Reintroduction to AWS Multiple Account Management

Transcript

1. Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 AWS複数アカウントの管理再入門 Reintroduction to

   AWS Multiple Account Management

2. Copyright © Tetsuya Shibao #jawsugkmmt 自己紹介 大分（22年） → 東京（11年） →

   福岡（2年）→ 佐賀（現 在）　 柴尾　哲也（しばお　てつや） Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営（最近は... SAGA IT Community Day企画中 Coder Dojoさが（メンター） HAGAKURE PROGRAMMING塾 etc…

3. Copyright © Tetsuya Shibao #jawsugkmmt ・ AWSを複数アカウントは必要なのか ・ AWSの複数アカウントの管理 ・

   実際に管理してみる ・ まとめ お話すること

4. Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか？ アカウントを複数管理していますか？

5. Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか？ アカウントを複数管理していますか？ 単一 単一

   派 派 複数 複数 派 派 ・複数アカウントを管理する手間やコストを抑えたい ・複数アカウントを管理する手間やコストを抑えたい 　・ 　・ 社員数が少なく、 社員数が少なく、ITインフラ部門も兼任で行なっているスタートアップ インフラ部門も兼任で行なっているスタートアップ 　　・小規模の 　　・小規模のWebサービスを サービスを1本だけ 本だけ ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している 　・複数アカウントを運用するほどもない（リソース作っては消しての繰り返し） 　・複数アカウントを運用するほどもない（リソース作っては消しての繰り返し） ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している 　・複数アカウントを運用するほどもない（リソース作っては消しての繰り返し） 　・複数アカウントを運用するほどもない（リソース作っては消しての繰り返し）

6. Copyright © Tetsuya Shibao #jawsugkmmt AWSを複数アカウントは必要なのか （ここはあくまでも個人の意見です） ・ 企業はControl Tower導入が最優先だと考えます

   　・利用できるリージョン制限を施す 　　・請求書から逆算してリージョンにあるサービスを調査したことはありますか？ 　・ログアーカイブアカウントと監査アカウントが予めセットアップされる（Control Tower必須） 　　・CloudTrailにも操作履歴が残らない操作をされたことがありますか？ 　・AWS Config, Security Hubを導入することで管理対象のアカウントの統制を施す ・ 検証目的であろうとも最低限AWSアカウントは複数に分ける必要があると考えます 　・ あなたは初めてAWSにサインインして、「最終ログイン ◯◯◯（365 x n） 日以上」のIAMアカウントを見たことはありますか？ 　　・今見ているAWSアカウントの中で作業が継続しているのかどうかも分からない 　・ 「このIAM Userは使っていますか？」と聞いて、「うーん、どこかで使っている気がする」と聞いたことはありますか？ ・ 勉強で作ったAWSアカウントであっても可能な限り複数に分けて運用が望ましいと考えます 　・クレジット（語弊がないように付け加えるとクーポン）は、支払いの管理アカウントにさえ登録すれば配下のアカウントに適用される 　・勉強の過程で作成されたIAM Roleが気づかないうちに出来上がるケースがあり、管理が煩雑になる

7. Copyright © Tetsuya Shibao #jawsugkmmt ここからは個人で始めてみる ここからは個人で始めてみる AWS Organizations設定を交えての話となります 設定を交えての話となります

8. Copyright © Tetsuya Shibao #jawsugkmmt AWSの複数アカウントの管理 ・ AWS Organizations x

   AWS IAM Identity Center（旧Single-Sign On）で統制を施す​ ・ SCPs（Service Control Policy）を使って主に制限を施す 　・2024年11月にRCPs（Resource Control Policy）、12月のre:InventでDeclarative Policy：宣言的なポリシーが発表 管理アカウント ou1 ou2 メンバアカウント １−１ メンバアカウント ２−１ メンバアカウント １−２ users/groups

9. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・ IdP（ID管理基盤）は、トラストログインに限りません 　・企業であればAzure Entra

   ID（旧Azure AD）やGoogle Workspaceを利用している場合はそちらをIdPとすることを推奨です 　・トラストログインでAWS IAM Identity Centerと連携する手順は公開されています 　　https://support.trustlogin.com/hc/ja/articles/4407845138713 ・AWS Organizationsは、グローバルサービスです ・AWS IAM Identity Centerは、どこかの一つのRegionにインスタンス（無償）を起動する必要があるため指定が必要です 　・特に問題がなければ、東京（ap-northeast-1）リージョンで大丈夫です

10. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・SCIM（System for Cross-domain Identity

    Management）対応していないIdPの場合は初回のみユーザ情報を作成する必要がある ・Username = Email Address で作成すること（トラストログインの場合、IdPによるが大抵はEmail Addressがキーになるはず）

11. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・2024年11月に発表された Centrally manage root

    access for member accounts ・2025年01月時点で確認できるのは、S3 バケット、SQSキュー、パスワードリセットの許可 パスワードリセットの許可 に限られる https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-enable-root-access.html

12. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・AWS マネジメントコンソールも複数セッションに対応するになった（2025年1月） https://docs.aws.amazon.com/ja_jp/awsconsolehelpdocs/latest/gsg/multisession.html

13. Copyright © Tetsuya Shibao #jawsugkmmt まとめ ・AWSは複数アカウントで運用することを見越した構成が推奨です 　・企業のセキュリティポリシーでも、本番環境と検証環境は分離を求められるケースもあるかと思います ・AWS Organizationsを使うのであれば、AWS

    IAM Identity Center + 外部IdPを組み合わせて使うとアカウントの管理が煩雑にならないです 　・Azure Entra IDは、オンデマンド or 40分ごとにSCIMで組み合わせて使えるのでとても楽です 　・Google Workspaceは、変更検知して順次動くので若干管理の自由は効かないです 　・トラストログインは、個人で利用する分にはいい体験になるかと思います 　　・Azure Entra IDやGoogle Workspaceと比べて設定項目がシステムで隠されているので知識がなくても設定可能です ・メンバアカウントのルートアカウントアクセスを制限できるようになったので、SCPs、RCPs、DPの組み合わせで幅が広がります ・SCPsやRCPs、Decrative Policyについては、次回の福岡（2/8）で話すつもりです

14. Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 Thanks for your

    time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480