Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Reintroduction to AWS Multiple Account Management

Avatar for midnight480 midnight480
January 24, 2025
Technology
360
0

Reintroduction to AWS Multiple Account Management

01/25/2024
https://jawsug-kumamoto.connpass.com/event/337992/

Avatar for midnight480

midnight480

January 24, 2025

More Decks by midnight480

See All by midnight480
20260228_JAWS-UG_SaGA_Kiro-CLI
Avatar for midnight480 midnight480
0
110
Intro SAGA Event Space
Avatar for midnight480 midnight480
0
300
JAWS-UG Saga for Beginners
Avatar for midnight480 midnight480
0
63
SAGA IT Community Day 2026 Winter 2025.12.20
Avatar for midnight480 midnight480
0
440
Kiroで実現する “Spec Driven Development”
Avatar for midnight480 midnight480
0
220
Kiro CLI 〜無料でここまでできる!〜
Avatar for midnight480 midnight480
0
260
AWS Summit Japan 2025 個人的参加レポート
Avatar for midnight480 midnight480
0
410
Amazon Q Developer for CLI の紹介
Avatar for midnight480 midnight480
0
430
Postman Flows ✖️ Backlog API で可能性を探る
Avatar for midnight480 midnight480
0
410

Other Decks in Technology

See All in Technology
Bucharest Tech Week 2026 - Guardians of the Cloud-Native Galaxy
Avatar for Eric Deandrea edeandrea
PRO
0
110
【Cyber-sec+】経営層を"動かす"ための考え方
Avatar for Hisashi Hibino hssh2_bin
0
190
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク ~実装編~
Avatar for SONiC Users Group Japan sonic
0
270
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
Oracle AI Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
3k
AWS Security Agent といっしょに脅威モデリングをやってみよう
Avatar for amarelo_n24 amarelo_n24
0
160
SONiC Scale-Up Working Group から探る Scale-UpやUltraEthernet機能の実装方法
Avatar for ebiken ebiken
PRO
2
400
200個のGitHubリポジトリを横断調査したかった
Avatar for Issei.Komori icck
0
130
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
2k
攻撃者視点で考えるDetection Engineering
Avatar for Ruslan Sayfiev cryptopeg
3
2k
Claude Codeをどのように キャッチアップしているか
Avatar for Oikon oikon48
13
8.5k
脱SaaS!FDEを支えるプロビジョニングと分離設計
Avatar for Kenichi SUZUKI knih
0
240

Featured

See All Featured
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
700
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
4.3k
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
210
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7.1k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.9k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
2k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
490
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
2
400
Believing is Seeing
Avatar for Spiro Bolos oripsolob
1
150

Transcript

  1. Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 AWS複数アカウントの管理再入門 Reintroduction to

    AWS Multiple Account Management

  2. Copyright © Tetsuya Shibao #jawsugkmmt 自己紹介 大分(22年) → 東京(11年) →

    福岡(2年)→ 佐賀(現 在)  柴尾 哲也(しばお てつや) Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc…

  3. Copyright © Tetsuya Shibao #jawsugkmmt ・ AWSを複数アカウントは必要なのか ・ AWSの複数アカウントの管理 ・

    実際に管理してみる ・ まとめ お話すること

  4. Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか?

  5. Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか? 単一 単一

    派 派 複数 複数 派 派 ・複数アカウントを管理する手間やコストを抑えたい ・複数アカウントを管理する手間やコストを抑えたい  ・  ・ 社員数が少なく、 社員数が少なく、ITインフラ部門も兼任で行なっているスタートアップ インフラ部門も兼任で行なっているスタートアップ   ・小規模の   ・小規模のWebサービスを サービスを1本だけ 本だけ ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)

