LandingZoneAccelerator と学ぶ「スケーラブルで安全なマルチアカウントAWS環境」と私たちにもできるベストプラクティス

Slide 1

Slide 1 text

©Fusic Co., Ltd. 0 LandingZoneAccelerator と学ぶ「スケーラブルで安全なマルチアカウントAWS環境」と私たちにもできるベストプラクティス 2024.09.05 Mai Miyazaki @maimyyym Fusic x フォージビジョン x クラスメソッド Vol.2【AWS勉強会】

Slide 2

Slide 2 text

©Fusic Co., Ltd. 1 宮崎真⾐ Miyazaki Mai HN: mai (@maimyyym ) ◉ I am - 管理栄養⼠（養成校卒業・資格保持のみ） - 元百貨店スタッフ（Beauty Counselor） - 2023年10⽉ Fusic⼊社 ◉ Skill - AWS / TypeScript / Python / PHP ◉ Comment - 英語の疑問詞が聞き分けられるようになりました⾃⼰紹介はじめに事業本部技術創造部⾨ / エンジニア株式会社Fusic

Slide 3

Slide 3 text

©Fusic Co., Ltd. 2 CONTENTS ⽬次 1. ランディングゾーンとは 2. LandingZoneAccelerator とは 3. Standard Configurationを覗いてみる 4. 実践の課題と⼩さなベストプラクティス 5. まとめ

Slide 4

Slide 4 text

©Fusic Co., Ltd. 3 ランディングゾーンとはランディングゾーンとは？ / スケーラブルで安全なマルチアカウントAWS環境ランディングゾーンの適⽤ 1

Slide 5

Slide 5 text

©Fusic Co., Ltd. 4 ランディングゾーンとは？ランディングゾーンとは [ 語源 ] Landing 着地点、着陸 Zone 区画、地帯 LandingZone 最初に着陸する区画＋

Slide 6

Slide 6 text

©Fusic Co., Ltd. 5 ランディングゾーンとは？ランディングゾーンとは en) A landing zone is a well-architected, multi-account AWS environment that is scalable and secure. ランディングゾーンは、スケーラブルで安全な、適切に設計されたマルチアカウント AWS 環境です。 https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/understanding-landing-zones.html AWS 規範ガイダンス安全でスケーラブルなマルチアカウント AWS 環境のセットアップより

Slide 7

Slide 7 text

©Fusic Co., Ltd. 6 ランディングゾーンとは？ランディングゾーンとは [ Well-Architected ] の [ スケーラブル + セキュア ] なマルチアカウントAWS環境

Slide 8

Slide 8 text

©Fusic Co., Ltd. 7 スケーラブルで安全なマルチアカウントAWS環境ランディングゾーンとはなぜ、マルチアカウント？これらを最⾼レベルで分離できる。リソースセキュリティ請求サービスクォータリスクやニーズはアカウントに封じ込め AWSにおいて請求単位はアカウントレベルが唯⼀

Slide 9

Slide 9 text

©Fusic Co., Ltd. 8 スケーラブルで安全なマルチアカウントAWS 環境ランディングゾーンとは「スケーラブル + セキュア」が求められるのは？⼤規模な組織セキュリティコンプライアンス多数のワークロード分散されたチーム

Slide 10

Slide 10 text

©Fusic Co., Ltd. 9 スケーラブルで安全なマルチアカウントAWS 環境ランディングゾーンとは「スケーラブル + セキュア」が求められるのは？⼤規模な組織セキュリティコンプライアンス多数のワークロード分散されたチームランディングゾーンの需要はここに

Slide 11

Slide 11 text

©Fusic Co., Ltd. 10 ランディングゾーンの適⽤ランディングゾーンとはどんな状況？ログを集約・⼀元管理アクセス権限の管理・制限アクセスログ証跡

Slide 12

Slide 12 text

©Fusic Co., Ltd. 11 ランディングゾーンの適⽤ランディングゾーンとはどんな状況？ログを集約・⼀元管理アクセス権限の管理・制限アクセスログ証跡これらが迅速に起動できる環境

