AWS Control Tower が怖かったけど触ってみたら少し怖くなくなった話

Transcript

1. 2024.05.16 AWS Control Tower が怖かったけど 触ってみたら少し怖くなくなった話 アイレット株式会社 平田 健士郎

2. 自己紹介 平田 健士郎 (ひらた けんじろう) 職業 : インフラエンジニア 所属企業 :

   担当サービス :

3. 今回の LT のイメージ AWS Control Tower について 「全く分からない 怖い 」

   から 「ちょっと調べてみてもいいかも 」 程度になる 0 → 0.1 になる程度の話です

4. 最近の私 調子に乗っていた 自分の案件が事例として会社の Web サイトに載ったぞ！ AWS Organizations 面白い！ 組織の統制って面白い！ https://cloudpack.jp/casestudy/291.html

   弊社 Web サイト より

5. 最近の私 CCoE による AWS Control Tower の活用

6. 最近の私 AWS Control Tower に憧れ調べ始める AWS 公式ページより これを有効化するだけでマルチアカウント 環境がいい感じになるんだろうな〜

7. 最近の私 ざっくりと説明 AWS Organizations AWS Control Tower AWS アカウントを複数使う時にいい感じに管理できるやつ なんか

   AWS Organizations をいい感じにできるらしい。。。？

8. 最近の私 独自用語が多くて困惑 AWS 公式ドキュメントより ランディングゾーン ってなに? AWS Control Tower の「コントロール」ってなに？

9. 最近の私 有効化すると自動で何かが作られる？ AWS 公式ドキュメントより え、AWS Control Tower を有効化したら 自動でいろいろ勝手に作られるの？ 何が作られるの？

   費用は？

10. 最近の私 怖い。。。 AWS Control Tower AWS Control Tower が怖くなる

11. 最近の私 AWS Control Tower が怖くなる 怖い。。。 AWS Control Tower AWS

    Cloud ランディングゾーン 作ってくから 色々なリソース作っていくから 手を加えられる

12. 最近の私 怖い。。。 AWS Control Tower AWS Cloud ランディングゾーン 作ってくから 色々なリソース作っていくから

    手を加えられる 怖いポイント① 用語の不明点 AWS Control Tower が怖くなる

13. 最近の私 怖い。。。 AWS Control Tower AWS Cloud ランディングゾーン 作ってくから 色々なリソース作っていくから

    手を加えられる 怖いポイント② コストの不明点 AWS Control Tower が怖くなる

14. 最近の私 AWS Control Tower ランディングゾーン 作ってくから 色々なリソース作っていくから 怖いポイントを調べて AWS Control

    Tower と 分かり合おう 怖いポイント① 用語の不明点 怖いポイント② コストの不明点

15. 15 怖いポイント① 用語の不明点 を調べる

16. ランディングゾーン とは ランディングゾーン って何？ 怖いポイント① 用語の不明点 を調べる AWS 公式ドキュメントより マネジメントコンソールの

    AWS Control Tower 初期画面

17. 17 https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html ランディングゾーンとは、スケーラブルでセキュアなAWSのマルチアカウント環境のことで 、これを起点として、セキュリティやインフラ環境に安心してワークロードやアプリケーシ ョンを迅速に立ち上げ、デプロイすることができます。 言葉の定義 This is a starting

    point from which your organization can quickly launch and deploy workloads and applications with confidence in your security and infrastructure environment. 怖いポイント① 用語の不明点 を調べる ランディングゾーン とは

18. 18 https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing- zones.html ランディングゾーンとは、スケーラブルでセキュアなAWSのマルチアカウント環境のことで 、これを起点として、セキュリティやインフラ環境に安心してワークロードやアプリケーシ ョンを迅速に立ち上げ、デプロイすることができます。 言葉の定義 This is a

    starting point from which your organization can quickly launch and deploy workloads and applications with confidence in your security and infrastructure environment. 怖いポイント① 用語の不明点 を調べる AWS Control Tower で作られる環境の総称 ランディングゾーン とは

19. 19 https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/understanding-landing- zones.html ランディングゾーンとは、スケーラブルでセキュアなAWSのマルチアカウント環境のことで 、これを起点として、セキュリティやインフラ環境に安心してワークロードやアプリケーシ ョンを迅速に立ち上げ、デプロイすることができます。 言葉の定義 This is a

    starting point from which your organization can quickly launch and deploy workloads and applications with confidence in your security and infrastructure environment. 怖いポイント① 用語の不明点 を調べる AWS Control Tower で作られる環境の総称 言葉の定義 AWS ぼくの考えた最強の AWS マルチアカウント環境 !! (思想強め) ランディングゾーン とは

