO
1
190
事業者間調整の行間を読む 調整の具体事例
sugiim
0
1.4k
大規模データ基盤チームのオンプレTiDB運用への挑戦 / dpu-tidb
cyberagentdevelopers
PRO
1
110
Featured
See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Fontdeck: Realign not Redesign
paulrobertlloyd
81
5.2k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
328
21k
Scaling GitHub
holman
458
140k
Writing Fast Ruby
sferik
626
61k
Making Projects Easy
brettharned
115
5.9k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Become a Pro
speakerdeck
PRO
24
5k
Transcript
個人検証アカウントでも最低限設定したいプラクティス ~私の環境のご紹介~ 2024年1月30日 Tomotaka Kizawa ( kizawa2020 ) JAWS-UG東京 【
AWS個人検証アカウントどう運用してる? ランチ共有会 】
▪ 名前 : 木澤 朋隆 (きざわ ともたか) 所属 : とあるSIer
担当業務: ① AWSアーキテクト ② マーケティング施策の企画・運営・登壇 ③ 社内エンジニアへの支援活動(情報提供など) 第4740号 NEW! 自己紹介
▪ 話のいきさつ Page.3 個人検証環境の運用に関するイベント立てたよ! こんな設定してますけど、需要ありますか? ぜひ! 個人の検証アカウントでも行った方が良い設定例として、 私の個人アカウントでの設定内容について紹介します。
▪ 私の個人アカウントの利用用途 Page.4 本番用途 検証用途 • 個人ブログサイト環境 (Amazon CloudFront /
AWS WAF / Amazon EC2 ) • オンプレミスのNAS (Synology) のバックアップ (Amazon S3 Glacier Instant Retrieval) • AWSブログを巡回して、アップデートを通知するスクリプト (AWS Lambda / Amazon Translate / Amazon SNS等 ) • ハンズオン参加時や、ブログ記事執筆向けの検証環境 • 「会議脱出ボタン」 デモ環境 (AWS Lambda / Amazon Connect )
▪ 従来の構成/運用の課題 Page.5 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン)
本番環境 検証環境 便宜的にリージョンで本番/検証環境を分け運用 東京リージョン : 本番環境 オレゴンリージョン : 検証環境 本運用にて若干の問題が発生 IAM設定が混ざる 一部、リージョン指定があるハンズオンコンテンツの利用 本番環境への影響の懸念のため思い切った検証ができず 構成を見直し、改善を実施
▪ 主な実装内容 Page.6 ① 本番/検証環境のアカウント分離 ② セキュリティ運用の実施 • “おひとりさま AWS
Organizations” の立ち上げ • 検証環境のアカウント分離 • 不要リージョン利用の抑止 • AWS IAM Identity CenterによるSSO環境の構築 AWS Organizations AWS IAM Identity Center • AWS CloudTrailによる証跡保存 • Amazon GuardDutyによる脅威検出 • AWS Configによる設定変更履歴の記録と評価 • AWS Security Hubによる統合管理 • ログイン通知の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub
Page.7 ① アカウント分離 AWS Organizations AWS IAM Identity Center
▪ おひとり様 AWS Orgnizationsの立ち上げ Page.8 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント
us-west-2 (オレゴンリージョン) 本番環境 検証環境 AWS Cloud AWSアカウント(本番) 本番環境 検証環境 AWSアカウント(検証) AWS Organizations AWS Organizationsを利用したアカウント分離の主なメリット 設定や課金が混ざらない アカウント内がゴチャゴチャになった際は、いつでもアカウント廃止できる 課金は統合されており一括請求 新規アカウント向け無料枠 (12ヶ月間)
▪ 個人検証でのアカウント構成のベストプラクティス Page.9 管理アカウントにはSCP(サービスコントロールポリシー)が適用できず、統制が掛けられない。 (SCPの例 : 不要なリージョンの利用を制限) 管理アカウントはAWS Organizationsや管理サービスに限定すべき。 AWS
Control Towerを利用し、AWSが推奨するベストプラクティスのアカウント構成を適用しても良い (が、個人検証アカウントではオーバースペック?) AWS Organizations 私のアカウント 本来こうあるべき AWS Organizations 本番環境 検証環境 管理アカウント 本番環境アカウント 本番環境 検証環境 検証検証アカウント 管理アカウント(兼 本番環境) 検証環境アカウント
▪ AWS IAM Identity CenterによるSSO Page.10 IAM Identity Centerのメリット 複数AWSアカウントへのSSO
SAML 2.0対応 外部サービスとのSSO統合もできる MFAデバイスとしてOSの生体認証デバイスが使える (Windows Hello / Mac TouchID等) 設定手順(ご参考) AWS Organizations導入後は、合わせてIAM Identity Centerも導入しましょう!! ※ 最近はIAM Identity Center前提のAWSサービスも多い。 AWS Managed Service for Grafana / AWS Supply Chain / Amazon Monitron等
Page.11 ② セキュリティ運用の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS
Security Hub
▪ AWSアカウントで対応したいセキュリティ設定 Page.12 AWS CloudTrail AWSアカウントの操作ログを記録し継続的に監視 証跡の保存 (AWS Organization全体/マルチリージョン対応) AWS
Config AWSリソースの設定変更履歴の記録と評価 Amazon GuardDuty AWSアカウントやワークロードの保護、脅威検知 AWS Security Hub セキュリティアラートの一元的な表示および管理、チェックの自動化 有効化 (利用するリージョンごとに設定。Config RulesはAWS Security Hub統合で導入される) 脅威検出の有効化 (利用するリージョンごとに設定) セキュリティ標準に則った適合の確認。通知設定
▪ 構成 Page.13 AWS Cloud AWSアカウント(管理/本番) 本番環境 検証環境 AWSアカウント(検証) AWS
Organizations リージョン①(集約リージョン) リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty リージョン① リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 検出結果の 集約 AWS Organizations内全アカウント/全(利用)リージョン内の、Amazon GuardDuty/AWS Configの検出結果を 管理アカウント(もしくは委任アカウント)のSecurity Hubにて統合管理する。 ご参考:クラスメソッド臼田さんのブログ https://dev.classmethod.jp/articles/security-hub-cross-region-compliance-aggregation/
▪ 各サービスの設定方法 (AWS CloudTrail / AWS Config / Amazon GuardDuty)
Page.14 AWSハンズオン資料(Hands-on for Beginners)の、 「アカウント作成後すぐやるセキュリティ対策」 がわかりやすく、神動画だと思っているので こちらをオススメします。
▪ AWS Security Hubの運用 Page.15 検出結果の一元管理、可視化ができる セキュリティ標準は一旦 「AWS基礎セキュリティのベストプラクティス」 のみ設定。 必要に応じてCISベンチマークなども有効にできる。(コストに影響するはず…)
▪ 気になるコスト Page.16 デフォルト設定では、大きく気になる料金ではないかなと思います。
▪ 参考) AWSマネジメントドコンソールへの ログイン時やIAM操作時にメール通知する Page.17 AWSコンソールサインイン時や、IAM操作時にメール通知する仕組みについて解説している記事 を参考に、ログイン時にメール通知を行う設定を行いました。 皆様もご活用ください。 (CloudFormationテンプレートつき)
Page.18 まとめ/その他
▪ 最後に、AWS Budgetsは有効にしましょう! Page.19
▪ ▪ Page.20 ありがとうございました。 正しい設定を行って、快適な AWS検証ライフをお過ごしください!