  6. Copyright © Tetsuya Shibao #jawsugkmmt AWSを複数アカウントは必要なのか (ここはあくまでも個人の意見です) ・ 企業はControl Tower導入が最優先だと考えます

     ・利用できるリージョン制限を施す   ・請求書から逆算してリージョンにあるサービスを調査したことはありますか?  ・ログアーカイブアカウントと監査アカウントが予めセットアップされる(Control Tower必須)   ・CloudTrailにも操作履歴が残らない操作をされたことがありますか?  ・AWS Config, Security Hubを導入することで管理対象のアカウントの統制を施す ・ 検証目的であろうとも最低限AWSアカウントは複数に分ける必要があると考えます  ・ あなたは初めてAWSにサインインして、「最終ログイン ◯◯◯(365 x n) 日以上」のIAMアカウントを見たことはありますか?   ・今見ているAWSアカウントの中で作業が継続しているのかどうかも分からない  ・ 「このIAM Userは使っていますか?」と聞いて、「うーん、どこかで使っている気がする」と聞いたことはありますか? ・ 勉強で作ったAWSアカウントであっても可能な限り複数に分けて運用が望ましいと考えます  ・クレジット(語弊がないように付け加えるとクーポン)は、支払いの管理アカウントにさえ登録すれば配下のアカウントに適用される  ・勉強の過程で作成されたIAM Roleが気づかないうちに出来上がるケースがあり、管理が煩雑になる

  7. Copyright © Tetsuya Shibao #jawsugkmmt ここからは個人で始めてみる ここからは個人で始めてみる AWS Organizations設定を交えての話となります 設定を交えての話となります

  8. Copyright © Tetsuya Shibao #jawsugkmmt AWSの複数アカウントの管理 ・ AWS Organizations x

    AWS IAM Identity Center(旧Single-Sign On)で統制を施す​ ・ SCPs(Service Control Policy)を使って主に制限を施す  ・2024年11月にRCPs(Resource Control Policy)、12月のre:InventでDeclarative Policy:宣言的なポリシーが発表 管理アカウント ou1 ou2 メンバアカウント 1−1 メンバアカウント 2−1 メンバアカウント 1−2 users/groups

  9. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・ IdP(ID管理基盤)は、トラストログインに限りません  ・企業であればAzure Entra

    ID(旧Azure AD)やGoogle Workspaceを利用している場合はそちらをIdPとすることを推奨です  ・トラストログインでAWS IAM Identity Centerと連携する手順は公開されています   https://support.trustlogin.com/hc/ja/articles/4407845138713 ・AWS Organizationsは、グローバルサービスです ・AWS IAM Identity Centerは、どこかの一つのRegionにインスタンス(無償)を起動する必要があるため指定が必要です  ・特に問題がなければ、東京(ap-northeast-1)リージョンで大丈夫です

  10. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・SCIM(System for Cross-domain Identity

    Management)対応していないIdPの場合は初回のみユーザ情報を作成する必要がある ・Username = Email Address で作成すること(トラストログインの場合、IdPによるが大抵はEmail Addressがキーになるはず)

  11. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・2024年11月に発表された Centrally manage root

    access for member accounts ・2025年01月時点で確認できるのは、S3 バケット、SQSキュー、パスワードリセットの許可 パスワードリセットの許可 に限られる https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-enable-root-access.html

  12. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・AWS マネジメントコンソールも複数セッションに対応するになった(2025年1月) https://docs.aws.amazon.com/ja_jp/awsconsolehelpdocs/latest/gsg/multisession.html

  13. Copyright © Tetsuya Shibao #jawsugkmmt まとめ ・AWSは複数アカウントで運用することを見越した構成が推奨です  ・企業のセキュリティポリシーでも、本番環境と検証環境は分離を求められるケースもあるかと思います ・AWS Organizationsを使うのであれば、AWS

    IAM Identity Center + 外部IdPを組み合わせて使うとアカウントの管理が煩雑にならないです  ・Azure Entra IDは、オンデマンド or 40分ごとにSCIMで組み合わせて使えるのでとても楽です  ・Google Workspaceは、変更検知して順次動くので若干管理の自由は効かないです  ・トラストログインは、個人で利用する分にはいい体験になるかと思います   ・Azure Entra IDやGoogle Workspaceと比べて設定項目がシステムで隠されているので知識がなくても設定可能です ・メンバアカウントのルートアカウントアクセスを制限できるようになったので、SCPs、RCPs、DPの組み合わせで幅が広がります ・SCPsやRCPs、Decrative Policyについては、次回の福岡(2/8)で話すつもりです

  14. Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 Thanks for your

    time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480