Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Organizations で始めるマルチアカウント管理
Search
MasahiroKawahara
October 11, 2021
Technology
0
3.3k
AWS Organizations で始めるマルチアカウント管理
スケールするAWS環境を管理する手法としてマルチアカウント戦略は主流になりつつあります。
そのマルチアカウント戦略に役立つ AWS Organizations の概要や使い方のポイントを説明します。
MasahiroKawahara
October 11, 2021
Tweet
Share
More Decks by MasahiroKawahara
See All by MasahiroKawahara
セキュリティ系アップデート全体像と AWS Organizations 新ポリシー「宣言型ポリシー」を紹介 / reGrowth 2024 Security
masahirokawahara
0
500
わたしとトラックポイント / TrackPoint tips
masahirokawahara
1
290
AWS CLIとシェルスクリプト、いつ使う?活用できる場面とTips紹介 #devio2024 / AWS CLI and Shell Tips
masahirokawahara
0
1k
EC2の脆弱性対応で何が使える? Inspector や SSM あたりを整理する #nakanoshima_dev
masahirokawahara
2
1.4k
SSM Inventory を使って便利に EC2 棚卸し(ハマりどころを添えて)
masahirokawahara
2
980
ここが嬉しいABAC ここが辛いよABAC #再解説+補足編
masahirokawahara
1
520
疲弊しない!AWSセキュリティ統制の考え方 #devio_osakaday1
masahirokawahara
6
8.1k
セキュリティ系アップデートの全体像とSecurity Hub深掘り #AWSreInvent #cmregrowth
masahirokawahara
0
1.6k
AWSのマルチアカウント管理を始めよう #AWSSummit
masahirokawahara
1
1.3k
Other Decks in Technology
See All in Technology
Amazon SageMaker Unified Studio(Preview)、Lakehouse と Amazon S3 Tables
ishikawa_satoru
0
160
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
850
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
200
生成AIのガバナンスの全体像と現実解
fnifni
1
190
Opcodeを読んでいたら何故かphp-srcを読んでいた話
murashotaro
0
270
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
120
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
560
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
290
日本版とグローバル版のモバイルアプリ統合の開発の裏側と今後の展望
miichan
1
130
【re:Invent 2024 アプデ】 Prompt Routing の紹介
champ
0
150
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
380
PHP ユーザのための OpenTelemetry 入門 / phpcon2024-opentelemetry
shin1x1
1
290
Featured
See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
Writing Fast Ruby
sferik
628
61k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7k
VelocityConf: Rendering Performance Case Studies
addyosmani
326
24k
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
Code Review Best Practice
trishagee
65
17k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Navigating Team Friction
lara
183
15k
Designing for Performance
lara
604
68k
RailsConf 2023
tenderlove
29
940
A Modern Web Designer's Workflow
chriscoyier
693
190k
Transcript
AWS Organizations で始める マルチアカウント管理 川原 征大 https://dev.classmethod.jp/author/kawahara-masahiro/
目次 1. なぜ AWS Organizations が必要か 2. AWS Organizations の主要機能
3. AWS Organizations を使いこなそう
1. なぜ AWS Organizations が必要か 2. AWS Organizations の主要機能 3.
AWS Organizations を使いこなそう
AWSアカウント構成の 2つの戦略 • シングルアカウント戦略 • マルチアカウント戦略
シングルアカウント戦略 全ての ネットワークインフラ、コンピューティングリソースを 1 アカウント内で取り扱う シンプルで手早い導入が可能
マルチアカウント戦略 ワークロードやステージごとにアカウントを分割する シングルアカウント戦略と比較してガバナンスや課金、セ キュリティ面でメリットが多い
マルチアカウント戦略のメリット • ガバナンス ◦ 明確な権限の分離 • 課金 ◦ コスト分類 •
セキュリティ ◦ 問題発生時の影響範囲を絞る
マルチアカウント戦略のデメリット • マルチアカウント戦略のデメリット ◦ アカウントごとのアクセス・権限管理 ◦ アカウントごとのコスト管理、取りまとめ ◦ 構築、運用のオーバーヘッド
マルチアカウント戦略のデメリット • マルチアカウント戦略のデメリット ◦ アカウントごとのアクセス・権限管理 ◦ アカウントごとのコスト管理、取りまとめ ◦ 構築、運用のオーバーヘッド これらマルチアカウント戦略の
負担を軽減する手段が AWS Organizations
1. なぜ AWS Organizations が必要か 2. AWS Organizations の主要機能 3.
