LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス

Transcript

1. ©Fusic Co., Ltd. 0 LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス 2024.09.05 Mai

   Miyazaki @maimyyym Fusic x フォージビジョン x クラスメソッド Vol.2【AWS勉強会】

2. ©Fusic Co., Ltd. 1 宮崎 真⾐ Miyazaki Mai HN: mai

   (@maimyyym ) ◉ I am - 管理栄養⼠（養成校卒業・資格保持のみ） - 元百貨店スタッフ（Beauty Counselor） - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / TypeScript / Python / PHP ◉ Comment - 英語の疑問詞が聞き分けられるようになりました ⾃⼰紹介 はじめに 事業本部 技術創造部⾨ / エンジニア 株式会社Fusic

3. ©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. ランディングゾーンとは 2. LandingZoneAccelerator

   とは 3. Standard Configurationを覗いてみる 4. 実践の課題と⼩さなベストプラクティス 5. まとめ

4. ©Fusic Co., Ltd. 3 ランディングゾーンとは ランディングゾーンとは？ / スケーラブルで安全なマルチアカウントAWS環境 ランディングゾーンの適⽤ 1

5. ©Fusic Co., Ltd. 4 ランディングゾーンとは？ ランディングゾーンとは [ 語源 ] Landing

   着地点、着陸 Zone 区画、地帯 LandingZone 最初に着陸する区画 ＋

6. ©Fusic Co., Ltd. 5 ランディングゾーンとは？ ランディングゾーンとは en) A landing zone

   is a well-architected, multi-account AWS environment that is scalable and secure. ランディングゾーンは、スケーラブルで安全な、 適切に設計されたマルチアカウント AWS 環境です。 https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html AWS 規範ガイダンス 安全でスケーラブルなマルチアカウント AWS 環境のセットアップより

7. ©Fusic Co., Ltd. 6 ランディングゾーンとは？ ランディングゾーンとは [ Well-Architected ] の

   [ スケーラブル + セキュア ] な マルチアカウントAWS環境

8. ©Fusic Co., Ltd. 7 スケーラブルで安全なマルチアカウントAWS環境 ランディングゾーンとは なぜ、マルチアカウント？ これらを最⾼レベルで分離できる。 リソース セキュリティ

   請求 サービスクォータ リスクやニーズは アカウントに封じ込め AWSにおいて請求単位は アカウントレベルが唯⼀

9. ©Fusic Co., Ltd. 8 スケーラブルで安全なマルチアカウントAWS 環境 ランディングゾーンとは 「スケーラブル + セキュア」が求められるのは？

   ⼤規模な組織 セキュリティ コンプライアンス 多数のワークロード 分散されたチーム

10. ©Fusic Co., Ltd. 9 スケーラブルで安全なマルチアカウントAWS 環境 ランディングゾーンとは 「スケーラブル + セキュア」

    が求められるのは？ ⼤規模な組織 セキュリティ コンプライアンス 多数のワークロード 分散されたチーム ランディングゾーンの需要はここに

11. ©Fusic Co., Ltd. 10 ランディングゾーンの適⽤ ランディングゾーンとは どんな状況？ ログを 集約・⼀元管理 アクセス権限の

    管理・制限 アクセスログ 証跡

12. ©Fusic Co., Ltd. 11 ランディングゾーンの適⽤ ランディングゾーンとは どんな状況？ ログを 集約・⼀元管理 アクセス権限の

    管理・制限 アクセスログ 証跡 これらが迅速に起動できる環境

13. ©Fusic Co., Ltd. 12 Landing Zone Accelerator Landing Zone Accelerator(LZA)とは

    2

14. ©Fusic Co., Ltd. 13 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator 前提 ランディングゾーン構築のための

    機能を提供するマネージドサービス ＝ AWS Control Tower ガバナンスが適⽤された アカウント作成の⾃動化 コントロールによる ガードレールの適⽤

15. ©Fusic Co., Ltd. 14 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator Landing Zone

    Acceleratorとは https://aws.amazon.com/jp/solutions/implementations/landing-zone-accelerator-on-aws/ • LandingZone導⼊を強化するローコードソリューション • CDK製のOSSプロジェクト • AWSのベストプラクティスと複数のグローバルな コンプライアンスフレームワークに準拠した クラウド基盤をデプロイ・適切な管理をサポート • 特定の地域や業界の要件への準拠をサポートする サンプル構成の提供

