20分で分かる！Control Towerが実現できる効率的なマルチアカウント管理

Transcript

1. 2024/11/21 AWS事業本部コンサルティング部 松波花奈 20分で分かる！Control Towerが実現で きる効率的なマルチアカウント管理

2. ⾃⼰紹介 2 • 2018年4⽉ メーカー系Sler⼊社 システムエンジニア ◦ 基幹システムのアプリケーション開発 • 2022年9⽉ クラスメソッド⼊社 ◦ AWS設計‧構築⽀援

   ◦ プリセールス ◦ セキュリティ‧コスト最適化アセスメント • 実績 ◦ Japan AWS Top Engineers 2023 Security • 部署 ◦ AWS事業本部コンサルティング部 • ロール ◦ ソリューションアーキテクト • 名前（ニックネーム） ◦ 松波 花奈（おつまみ） • 所属オフィス ◦ ⽇⽐⾕ • 最近気になっていること ◦ AWS re:Invent前のアップデート情報

3. 3 • 対象者 ◦ マルチアカウント管理に興味のある⽅ ◦ マルチアカウント管理に課題を感じている⽅ ◦ AWS Control

   Towerというワードに惹かれた⽅ • レベル ◦ 100 ~ 200 ※レベルの説明 • Level 100 : AWS サービスの概要を解説するレベル • Level 200 : トピックの⼊⾨知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル • Level 300 : 対象のトピックの詳細を解説するレベル • Level 400 : 複数のサービス、アーキテクチャによる実装でテクノロジーがどのように機能するかを解説するレベル セッションの対象者とレベル

4. 4 • AWS Control Towerで実現できることを知っていただくこと • マルチアカウント管理ってなんか難しそう‧‧という概念をなくして いただくこと セッションのゴール

5. 5 1. マルチアカウント管理が必要な理由 2. AWS Control Towerとは 3. AWS Control

   Towerで実現できること 4. まとめ お話しすること

6. 6 1. AWS Control Towerの設定‧有効化⼿順 2. AWS Control Tower有効化後のマルチアカウント運⽤ お話ししないこと

7. 2つ質問します！ 当てはまる⽅はZoomで挙⼿をお願いします！ 7 セッションに⼊る前に‧‧

8. ①現在マルチアカウント管理をしている⽅🖐 8

9. ②現在Control Towerを使っている⽅🖐 9

10. 1. マルチアカウント管理が必要な理由

11. 11 そもそもマルチアカウント管理とは？ • マルチアカウント管理はAWSにおける統制⽅法の1つ • 『特定の単位や基準でAWSアカウントを分けて運⽤する』こと

12. AWSアカウントの特性を上⼿く活⽤して、 アジリティとガバナンスの両⽴を維持させる 12 なぜマルチアカウント管理が必要なのか？ 迅速な開発能⼒ 統制された管理

13. シングルアカウント運⽤で このようなお悩みありませんか？ 13

14. • 意図せず本番環境のリソースを削除‧停⽌してしまう 14 IAM権限管理が難しい

15. • アカウント内でコスト分類するには 「タグ(コスト配分タグ)」 が必要 • タグの設定を忘れると、想定通りに記録されない 15 請求分割が難しい

16. 16 • サービスクォータ※により、「新規リソースが作成できない」「API実⾏ に失敗する」などの影響を受ける可能性がある サービス制限が回避できない ※サービスクォータ‧‧AWSのサービス毎に定められた制限

17. 17 • セキュリティ ◦ IAM権限管理が難しい • コスト最適化 ◦ 請求分割が難しい •

    開発スピードの抑制 ◦ サービスクォータの上限 シングルアカウント運⽤のお悩み

18. 18 • セキュリティ ◦ 完全なIAM権限分離を簡単に実現 • コスト最適化 ◦ どの環境がどれだけ使ったかを簡単 に、厳密なコスト把握が可能

    • 開発スピードの促進 ◦ 他アカウントのリソース影響を受けず に、開発を進められる マルチアカウント運⽤だと明確な境界が⽣まれる

19. 19 【まとめ】1. マルチアカウント管理が必要な理由 • マルチアカウント管理とは『特定の単位や基準でAWSアカウントを分けて 運⽤する』こと • AWSアカウントの特性から、マルチアカウント管理をやる必要が出てくる • 以下をマルチアカウント管理で達成できる

    ◦ セキュリティ：完全なIAM権限分離を簡単に実現 ◦ コスト最適化 ：どの環境がどれだけ使ったかを簡単に、厳密なコスト把握が可能 ◦ 開発スピードの促進：他アカウントのリソース影響を受けずに、開発を進められる

20. マルチアカウント運⽤ならではの お悩みも⽣まれる 20 とはいえ、、

21. 21 マルチアカウント運⽤のお悩み • アカウント管理とアクセス制御 ◦ 複数アカウントへのログインと権限管理が煩雑になる ◦ アカウント作成と設定に⼿間がかかる • セキュリティ、コンプライアンス、ガバナンス