AWS Organizations を使いこなそう
AWS Organizations とは? 複数アカウントを組織化して 色々できるようにするサービス
• 管理アカウント/メンバーアカウント • 組織単位(Organizational Unit) • サービスコントロールポリシー(SCP) • Organizations 連携サービス
AWS Organizations の主要機能
AWS Organizations の主要機能 • 管理アカウント/メンバーアカウント ⇠ • 組織単位(Organizational Unit) •
サービスコントロールポリシー(SCP) • Organizations 連携サービス
管理アカウント/メンバーアカウント AWS Organizations で取り扱うアカウントの種類は 2つ • 管理アカウント(1つだけ) • メンバーアカウント(複数)
管理アカウント • 組織全体の設定、管理を行うための代表アカウント • 全アカウントのAWS利用料が管理アカウントへ請求され る (一括請求 機能) ✍ 一括請求のメリット
• コスト管理: 請求簡素化。アカウントごとの利用状況を集計 /管理 • コスト最適化: 「組織を 1アカウントとして扱い」利用料が計算されるためボ リュームディスカウントの恩恵有
メンバーアカウント • 実際のワークロードなどを稼働させるアカウント群 • (Tips) 特定の組織管理業務を行うアカウントを作ることが 多いです
Tips:「特定の管理業務」の代表例 • 監査(Audit)アカウント ◦ 組織全体のセキュリティ管理を行う役割を持つ ◦ AWSのセキュリティ系サービス(AWS Security Hub, Amazon
GuardDuty等) を活用する • ログアーカイブ(Log Archive)アカウント ◦ 組織全体のログを集約する役割を持つ ◦ 各種ログ(CloudTrail, VPC Flow Logs 等)を集約、管理する
AWS Organizations の主要機能 • 管理アカウント/メンバーアカウント • 組織単位(Organizational Unit) ⇠ •
サービスコントロールポリシー(SCP) • Organizations 連携サービス
組織単位(Organizational Unit: OU) 階層構造を作るための AWSアカウントのコンテナ
組織単位(Organizational Unit: OU) • よくあるOU種別、分け方 ◦ ワークロード種別単位で OUを作成 ◦ 本番/非本番
単位でOUを作成 ◦ セキュリティ管理用 OUを作成 ✍ OU構成は最初の大事な設計。ベストプラクティスを参考にしよう → AWS Organizations における組織単位のベストプラクティス | Amazon Web Services
AWS Organizations の主要機能 • 管理アカウント/メンバーアカウント • 組織単位(Organizational Unit) • サービスコントロールポリシー(SCP)
⇠ • Organizations 連携サービス
サービスコントロールポリシー(SCP) • ルート/OU/アカウントにアタッチするIAMポリシー • OU配下のアカウントを一括制御できる • 予防的ガードレールの役割 ▲ デフォルトで全てのルート/OU/アカウント に
“FullAWSAccess” がアタッチされている
Tips: SCPの継承 • OUにアタッチした SCPは その配下の要素(OU/アカウント) にも適用される (SCPの継承) • SCP設計の際の重要な考慮点
参考: [Organizations] SCP(サービスコントロールポリシー ) の継承の仕組みを学ぼう | DevelopersIO
AWS Organizations の主要機能 • 管理アカウント/メンバーアカウント • 組織単位(Organizational Unit) • サービスコントロールポリシー(SCP)
• Organizations 連携サービス ⇠
AWS Organizations 連携が “前提” のサービス いくつかのサービスは AWS Organizations 利用が前提 •
AWS Control Tower → 後述 • AWS Single Sign-On (SSO) → 後述 • AWS Firewall Manager ◦ WAFルールや Security Group をアカウント横断で管理
AWS Control Tower • ベストプラクティスに基づいた Organizations環境のセット アップ/管理を可能にするサービス • ベストプラクティス構成を簡単に構築 ◦
※カスタマイズ性は高くない 画像: AWS マルチアカウント管理を実現する ベストプラクティスとは ?: https://aws.amazon.com/jp/builders-flash/202 007/multi-accounts-best-practice/ ✍ 参考になるので利用の有無に関わらず調 べてみましょう • ベストプラクティス構成 • セキュリティガードレール など
AWS Single Sign-On(SSO) • 組織内アカウントへのログインの仕組みを作る機能 • ユーザーのアカウントへのアクセスを一元管理
AWS Organizations 連携のサービス • 20以上あり、アップデートで日々増え続けている ◦ AWS services that you
can use with AWS Organizations - AWS Organizations • よく使うサービスピックアップ ◦ CloudFormation StackSets → 後述 ◦ GuardDuty → 後述 ◦ CloudTrail ... 組織全体の証跡を集約 ◦ Resource Access Manager ... AWSリソースの組織内共有
CloudFormation StackSets • 複数リージョン/複数アカウントに CFnスタックを展開でき る機能 • Organizations 連携で 「OU単位で簡単に展開」できるよう
になる ◦ + 自動デプロイ/削除機能も利用可能 • 汎用的に使える
GuardDuty • マネージドな脅威検出サービス • Organizations 連携で 組織全体の GuardDuty 一括設定 と検出イベントの集中管理が可能に
• 特定メンバーアカウントを委任管理者とできる ◦ 委任先アカウントで集中管理
• 管理アカウント/メンバーアカウント ◦ 管理アカウントが組織全体を統制する • 組織単位(Organizational Unit) ◦ メンバーアカウントを階層化して管理する •
サービスコントロールポリシー(SCP) ◦ AWS環境の予防的ガードレール • Organizations 連携サービス ◦ たくさんある AWS Organizations 主要機能まとめ
1. なぜ AWS Organizations が必要か 2. AWS Organizations の主要機能 3.
