Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

AWSのマルチアカウント管理で意外と知られていないOU設計の話

 AWSのマルチアカウント管理で意外と知られていないOU設計の話

JAWS DAYS 2024 の『恒例!ソリューションアーキテクト怒涛のLT』で話した
AWS Organizations の OU 設計の話についてのスライドです。
(ただし前半は AWS Control Tower )

OU設計のベストプラクティスやアンチパターンを紹介

(後日TODO:動画リンク)

Ichino Shiraishi

March 02, 2024
Tweet

More Decks by Ichino Shiraishi

Other Decks in Technology

Transcript

  1. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. AWSのマルチアカウント管理で 意外と知られていないOU設計の話 アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト ⽩⽯ ⼀乃 JAWS DAYS 2024 – Track B 『恒例︕ソリューションアーキテクト怒涛のLT』
  2. © 2024, Amazon Web Services, Inc. or its affiliates. 2

    ⾃⼰紹介 Good intentions don’t work, mechanisms do ! 運⽤・開発が楽になるサービス 好きな⾔葉︓ Twitter︓@piko_san_0000 イベント情報など呟いています ⽩⽯ ⼀乃 (しらいし いちの) ソリューションアーキテクト 好きなAWSのサービス︓ AWS Control Tower https://www.youtube.com/watch?v=doF6NTgnBCE 『AWS Control Tower で始める はじめての AWSアカウント管理』 「Control Tower 動画」でGoogle検索︕
  3. © 2024, Amazon Web Services, Inc. or its affiliates. 4

    AWS Control Towerという サービスを知っていますか︖
  4. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS使い始めるには…
  5. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS使い始めるには… AWSアカウント
  6. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWSアカウント1つに⾊々な環境を詰め込む 開発環境 VPC 本番環境 VPC 開発者 セキュリティ担当者 運⽤担当者
  7. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 開発環境 VPC 本番環境 VPC 複数のAWSアカウントをもつことができる 開発者 セキュリティ担当者 運⽤担当者
  8. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWSアカウントをどう展開するか OR
  9. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWSアカウントをどう展開するか OR 現在のAWSのベストプラクティスでは マルチアカウント構成 を推奨
  10. © 2024, Amazon Web Services, Inc. or its affiliates. 課⾦の分離

    セキュリティ境界 リソースの分離 環境の完全な分離 1つのAWSアカウントから別の AWSアカウントの中⾝を⾒ること、 アクセスすることは、 明⽰的に設定しない限りできない サービスクォータ(上限)の分離 AWSアカウントごとに利⽤可能な サービスの上限(クォータ)がある 請求書の分離 コスト按分の明確化 AWSの請求書(Billing)は、 AWSアカウント単位で提供される 侵害からの分離 明⽰的に設定しない限り、 AWSアカウント内のリソースの 共有はできない AWSアカウントの分離によって実現すること
  11. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. マルチアカウント構成に対するよくある疑問 管理が煩雑にならないだろうか︖ はじめから マルチアカウント構成は 難しいのでは︖ アカウントごとに 設定でばらつきが出ないか
  12. © 2024, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Control Tower AWS Control Tower マルチアカウント管理を 楽にしてくれる
  13. © 2024, Amazon Web Services, Inc. or its affiliates. 14

    「AWS Control Towerについて知りたいかも」 https://www.youtube.com/watch?v=doF6NTgnBCE 『AWS Control Tower で始める はじめての AWSアカウント管理』 「Control Tower 動画」で検索︕ <Blackbeltも公開中︕> ・AWS Control Tower 基礎編 (2023/8 New) ・AWS Control Tower 機能紹介編(2023/9 New) ・AWS Control Tower ⼿順編 AWS Control Tower の有効化(2023/8 New)
  14. © 2024, Amazon Web Services, Inc. or its affiliates. 15

    ここからが今⽇の本題です
  15. © 2024, Amazon Web Services, Inc. or its affiliates. 16

    AWSのマルチアカウント管理で 意外と知られていない OU設計の話
  16. © 2024, Amazon Web Services, Inc. or its affiliates. 17