20. 20 https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi- account.html 怖いポイント① 用語の不明点 を調べる 言葉の定義 AWS AWS Control

    Tower やるなら最低限この構成は必須 !! (思想強め) ランディングゾーン とは

21. 21 ※見やすいように一部和訳した図 怖いポイント① 用語の不明点 を調べる 言葉の定義 AWS AWS Control Tower

    やるなら最低限この構成は必須 !! (思想強め) ランディングゾーン とは

22. 22 怖いポイント① 用語の不明点 を調べる 言葉の定義 AWS こういう統制は必須でしょ！(思想強め) ランディングゾーン とは

23. 23 AWS Control Tower の「コントロール」ってなに？ 怖いポイント① 用語の不明点 を調べる 言葉の定義 AWS

    こういう統制は必須でしょ！(思想強め) ランディングゾーン とは

24. 24 AWS Control Tower の「コントロール」とは A W S ぼくの考えた最強の AWS

    マルチアカウント環境 !! 怖いポイント① 用語の不明点 を調べる

25. 25 AWS Control Tower の「コントロール」とは ログアーカイブアカウントの ロググループは 削除させたくないな〜 A W

    S CloudTrail が無効化されてたら検知 したいな〜 怖いポイント① 用語の不明点 を調べる

26. 26 AWS Control Tower の「コントロール」とは ログアーカイブアカウントの ロググループは 削除させたくないな〜 A W

    S CloudTrail が無効化されてたら検知 したいな〜 怖いポイント① 用語の不明点 を調べる 統制に対する思想

27. 27 AWS Control Tower の「コントロール」とは SCP Config ログアーカイブアカウントの ロググループは 削除させたくないな〜

    A W S CloudTrail が無効化されてたら検知 したいな〜 怖いポイント① 用語の不明点 を調べる 思想を実現する設定

28. 28 AWS Control Tower の「コントロール」とは SCP Config ログアーカイブアカウントの ロググループは 削除させたくないな〜

    A W S CloudTrail が無効化されてたら検知 したいな〜 やりたい統制によって サービスや設定がバラバラで 管理がめんどくさい！ 怖いポイント① 用語の不明点 を調べる

29. 29 SCP Config ログアーカイブアカウントの ロググループは 削除させたくないな〜 A W S CloudTrail

    が無効化されてたら検知 したいな〜 Control Tower 怖いポイント① 用語の不明点 を調べる 統制に対する思想 思想を実現する設定

30. 30 SCP Config ログアーカイブアカウントの ロググループは 削除させたくないな〜 A W S CloudTrail

    が無効化されてたら検知 したいな〜 「コントロール」A 「コントロール」B AWS Control Tower の「コントロール」とは AWS の統制に対する思想とそれを実現するための設定を一つの概念としてまとめたもの 「コントロール」B Control Tower 思想を実現する設定 統制に対する思想 怖いポイント① 用語の不明点 を調べる

31. 31 怖いポイント① 用語の不明点 を調べる AWS Control Tower の「コントロール」を実際に見てみる アカウントに対して有効になっている「コントロール」が確認できる

32. 32 怖いポイント① 用語の不明点 を調べる AWS Control Tower の「コントロール」を実際に見てみる 有効になっている「コントロール」を例に説明 クリックすると

33. 33 怖いポイント① 用語の不明点 を調べる AWS Control Tower の「コントロール」を実際に見てみる その「コントロール」の詳細が見れる

34. 34 怖いポイント① 用語の不明点 を調べる AWS Control Tower の「コントロール」を実際に見てみる Service control

    policy (SCP) で実装している

35. 35 怖いポイント① 用語の不明点 を調べる AWS Control Tower の「コントロール」を実際に見てみる 実際に設定される内容が見れる 今回は

    SCP なので、そのポリシーが 表示される

36. 36 怖いポイント① 用語の不明点 を調べる AWS Control Tower の「コントロール」を実際に見てみる 思想を実現する設定 統制に対する思想

37. https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/controls.html 怖いポイント① 用語の不明点 を調べる 用語名が昔は「ガードレール」という表現だったけど 今は「コントロール」というらしい AWS 公式ドキュメントより AWS Control