    ◦ 全アカウントで統⼀したセキュリティ対策を維持するのが難しい ◦ 複数アカウントのコンプライアンス状況を把握し監査するのが⼤変 • コスト管理 ◦ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる

22. 22 マルチアカウント運⽤のお悩み • アカウント管理とアクセス制御 ◦ 複数アカウントへのログインと権限管理が煩雑になる ◦ アカウント作成と設定に⼿間がかかる • セキュリティ、コンプライアンス、ガバナンス

    ◦ 全アカウントで統⼀したセキュリティ対策を維持するのが難しい ◦ 複数アカウントのコンプライアンス状況を把握し監査するのが⼤変 • コスト管理 ◦ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる これらのお悩みを解決するのが

23. AWS Control Tower マルチアカウント環境のセットアッ プと統制を⾃動化するサービス 23 AWS Organizations 複数のAWSアカウントを⼀元管理 AWS

    OrganizationsとAWS Control Tower

24. AWS Control Tower マルチアカウント環境のセットアッ プと統制を⾃動化するサービス 24 AWS Organizations 複数のAWSアカウントを⼀元管理 本セッション対象

    AWS OrganizationsとAWS Control Tower

25. 2. AWS Control Towerとは

26. 26 AWS Control Towerとは AWS Control Tower • マルチアカウント環境のセットアッ プと統制を⾃動化するサービス

    ◦ AWSのベストプラクティスに基づいて構 成したアカウントをセキュアかつスケー ラブルに展開できる • 数クリックで利⽤開始 • 1~2時間程度で構築完了

27. 27 AWS Control Towerの仕組み 出典: AWS Control Towerを基本から理解する。具体的な活⽤法を交えて解説 | クラスメソッド

    • AWS Organizations ◦ Security OU ▪ Log Archive アカウント (+ ログ集約⽤S3バケット) ▪ Audit アカウント (+ Configアグリゲーター) ◦ Sandbox OU • CloudTrail ◦ 組織のアカウント全体を対象に有効化 • Account Factory(Service Catalog) • IAM Identity Center • SCPによる予防的ガードレール • AWS Config Rulesによる発⾒的ガード など

28. 28 AWS Control Towerのメリット • AWSセキュリティサービス群に対し、 ベストプラクティスに則った設定を適⽤ • 複数のAWSアカウントを統制するよう な基盤

    (= ランディングゾーン )を簡単に 構成してくれる → Control Tower が作成した統制基盤を ベースに、負担少なくマルチアカウント管 理をスタート可能に！ 出典: AWS Control Towerを基本から理解する。具体的な活⽤法を交えて解説 | クラスメソッド

29. 29 （補⾜）ランディングゾーンとは？ • 着陸帯（LZ）とは、軍事用語で航空機が着陸できる区域のこと

30. 30 （補⾜）AWSにおけるランディングゾーンとは？ • 安全にアカウントを追加・開始できる環境を構築するための設計、仕組み （つまり複数の AWSアカウントを統制するような基盤） ◦ 新規アカウント払い出しと同時にセキュアな状態で安全に アカウントの利用が開始できる状態にできる •

    ⾶⾏機 = アカウント • 着陸  = アカウントを追加‧開始すること • 着陸帯 = ランディングゾーン

31. 31 【まとめ】2. AWS Control Towerとは • マルチアカウント環境のセットアップと統制を⾃動化するサービス • 様々なAWSセキュリティサービス群に対し、ベストプラクティスに則っ た設定を適⽤

    • セキュアなAWS環境を作り始めるためのスタートラインに最速でたどり 着ける

32. 3. AWS Control Towerで実現できること

33. 33 AWS Control Towerで実現できること 1. ログ集約 2. コントロール適⽤ 3. ID

    ⼀元管理 4. AWS アカウント作成

34. 34 AWS Control Towerで実現できること ①ログ集約 ②コントロール適⽤ ③ID ⼀元管理 ④AWS アカウント作成

35. ①ログ集約 AWS操作ログの⾃動収集

36. 36 AWS Control Towerで実現できること ①ログ集約

37. 37 • AWS操作ログとは、「誰が、いつ、何をしたのか」を記録するログ • AWS CloudTrail‧AWS Configが該当するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本となる AWS操作ログの管理が重要

    AWS CloudTrail 出典: AWS CloudTrail - [AWS Black Belt Online Seminar] AWS Config

38. 38 アカウントごとに個別に設定しないといけない AWS Control Tower なし

39. 39 Control Towerで⼀括設定 AWS Control Tower あり • ログの⼀元管理と調査の集約が可能

40. ②コントロール適⽤ リスクのある操作の予防‧発⾒

41. 41 AWS Control Towerで実現できること ②コントロール適⽤

42. 42 ガードレールとは • 利⽤者がセキュリティ上問題のある操作をしないよう検知‧防⽌する仕組み • AWS Control Towerのコントロールと同義

