Slide 1
Slide 1 text
AWS Organiza,onsと一緒に
はじめるアカウント分離
多田 貞剛
JAWS-UG朝会 #15
Slide 2
Slide 2 text
• 多⽥ 貞剛(@tada_infra)
• 2020年9⽉株式会社スナックミーに中途⼊社
• 筋トレ -> サウナ -> サ飯 のトライセットを決
めるのがマイブーム
• JAWS-UG 朝会 ⽬⿊版は2,3回か出席
自己紹介
Slide 3
Slide 3 text
会社紹介
Slide 4
Slide 4 text
会社紹介
『新しいおやつ体験を想像し、おやつ時間の価値をあげる』
栄養価が⾼く、それでいて美味しさに妥協しないスナックによっ
て、おやつそのもの質を上げる。
また、モノだけではなく、新しいおやつ体験をデザインし、おやつ
の時間の価値を向上させる。
それによって、おやつの時間が彩りとなり、豊かな⽣活を実現す
る。
Slide 5
Slide 5 text
会社紹介
• おやつ体験 BOX 『snaq.me』
• ⽉額 1,980円(税込、送料込)
• 4週 or 2週毎に100種類以上の商品からお客様にパーソナライ
ズした8種のおやつをお届け
Slide 6
Slide 6 text
会社紹介
おやつ診断、商品リクエスト、商品評価などのデータを取得してお
届けする、パーソナライズされたおやつが特⻑
Slide 7
Slide 7 text
会社紹介
Slide 8
Slide 8 text
アジェンダ
• AWS アカウント管理の課題
• 課題への対応
• 今後やっていきたいこと
Slide 9
Slide 9 text
AWSアカウント
管理の課題
Slide 10
Slide 10 text
AWSアカウント管理の課題
• ⼊社して1⽇⽬にAWSアカウントが発⾏された
• 社内に情報がほぼないので中に⼊ってみてみた
Slide 11
Slide 11 text
AWSアカウント管理の課題
• AWSアカウントは1アカウントしかないので開発が危険性⾼め
• 開発中に本番のリソースを触っちゃった事故も発⽣していた
Slide 12
Slide 12 text
AWSアカウント管理の課題
• AWS リソースは⼿で作ったり、コード化されているものもあっ
たり管理がバラバラ
Slide 13
Slide 13 text
AWSアカウント管理の課題
• ローカルだと動くけど本番デプロイで動作しない事象
• 本番稼働前のテストや動作確認がフローとして確⽴しきって
ない
• ex. 開発環境である Mac のコンテナ上で動いたけど ECS の
コンテナでは動作しない
Slide 14
Slide 14 text
AWSアカウント管理の課題
• 今の本番システム構成も変えていきづらい
• 疑似本番環境がないためアーキテクチャの変更によって既存
アーキテクチャへの影響だったり、変更計画が建てにくい
Slide 15
Slide 15 text
AWSアカウント管理の課題
• 開発者の AWS 検証環境がなく、CTO しか AWS を触ることが
ないような状況だったので開発メンバー全体の知識や経験に偏
りがある
• 全体のスキルアップ、AWSの習熟度をあげたい
Slide 16
Slide 16 text
AWSアカウント管理の課題
ɾɾɾɾɾɾɾɾ
Slide 17
Slide 17 text
AWSアカウント管理の課題
ɾɾɾɾɾɾɾɾʂ
Slide 18
Slide 18 text
AWSアカウント管理の課題
Slide 19
Slide 19 text
課題への対応
Slide 20
Slide 20 text
課題への対応
• 複数のAWSアカウントを⼀元管理するの
に役⽴つサービス
• 新規アカウントの作成、請求の簡素化に
も役⽴つ
• 他のAWSサービスと統合しており、管理
するアカウントにわたって設定管理する
ことも可能
Slide 21
Slide 21 text
AWSアカウント管理の課題
• アカウントの分離の進めていくにあたっては Landing Zone の
考え⽅を参考にして進めている
• Landing Zone はベストプラクティスに基づいたマルチアカウ
ント環境のセットアップをサポートする仕組み
※参考
https://aws.amazon.com/jp/builders-flash/202007/multi-accounts-best-practice/
https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2/
Slide 22
Slide 22 text
課題への対応
• AWS Organizations を使ってまずはアカウントをステージング
とサンドボックスに分割することにした
• ステージングアカウントで疑似本番環境を作り、開発とテス
トをしやすくする
• サンドボックスアカウントでAWSの習熟度を上げつつ個⼈検
証をやりやすくする
Slide 23
Slide 23 text
課題への対応
Slide 24
Slide 24 text
課題への対応
• リソース管理は IaC 化して対応
• AWS の利⽤料は複数アカウント分を redash で可視化
• CloudTrail,Config,GuardDuty などの設定
Slide 25
Slide 25 text
今後やりたいこと
Slide 26
Slide 26 text
今後やりたいこと
• アカウントのログイン⽅式が直ログイン
になっているのをAWS Single Sign-On
(SSO)を使っていきたい
• GSuite をIdPに委任し、SAML認証でロ
グインしていく⽅式
• AWSだけでなく業務アプリケーション
もSSOで扱えるのも利点
Slide 27
Slide 27 text
今後やりたいこと
• SSOで扱えるアプリケーションの⼀例
• Slack
• GitHub
• Zoom
• Office 365 など
Slide 28
Slide 28 text
今後やりたいこと
• アカウント分割もLanding Zoneの考え⽅を参考にさらに分
割を進める
• ログ集約アカウントの作成
• Organizations SCPやConfig Rulesを使ってガードレール
の設置
Slide 29
Slide 29 text
まとめ
Slide 30
Slide 30 text
まとめ
• AWS の活⽤拡⼤に合わせてアカウントも⽤途にあったものに分
割していく
• ⼩さな組織ほど1アカウントでやらず Oraganizations を活⽤し
てアカウントを管理していくのがおすすめと思った
• SSO も⼀緒に活⽤して AWS だけでなく業務アプリも管理して
いくようにする
Slide 31
Slide 31 text
Thank you!