AWS Organizations を使いこなそう
どう使いこなしていくか 1. まずは アカウント分割/OU設計 2. SCPで予防的ガードレールを敷こう 3. AWS SSOでアクセスを管理しよう 4.
Organizations 連携を活用していこう
まずは アカウント分割/OU設計 • アカウント分割の方針をまず定めて、それに合わせた OU構成を考えていく • OU設計のベストプラクティスを参考にしよう ◦ AWS Organizations
における組織単位のベストプラクティス | Amazon Web Services
SCPで予防的ガードレールを敷こう • 『OU単位で制御したい内容』を書く ◦ 「(ヒトに関係なく)絶対にやっちゃだめ!」なアクションを洗い 出すと良い • SCP設計の際に知っておいたほうが良いキーワード ◦ 継承/許可リスト/拒否リスト/暗黙のDeny
[Organizations] SCP(サービスコントロールポリシー )の継承 の仕組みを学ぼう | Developers.IO
AWS SSO でアクセスを管理しよう • AWS SSOが使えることは大きなメリット ◦ ※ AWS SSOが出るまでは、「Jumpアカウントからのスイッチ
ロール」戦略が主に採用 (もしくは 3rd party SSO) 画像: AWS におけるマルチアカウント管理の手法とベストプラクティス | AWS Jumpアカウントからのス イッチロール構成 →
AWS SSO でアクセス管理しよう • Jumpアカウント戦略はリソース管理が大変 ◦ Jumpアカウントで IAMユーザー管理 ◦ 各アカウントへ
IAMロール管理 • AWS SSO は管理アカウント内で完結する ◦ ユーザー管理 ▪ ※ AWS SSO提供 IDストア or 既存AD or 既存外部プロバイダー ◦ ユーザーがどのアカウントにどの権限でアクセスできるか割 り当て 参考: AWS SSOを図解してみた | DevelopersIO
Organizations 連携を活用していこう • 全てを活用していく必要はない • 最低限セットアップしておきたいサービス ◦ CloudTrail ◦ Security
Hub/GuardDuty ◦ Config (with SSM Quick Setup)
【やっておこう!】CloudTrail の証跡を集約 【Organizations】組織レベルで CloudTrailの証跡を有効化、S3バケットへ集約する | DevelopersIO
【やっておこう!】セキュリティ集中管理 ▼GuardDuty参考 【Organizations】組織内すべてのアカウント・すべてのリージョンへの GuardDuty設定を簡単に 行う | DevelopersIO ▼Security Hub参考 【アップデート】Security
Hubが AWS Organizations と統合!組織内セキュリティチェック環境を 簡単にセットアップ/管理できるようになりました | DevelopersIO
【やっておこう!】Configセットアップ SSM Quick Setup で超カンタンにセットアップ SSM Quick Setup で Configの記録
/ 適合パックが AWSアカウント単位 / Organizations全体で 超カンタンデプロイ可能に!(全リージョン対応) | DevelopersIO
まとめ AWS Organizations の主要機能 • 管理アカウント/メンバーアカウント • 組織単位(Organizational Unit) •
サービスコントロールポリシー(SCP) • Organizations 連携サービス AWS Organizations を使いこなそう 1. まずは アカウント分割/OU設計 2. SCPで予防的ガードレールを敷こう 3. AWS SSOでアクセスを管理しよう 4. Organizations 連携を活用していこう