Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Reintroduction to AWS Multiple Account Management
Search
midnight480
January 24, 2025
Technology
400
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Reintroduction to AWS Multiple Account Management
01/25/2024
https://jawsug-kumamoto.connpass.com/event/337992/
midnight480
January 24, 2025
More Decks by midnight480
See All by midnight480
20260228_JAWS-UG_SaGA_Kiro-CLI
midnight480
0
120
Intro SAGA Event Space
midnight480
0
310
JAWS-UG Saga for Beginners
midnight480
0
69
SAGA IT Community Day 2026 Winter 2025.12.20
midnight480
0
480
Kiroで実現する “Spec Driven Development”
midnight480
0
250
Kiro CLI 〜無料でここまでできる!〜
midnight480
0
290
AWS Summit Japan 2025 個人的参加レポート
midnight480
0
440
Amazon Q Developer for CLI の紹介
midnight480
0
460
Postman Flows ✖️ Backlog API で可能性を探る
midnight480
0
440
Other Decks in Technology
See All in Technology
Terraform共通モジュールをチーム横断で“変えられる”運用へ ― リリースと適用の分離
kekke_n
1
2.5k
プライバシー保護の理論と実践
lycorptech_jp
PRO
1
250
「最後に責任を取るのはチーム」— 人間のPRレビューを最小化してアップデートしたメンタルモデル
jnishime_dresscode
0
210
Making sense of Google’s agentic dev tools
glaforge
1
140
SRE本の知られざる名シーン / The Hidden Gems of Google SRE Book
nari_ex
1
330
ZOZOTOWNの進化と信頼性を両立する負荷試験
zozotech
PRO
2
160
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
3.6k
デジタル・デザイン:次の50年を描く「進化する青写真」
y150saya
0
850
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
370
Empower GenAI with Agile - あなたのアジャイルが生成AIのバフになる仕組み
hageyahhoo
1
160
“全部コピーしない”ファイルデータの活用 : — FSx for ONTAP × S3 Tables × Icebergで作るメタデータカタログ
yoshiki0705
0
680
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
1
4.3k
Featured
See All Featured
For a Future-Friendly Web
brad_frost
183
10k
Google's AI Overviews - The New Search
badams
0
1.1k
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
2
600
The agentic SEO stack - context over prompts
schlessera
0
840
GraphQLとの向き合い方2022年版
quramy
50
15k
First, design no harm
axbom
PRO
2
1.2k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.6k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
290
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
123
22k
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
220
Transcript
Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 AWS複数アカウントの管理再入門 Reintroduction to
AWS Multiple Account Management
Copyright © Tetsuya Shibao #jawsugkmmt 自己紹介 大分(22年) → 東京(11年) →
福岡(2年)→ 佐賀(現 在) 柴尾 哲也(しばお てつや) Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc…
Copyright © Tetsuya Shibao #jawsugkmmt ・ AWSを複数アカウントは必要なのか ・ AWSの複数アカウントの管理 ・
実際に管理してみる ・ まとめ お話すること
Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか?
Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか? 単一 単一
派 派 複数 複数 派 派 ・複数アカウントを管理する手間やコストを抑えたい ・複数アカウントを管理する手間やコストを抑えたい ・ ・ 社員数が少なく、 社員数が少なく、ITインフラ部門も兼任で行なっているスタートアップ インフラ部門も兼任で行なっているスタートアップ ・小規模の ・小規模のWebサービスを サービスを1本だけ 本だけ ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)
Copyright © Tetsuya Shibao #jawsugkmmt AWSを複数アカウントは必要なのか (ここはあくまでも個人の意見です) ・ 企業はControl Tower導入が最優先だと考えます
・利用できるリージョン制限を施す ・請求書から逆算してリージョンにあるサービスを調査したことはありますか? ・ログアーカイブアカウントと監査アカウントが予めセットアップされる(Control Tower必須) ・CloudTrailにも操作履歴が残らない操作をされたことがありますか? ・AWS Config, Security Hubを導入することで管理対象のアカウントの統制を施す ・ 検証目的であろうとも最低限AWSアカウントは複数に分ける必要があると考えます ・ あなたは初めてAWSにサインインして、「最終ログイン ◯◯◯(365 x n) 日以上」のIAMアカウントを見たことはありますか? ・今見ているAWSアカウントの中で作業が継続しているのかどうかも分からない ・ 「このIAM Userは使っていますか?」と聞いて、「うーん、どこかで使っている気がする」と聞いたことはありますか? ・ 勉強で作ったAWSアカウントであっても可能な限り複数に分けて運用が望ましいと考えます ・クレジット(語弊がないように付け加えるとクーポン)は、支払いの管理アカウントにさえ登録すれば配下のアカウントに適用される ・勉強の過程で作成されたIAM Roleが気づかないうちに出来上がるケースがあり、管理が煩雑になる
Copyright © Tetsuya Shibao #jawsugkmmt ここからは個人で始めてみる ここからは個人で始めてみる AWS Organizations設定を交えての話となります 設定を交えての話となります
Copyright © Tetsuya Shibao #jawsugkmmt AWSの複数アカウントの管理 ・ AWS Organizations x
AWS IAM Identity Center(旧Single-Sign On)で統制を施す ・ SCPs(Service Control Policy)を使って主に制限を施す ・2024年11月にRCPs(Resource Control Policy)、12月のre:InventでDeclarative Policy:宣言的なポリシーが発表 管理アカウント ou1 ou2 メンバアカウント 1−1 メンバアカウント 2−1 メンバアカウント 1−2 users/groups
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・ IdP(ID管理基盤)は、トラストログインに限りません ・企業であればAzure Entra
ID(旧Azure AD)やGoogle Workspaceを利用している場合はそちらをIdPとすることを推奨です ・トラストログインでAWS IAM Identity Centerと連携する手順は公開されています https://support.trustlogin.com/hc/ja/articles/4407845138713 ・AWS Organizationsは、グローバルサービスです ・AWS IAM Identity Centerは、どこかの一つのRegionにインスタンス(無償)を起動する必要があるため指定が必要です ・特に問題がなければ、東京(ap-northeast-1)リージョンで大丈夫です
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・SCIM(System for Cross-domain Identity
Management)対応していないIdPの場合は初回のみユーザ情報を作成する必要がある ・Username = Email Address で作成すること(トラストログインの場合、IdPによるが大抵はEmail Addressがキーになるはず)
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・2024年11月に発表された Centrally manage root
access for member accounts ・2025年01月時点で確認できるのは、S3 バケット、SQSキュー、パスワードリセットの許可 パスワードリセットの許可 に限られる https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-enable-root-access.html
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・AWS マネジメントコンソールも複数セッションに対応するになった(2025年1月) https://docs.aws.amazon.com/ja_jp/awsconsolehelpdocs/latest/gsg/multisession.html
Copyright © Tetsuya Shibao #jawsugkmmt まとめ ・AWSは複数アカウントで運用することを見越した構成が推奨です ・企業のセキュリティポリシーでも、本番環境と検証環境は分離を求められるケースもあるかと思います ・AWS Organizationsを使うのであれば、AWS
IAM Identity Center + 外部IdPを組み合わせて使うとアカウントの管理が煩雑にならないです ・Azure Entra IDは、オンデマンド or 40分ごとにSCIMで組み合わせて使えるのでとても楽です ・Google Workspaceは、変更検知して順次動くので若干管理の自由は効かないです ・トラストログインは、個人で利用する分にはいい体験になるかと思います ・Azure Entra IDやGoogle Workspaceと比べて設定項目がシステムで隠されているので知識がなくても設定可能です ・メンバアカウントのルートアカウントアクセスを制限できるようになったので、SCPs、RCPs、DPの組み合わせで幅が広がります ・SCPsやRCPs、Decrative Policyについては、次回の福岡(2/8)で話すつもりです
Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 Thanks for your
time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480