43. 43 操作前に事前承認が必要 AWS Control Tower なし • 利⽤者の⼿が⽌まってしまい、迅速な開発ができない

44. 44 リスクのある操作を事前に禁⽌‧通知 AWS Control Tower あり • セキュリティリスクのある操作を禁⽌、またリスクへの早期対処を実現

45. 45 コントロール動作の種類 • 予防 ◦ 利⽤者にさせてはいけない操作を禁⽌ ◦ AWS OrganizationsのSCPで実装 •

    検出 ◦ ポリシー違反やリソースの⾮準拠を検出 ◦ AWS Configルールで実装、Security Hubと連携 • プロアクティブ ◦ プロビジョニング前にリソースをスキャンし、リソースがそのコントロール に準拠していることを確認 ◦ CloudFormation Hooksで実装 SCP AWS Config Security Hub CloudFormation

46. 46 コントロールガイダンスの種類 • 必須 ◦ ControlTowerを正常稼働させるために必要な禁⽌事項をSCPで定義したもの ◦ デフォルトで有効化されており、無効にはできない • 強く推奨

    ◦ マルチアカウントのベストプラクティスに基づく制限 ◦ SCPの例:rootユーザでアクセスキーを作らない ◦ ConfigRulesの例:EBSボリュームが暗号化されていること • 選択的 ◦ AWS エンタープライズ環境で⼀般的に利⽤されている制限事項 ◦ SCPの例:MFAなしのS3バケット削除禁⽌ ◦ ConfigRulesの例:MFAなしのIAMユーザアクセス禁⽌ オプションのため、 必要に応じて、有効化

47. Q. 2024年11⽉現在、AWS Control Towerで有効 化できるコントロールの数は〇〇個 47 AWS Control Towerクイズ！

48. Q. 2024年11⽉現在、AWS Control Towerで有効化 できるコントロールの数は〇〇個 選択肢：A) 約300個 B) 約400個 C)

    約500個 D) 約600個 48 AWS Control Towerクイズ！

49. Q. 2024年11⽉現在、AWS Control Towerで有効化 できるコントロールの数は、およそいくつでしょうか？ 正解：C) 約500個 49 AWS Control

    Towerクイズ！ 必須 23個 強く推奨 14個 選択的 485個

50. ③ID ⼀元管理 複数AWSアカウントへのログインの切り替え

51. 51 AWS Control Towerで実現できること ③ID ⼀元管理

52. 52 アカウント数だけログイン処理が必要 AWS Control Tower なし

53. 53 ログイン導線‧ユーザ管理の⼀本化 AWS Control Tower あり

54. ④AWS アカウント作成 新規AWSアカウントの⾃動セットアップ

55. 55 AWS Control Towerで実現できること ④AWS アカウント作成

56. 56 新規アカウントの⼿配‧環境セットアップが必要 AWS Control Tower なし • AWSアカウント作成のため、連絡先 ‧⽀払い情報の設定など各種⼊⼒が 必要

    • 利⽤者向けのログイン設定、操作ロ グ設定、ガードレール設定など‧‧

57. 57 セットアップ済みの新規AWSアカウント発⾏が可能 AWS Control Tower あり • 各種機能がはじめから設定済 ◦ AWS

    Organizations ▪ ガードレール ◦ AWS Config ◦ AWS CloudTrail ▪ ログ集約 ◦ AWS IAM Identity Center ▪ シングルサイオン など

58. 58 【まとめ】3. AWS Control Towerで実現できること • AWS Control Towerを使うことで以下機能を簡単に実装できる •

    ログ集約 ◦ AWS操作ログの⾃動収集 • コントロール適⽤ ◦ リスクのある操作の予防‧発⾒ • ID ⼀元管理 ◦ 複数AWSアカウントへのログインの切り替え • AWS アカウント作成 ◦ 新規AWSアカウントの⾃動セットアップ

59. 4. まとめ

60. 60 AWS Control Towerとは AWS Control Tower • マルチアカウント環境のセットアッ プと統制を⾃動化するサービス

    ◦ AWSのベストプラクティスに基づいて構 成したアカウントをセキュアかつスケー ラブルに展開できる • 数クリックで利⽤開始 • 1~2時間程度で構築完了 再掲

61. 61 AWS Control Towerで実現できること ①ログ集約 ②コントロール適⽤ ③ID ⼀元管理 ④AWS アカウント作成

    再掲

62. 62 • AWS Control Towerで実現できることを知っていただくこと • マルチアカウント管理ってなんか難しそう‧‧という概念をなくして いただくこと セッションのゴール 再掲

63. 63 AWS Control Towerの学習コンテンツ https://dev.classmethod.jp/articles/aws-control-tower-learning-resources/

64. 64 AWS Control Towerの実践編 https://dev.classmethod.jp/articles/2024-secure-multiaccount-built-by-control-tower/ https://guidebook.classmethod.net/ ※ メンバーズIDでのログインが必要

65. None