    AWSのマルチアカウント管理で 意外と知られていない OU設計の話
  17. © 2024, Amazon Web Services, Inc. or its affiliates. 複数のAWSアカウントは「組織」としてまとめて管理が可能

    管理アカウント 組織(Organization) メンバーアカウント 請求の⼀元管理
  18. © 2024, Amazon Web Services, Inc. or its affiliates. 複数のAWSアカウントは「組織」としてまとめて管理が可能

    管理アカウント 組織(Organization) メンバーアカウント 請求の⼀元管理 もう少し理解度を上げてみる
  19. © 2024, Amazon Web Services, Inc. or its affiliates. ルートOU

    OU OU OU 個別のAWSアカウント (管理アカウント) 個別のAWSアカウント 個別のAWSアカウント ・・・ 個別のAWSアカウント 個別のAWSアカウント 組織(Organization)はアカウントのまとまりを 階層構造で持てる
  20. © 2024, Amazon Web Services, Inc. or its affiliates. 組織単位(OU)を作成・AWSアカウントの紐づけ

    STEP 3 AWSアカウント(管理アカウント) ルートOU 本番環境 OU テスト環境 OU 共通 OU
  21. © 2024, Amazon Web Services, Inc. or its affiliates. ポリシーの作成とアタッチ

    STEP 4 AWSアカウント(管理アカウント) ルートOU 本番環境 OU テスト環境 OU 共通 OU
  22. © 2024, Amazon Web Services, Inc. or its affiliates. ポリシーの作成とアタッチ

    STEP 4 AWSアカウント(管理アカウント) ルートOU 本番環境 OU テスト環境 OU 共通 OU サービスコントロールポリシー(SCP) =AWS(API)への アクセス制御(許可・拒否)
  23. © 2024, Amazon Web Services, Inc. or its affiliates. ポイント①

    SCP(サービスコントロールポリシー)は強⼒ ルートユーザの操作を制限できる IAMポリシーより強い 強⼒ゆえに、細かな設定はしない。シンプルに保つー>OUの単位で設定
  24. © 2024, Amazon Web Services, Inc. or its affiliates. ポイント②

    AWS Control Tower のコントロール (予防・発⾒)の基本単位は OU AWS Control Tower 本番環境 OU テスト環境 OU 共通 OU リスクのある操作の禁⽌ リスクのある操作の監視(通知)
  25. © 2024, Amazon Web Services, Inc. or its affiliates. ポイント②

    AWS Control Tower のコントロール (予防・発⾒)の基本単位は OU AWS Control Tower 本番環境 OU テスト環境 OU 共通 OU リスクのある操作の禁⽌ リスクのある操作の監視(通知) OUの設計が⼤事
  26. © 2024, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 30 Organizations組織単位 (OU) アンチパターン 第⼀階層 組織単位 (環境種別) アカウント ・・・ ・・・ ・・・ ・・・ 第三階層 組織単位 (組織別) ・・・ ・・・ ・・・ 異なる概念が同⼀OUに混在 (管理が煩雑化しやすい) システム重要度区分などは ⾒直されることがある 階層をあまり深くすると、 管理が煩雑になりやすいため注意 (最⼤ネスト数5まで) 組織名称などは ⾒直されることがある OUに含まれるアカウントの数の 多寡⾃体は問題ではないが、 共通性があるか、分類すべきかは要確認 AWSサービスで分割しても基本 SCPでは細かい制御ができず効果なし 第⼆階層 組織単位 (ビジネス別) 例1: 例2:
  27. © 2024, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 31 マルチアカウント デザインパターン © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 26 26 / - /. /- / . . / . /.- . / . /. - © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 27 27 / - /. /- / . . / . /.- . / . /. - AWSホワイトペーパー Organizing Your AWS Environment Using Multiple Accounts https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html https://aws.amazon.com/jp/blogs/news/best-practices-for- organizational-units-with-aws-organizations/ AWSブログ AWS Organizations における組織単位のベストプ ラクティス
  28. © 2024, Amazon Web Services, Inc. or its affiliates. 32