16. ©Fusic Co., Ltd. 15 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator 使い⽅ Landing

    Zone Accelerator プロジェクト https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html AWS CloudFormation を⽤いて を⾃⾝のAWS環境にインストール ① ② 設定ファイル を Amazon S3 に保管、 を通して環境の設定やリソースをプロビジョン AWS CodePipeline

17. ©Fusic Co., Ltd. 16 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator 使い⽅ Landing

    Zone Accelerator プロジェクト https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html AWS CloudFormation を⽤いて を⾃⾝のAWS環境にインストール ① ② 設定ファイル を Amazon S3 に保管、 を通して環境の設定やリソースをプロビジョン AWS CodePipeline § global-config.yaml § organization-config.yaml § accounts-config.yaml § iam-config.yaml § security-config.yaml § network-config.yaml 必要な構成・リソースを定義し、 組織に必要なランディングゾーン 環境をデプロイする。

18. ©Fusic Co., Ltd. 17 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator LZAが提供するもの •

    Control Towerによるランディングゾーン導⼊の基盤と機能強化 • 追加の構成・機能・リソースを管理するための設定ファイル • 固有要件をサポートするSample Configuration ※あくまで基盤インフラの提供 組織の要件に完全に準拠しているかはユーザーの責任

19. ©Fusic Co., Ltd. 18 LZA / Standard Configuration Standard Configurationとは

    / Standard Configurationを覗いてみる 3

20. ©Fusic Co., Ltd. 19 Standard Configurationとは LZA / Standard Configuration

    Sample Configuration 特定の地域や業界の要件を満たすためのスターター構成 を提供する設定ファイルのまとまり GitHubの /reference/sample-configurations 下にある Standard GovCloudUS CCCS TSE-SE Education Finance Healthcare US SLG Central IT

21. ©Fusic Co., Ltd. 20 Standard Configurationとは LZA / Standard Configuration

    Sample Configuration 特定の地域や業界の要件を満たすためのスターター構成 を提供する設定ファイルのまとまり GitHubの /reference/sample-configurations 下にある Standard GovCloudUS CCCS TSE-SE Education Finance Healthcare US SLG Central IT

22. ©Fusic Co., Ltd. 21 Standard Configurationとは LZA / Standard Configuration

    Standard Organizing Your AWS Environment Using Multiple Accounts AWS Security Reference Architecture(AWS SRA) 標準的な商⽤のための構成 以下のAWS ホワイトペーパーに⼤きな影響を受けている。 Well-Architected Frameworkに基づくベストプラクティスの適⽤ AWSサービスを⽤いたセキュリティアーキテクチャの実装ガイドライン

23. ©Fusic Co., Ltd. 22 Standard Configurationを覗いてみる LZA / Standard Configuration

    Organization structure ◦ Management Account ◦ Infrastructure OU ◦ 共有サービスアカウント ◦ ネットワークアカウント ◦ Security OU ◦ ログアーカイブアカウント ◦ 監査アカウント ◦ Workload OU ◦ ワークロード⽤アカウント https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#organization-structure

24. ©Fusic Co., Ltd. 23 Standard Configurationを覗いてみる LZA / Standard Configuration

    Core Accounts https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#core-accounts Management Account • Control Tower • LZAアーキテクチャや ガードレールのデプロイ • 課⾦アグリゲータ

25. ©Fusic Co., Ltd. 24 Standard Configurationを覗いてみる LZA / Standard Configuration

    Core Accounts https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#core-accounts Log Archive Account • 各アカウントのログを S3に集約 Audit Account • セキュリティサービスの 管理・運⽤を担う

26. ©Fusic Co., Ltd. 25 Standard Configurationを覗いてみる LZA / Standard Configuration

    Core Accounts https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#core-accounts Network Account • Network Firewall • ハブとしてのTransitGW • Inspection VPC Shared Services Account • AWS Directory Service (Managed Microsoft AD) • IAM Identity Center

27. ©Fusic Co., Ltd. 26 Standard Configurationを覗いてみる LZA / Standard Configuration

