Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSのクラウド統制サービスの紹介

nyankotaro
April 17, 2023

 AWSのクラウド統制サービスの紹介

nyankotaro

April 17, 2023
Tweet

More Decks by nyankotaro

Other Decks in Technology

Transcript

  1. 7 Organizations 〜OU〜 Classmethod Cloud Guidebookでサンプル例 OU設計の一例 Security OU :

    CloudTrail,ConJgのログ集約 Security Hub,GuardDutyのイベント集約 Infrastructure OU : 共通インフラの構築 Workload OU : 個別システムの構築 Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役 割や目的を持つアカウントを組織化するために使用されます。 OU設計はAWS Organizationsを利用する上でキモになる部分 組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します
  2. 27 AWS CloudTrail どのユーザーが、どんなイベントを、いつ実行しているのか確認できる ※デフォルトログではデータイベント/Insightsイベントは記録されません。 ・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda

    実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...) ・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成
  3. 46 Control Tower AWS Control Tower Control Tower は Organizations

    を前提として利用するサービス SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラク ティスに基づいたルールを設定し、Control Towerマネージドに各アカウン トの統制を制御する
  4. 47 Control Tower https://classmethod.jp/articles/aws-control-tower/ Control Towerのアーキテクチャと統制内容 セキュリティ統制 Control Towerが用意するコントロール(ガードレール) で予防的/発見的コントロールを適用を徹底できる

    ログの一元管理 CloudTrail/Configのログを自動有効、集約する 完全性/可用性/機密性の確保 SCPによるSecurity OUへの改ざんを保護 可用性の高いS3にログを保存 IAM Identiy Centerによるアクセスの集約管理
  5. 53