    32 推奨される OU 例 OU 説明 Infrastructure ネットワークや IT サービスなどの共有インフラストラクチャサービスに使⽤されます。必要なインフラストラクチャサービスの種類ごとにアカウ ントを作成します。 Security セキュリティサービスに使⽤されます。ログアーカイブ、セキュリティ読み取り専⽤アクセス、セキュリティツール、および Break Glass ⽤のア カウントを作成します。 Sandbox 個々のデベロッパーが AWS のサービスを試すために使⽤できる AWS アカウントを保持します。これらのアカウントを内部ネットワークか ら確実にデタッチできるようにし、使い過ぎないように⽀出を制限するプロセスを設定します。 Workloads 外部向けのアプリケーションサービスをホストする AWS アカウントが含まれます。本番ワークロードを分離して厳密に制御するには、 SDLC および Prod 環境 (基本的な OU と同様) で OU を構築する必要があります。 Policy Staging 提案されたポリシーの変更を組織に広く適⽤する前にテストできる AWS アカウントを保持します。⽬的の OU で、アカウントレベルで変 更を実装することから始めます。その後、他のアカウント、OU、および組織の残りの部分全体で徐々に変更を実装していきます。 Suspended 閉鎖され、組織から削除されるのを待機している AWS アカウントが含まれます。すべてのアクションを拒否する SCP をこの OU にアタッ チします。アカウントを復元する必要がある場合は、追跡可能性のために、確実に詳細がアカウントにタグ付けされているようにしてくださ い。 Individual Business Users ビジネス⽣産性関連のアプリケーションを作成する場合がある (デベロッパーではない) ビジネスユーザーの AWS アカウントを含む制限 付きアクセス OU。例えば、パートナーとレポートやファイルを共有するために S3 バケットを設定します。 Exceptions ワークロード OU で定義されているものとは異なり、⾼度にカスタマイズされたセキュリティまたは監査要件を満たす必要があるビジネス ユースケースに使⽤される AWS アカウントを保持します。例えば、秘密の新しいアプリケーションまたは機能専⽤に AWS アカウントを 設定します。カスタマイズされたニーズに対応するため、アカウントレベルで SCP を使⽤します。CloudWatch Events および AWS Config Rules を使⽤して、Detect and React システムを設定することを検討してください。 Deployments CI/CD デプロイメント⽤の AWS アカウントが含まれています。ワークロード OU (Prod および SDLC) のアカウントと⽐較して CI/CD デプロイのガバナンスおよび運⽤モデルが異なる場合は、この OU を作成できます。CI/CD のディストリビューションは、中⼼的なチーム が運営する共有 CI/CD 環境への組織の依存を減らすのに役⽴ちます。ワークロード OU 内にあるアプリケーション⽤の SDLC/Prod AWS アカウントの各セットについて、デプロイ OU の下に CI/CD のアカウントを作成します。
  29. © 2024, Amazon Web Services, Inc. or its affiliates. 組織(Organization)

    親組織単位 (ルートOU) Security OU Workloads OU Prod OU Test OU プロジェクトA ステージング環境 プロジェクトA 本番環境 プロジェクトB 本番環境 プロジェクトB ステージング環境 ログアーカイブ 監査(Audit) Sandbox OU 管理アカウント OU のパターン例
  30. © 2024, Amazon Web Services, Inc. or its affiliates. 組織(Organization)

    親組織単位 (ルートOU) Security OU Workloads OU Prod OU Test OU プロジェクトA ステージング環境 プロジェクトA 本番環境 プロジェクトB 本番環境 プロジェクトB ステージング環境 ログアーカイブ 監査(Audit) Sandbox OU 管理アカウント OU のパターン例 AWSのマルチアカウント管理= OUの設計が⼤事 + OUの設計を考えることでガバナンスの やり⽅が⾒えてくる
  31. © 2024, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 35 優れたガバナンスの実現は旅路 • いきなり⼤きくせず⼩さな成功体験 を積み重ねる • リスクが⾼い、効果が⾼い、⼿を付 けやすいなどに基づいてアプローチ • 利⽤者の声に基づくフィードバック ループを速く回すことで、よりよい 統制に早く近づく Do Check Act Plan 35
  32. © 2024, Amazon Web Services, Inc. or its affiliates. Thank

    you! © 2024, Amazon Web Services, Inc. or its affiliates.