    Tower の「コントロール」とは

38. 38 怖いポイント② コストの不明点 を調べる

39. 39 怖いポイント② コストの不明点 を調べる Confi g Control Tower AWS Control

    Tower セットアップから課金されるもの (公式ドキュメントより) CloudTrai l Service Catalog CloudWatc h https://aws.amazon.com/jp/controltower/pricing/

40. 40 Confi g Control Tower AWS Control Tower を有効にすることによって費用が発生するサービス CloudTrai

    l Service Catalog CloudWatc h https://aws.amazon.com/jp/controltower/pricing/ 怖いポイント② コストの不明点 を調べる

41. 41 Confi g Control Tower 費用面で特に注意すべきなのが AWS Config (高額になったというケースをよく聞く) CloudTrai

    l Service Catalog CloudWatc h https://aws.amazon.com/jp/controltower/pricing/ 怖いポイント② コストの不明点 を調べる

42. 42 Control Tower 実際に AWS Control Tower を有効化して掛かった費用を紹介 (参考) 怖いポイント②

    コストの不明点 を調べる

43. 43 Control Tower ・AWS Organizations の組織は以下の構成 ・AWS アカウントは合計 4 アカウント

    (空の状態からスタート) ・AWS Control Tower を有効化 ・特定の コントロールの検証をした (S3 バケットのバージョニング有効化をチェックするコントロール) ・1 日間の料金 (2024/03/07) 【条件】 怖いポイント② コストの不明点 を調べる

44. 44 Control Tower ・AWS Organizations の組織は以下の構成 ・AWS アカウントは合計 4 アカウント

    (空の状態からスタート) ・AWS Control Tower を有効化 ・特定の コントロールの検証をした (S3 バケットのバージョニング有効化をチェックするコントロール) ・1 日間の料金 (2024/03/07) 【条件】 怖いポイント② コストの不明点 を調べる Config (USD) S3 (USD) 監査アカウント 0.005 0.0000001863 ログアーカイブアカウント 0.009 0.0004720659 メンバーアカウント 0.09 0.0000001863 管理アカウント 0.428 0.0006335292

45. 45 Control Tower ・AWS Organizations の組織は以下の構成 ・AWS アカウントは合計 4 アカウント

    (空の状態からスタート) ・AWS Control Tower を有効化 ・特定の コントロールの検証をした (S3 バケットのバージョニング有効化をチェックするコントロール) ・1 日間の料金 (2024/03/07) 【条件】 怖いポイント② コストの不明点 を調べる Config (USD) S3 (USD) 監査アカウント 0.005 0.0000001863 ログアーカイブアカウント 0.009 0.0004720659 メンバーアカウント 0.09 0.0000001863 管理アカウント 0.428 0.0006335292 Config (USD) S3 (USD) 各サービス合計 0.532 0.0011059677

46. 46 Control Tower Config (USD) S3 (USD) 監査アカウント 0.005 0.0000001863

    ログアーカイブアカウント 0.009 0.0004720659 メンバーアカウント 0.09 0.0000001863 管理アカウント 0.428 0.0006335292 Config (USD) S3 (USD) 各サービス合計 0.532 0.0011059677 ・AWS Organizations の組織は以下の構成 ・AWS アカウントは合計 4 アカウント (空の状態からスタート) ・AWS Control Tower を有効化 ・特定の コントロールの検証をした (S3 バケットのバージョニング有効化をチェックするコントロール) ・1 日間の料金 (2024/03/07) 【条件】 怖いポイント② コストの不明点 を調べる 合計 (USD) 0.533 合計 (円) 83

47. 47 特に伝えたい点 と 締め

48. 特に伝えたい点 48 AWS Control Tower の「コントロール」とは AWS の統制に対する思想とそれを実現するための設定を一つの概念としてまとめたもの 用語 費用

    AWS Config は注意が必要 空のアカウントで AWS Control Tower を有効化するだけなら、それだけで突然巨額の 請求が来るわけではないので、慎重に使っていけば検証も安全に行える (既存の環境でいきなり AWS Control Tower を有効化するのは危険)

49. 締め 49 怖い。。。 AWS Control Tower こんな感じに見えていた AWS Control Tower

    が。。。

50. 締め 50 AWS Control Tower 思想強めで気難しいところもあるけど優秀な同僚くらいには見えてきました！ これからもよろしく！

51. 締め 51 ご清聴ありがとうございました