    IDの⼀元管理とヒューマンユーザーのアクセス制御 • IAM Identity Center (+AWS Managed Microsoft AD) によりアクセスを⼀元的に管理 ※既存のIdPがある場合は、 フェデレーション設定を推奨 • ユーザーをグループに追加すること で制御。 左図はMaxで追加したもの。

28. ©Fusic Co., Ltd. 27 Standard Configurationを覗いてみる LZA / Standard Configuration

    これらは初期構築時にデプロイされる最低限の構成。 ネットワーク・アプリケーションリソース等、 必要なリソースを追加デプロイしていく。 その際、組織のニーズにこのアーキテクチャを適⽤させるため SRAを参照することが推奨されている。

29. ©Fusic Co., Ltd. 28 実践の課題と 今から使えるベストプラクティス 料⾦ / 実装コスト /

    学んだベストプラクティスを取り⼊れる 4

30. ©Fusic Co., Ltd. 29 料⾦ 実践の課題と今から使えるベストプラクティス As of this revision,

    the cost for running this solution using the Landing Zone Accelerator on AWS sample configuration with AWS Control Tower in the US East (N. Virginia) Region within a non-critical sandbox environment with no activity or workloads is approximately $430.22 (USD) each month. https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerator-on-aws/cost.html 最低限のデフォルト設定を適⽤させるだけで （ワークロード・アクティビティを含まない） 毎⽉$430.22(USD)

31. ©Fusic Co., Ltd. 30 実装コスト 実践の課題と今から使えるベストプラクティス あくまで基盤の提供。 要件を満たすアーキテクチャの 検討や追加リソースの 設計・実装も必要

    役割に応じたアクセス制御 ＝管理・運⽤する⼈員と その設計という前提がある

32. ©Fusic Co., Ltd. 31 実装コスト 実践の課題と今から使えるベストプラクティス あくまで基盤の提供。 要件を満たすアーキテクチャの 検討や追加リソースの 設計・実装も必要

    役割に応じたアクセス制御 ＝管理・運⽤する⼈員と その設計という前提がある 組織の規模・要件を踏まえてソリューションを適⽤する。 その基盤としてAWSマネージドサービス(Control Tower)や LZAのようなソリューションは⼼強い

33. ©Fusic Co., Ltd. 32 ベストプラクティスを取り⼊れる 実践の課題と⼩さなベストプラクティス ランディングゾーン、ガバナンスの効いたアーキテクチャは ⼤規模組織でのニーズが⼤きい。 クライアントワークにおいては中⼩規模の事例も多々。 知る必要はない？

    【余談】 私の話！

34. ©Fusic Co., Ltd. 33 ベストプラクティスを取り⼊れる 実践の課題と⼩さなベストプラクティス ランディングゾーン、ガバナンスの効いたアーキテクチャは ⼤規模組織でのニーズが⼤きい。 クライアントワークにおいては中⼩規模の事例も多々。 知る必要はない？

    【余談】 私の話！

35. ©Fusic Co., Ltd. 34 ベストプラクティスを取り⼊れる 実践の課題と⼩さなベストプラクティス ランディングゾーン、ガバナンスの効いたアーキテクチャは ⼤規模組織でのニーズが⼤きい。 クライアントワークにおいては中⼩規模の事例も多々。 知る必要はない？

    ドキュメントやフレームワークで⽰される ベストプラクティスの構成は最⼤値とも⾔える。 「全くやらない」より 「できることをやる」「思想を知る」が良い！ Landing Zone Acceleratorに触れてみて、 規模を問わず活かせる知⾒を得ることができました。 【余談】 私の話！

36. ©Fusic Co., Ltd. 35 まとめ ランディングゾーンは「Well-Architected」の「スケーラブル＋セキュア」な”マルチアカウントAWS環境” Point 01 AWS Control

    TowerがLZの機能を提供、LandingZoneAcceleratorはLZの基盤サポート＋強化するソリューション Point 02 LandingZoneAcceleratorのサンプル”Standard”構成はAWSのベストプラクティス（主にSRA）に沿った設計 Point 03 LZAのようなソリューションはベストプラクティスの最⼤値。その⼀つ⼀つには明⽇から使えるものもある！ Point 04

37. ©Fusic Co., Ltd. 36 Thank You We are Hiring! https://recruit.fusic.co.jp/

    ご清聴いただきありがとうございました