Slide 13

Slide 13 text

©Fusic Co., Ltd. 12 Landing Zone Accelerator Landing Zone Accelerator(LZA)とは 2

Slide 14

Slide 14 text

©Fusic Co., Ltd. 13 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator 前提ランディングゾーン構築のための機能を提供するマネージドサービス＝ AWS Control Tower ガバナンスが適⽤されたアカウント作成の⾃動化コントロールによるガードレールの適⽤

Slide 15

Slide 15 text

©Fusic Co., Ltd. 14 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator Landing Zone Acceleratorとは https://aws.amazon.com/jp/solutions/implementations/landing-zone-accelerator-on-aws/ • LandingZone導⼊を強化するローコードソリューション • CDK製のOSSプロジェクト • AWSのベストプラクティスと複数のグローバルなコンプライアンスフレームワークに準拠したクラウド基盤をデプロイ・適切な管理をサポート • 特定の地域や業界の要件への準拠をサポートするサンプル構成の提供

Slide 16

Slide 16 text

©Fusic Co., Ltd. 15 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator 使い⽅ Landing Zone Accelerator プロジェクト https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html AWS CloudFormation を⽤いてを⾃⾝のAWS環境にインストール ① ② 設定ファイルを Amazon S3 に保管、を通して環境の設定やリソースをプロビジョン AWS CodePipeline

Slide 17

Slide 17 text

©Fusic Co., Ltd. 16 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator 使い⽅ Landing Zone Accelerator プロジェクト https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerator-on-aws/deploy-the-solution.html AWS CloudFormation を⽤いてを⾃⾝のAWS環境にインストール ① ② 設定ファイルを Amazon S3 に保管、を通して環境の設定やリソースをプロビジョン AWS CodePipeline § global-config.yaml § organization-config.yaml § accounts-config.yaml § iam-config.yaml § security-config.yaml § network-config.yaml 必要な構成・リソースを定義し、組織に必要なランディングゾーン環境をデプロイする。

Slide 18

Slide 18 text

©Fusic Co., Ltd. 17 LZA(LandingZoneAccelerator)とは Landing Zone Accelerator LZAが提供するもの • Control Towerによるランディングゾーン導⼊の基盤と機能強化 • 追加の構成・機能・リソースを管理するための設定ファイル • 固有要件をサポートするSample Configuration ※あくまで基盤インフラの提供組織の要件に完全に準拠しているかはユーザーの責任

Slide 19

Slide 19 text

©Fusic Co., Ltd. 18 LZA / Standard Configuration Standard Configurationとは / Standard Configurationを覗いてみる 3

Slide 20

Slide 20 text

©Fusic Co., Ltd. 19 Standard Configurationとは LZA / Standard Configuration Sample Configuration 特定の地域や業界の要件を満たすためのスターター構成を提供する設定ファイルのまとまり GitHubの /reference/sample-configurations 下にある Standard GovCloudUS CCCS TSE-SE Education Finance Healthcare US SLG Central IT

Slide 21

Slide 21 text

©Fusic Co., Ltd. 20 Standard Configurationとは LZA / Standard Configuration Sample Configuration 特定の地域や業界の要件を満たすためのスターター構成を提供する設定ファイルのまとまり GitHubの /reference/sample-configurations 下にある Standard GovCloudUS CCCS TSE-SE Education Finance Healthcare US SLG Central IT

Slide 22

Slide 22 text

©Fusic Co., Ltd. 21 Standard Configurationとは LZA / Standard Configuration Standard Organizing Your AWS Environment Using Multiple Accounts AWS Security Reference Architecture(AWS SRA) 標準的な商⽤のための構成以下のAWS ホワイトペーパーに⼤きな影響を受けている。 Well-Architected Frameworkに基づくベストプラクティスの適⽤ AWSサービスを⽤いたセキュリティアーキテクチャの実装ガイドライン

Slide 23

Slide 23 text

©Fusic Co., Ltd. 22 Standard Configurationを覗いてみる LZA / Standard Configuration Organization structure ○ Management Account ○ Infrastructure OU ○ 共有サービスアカウント ○ ネットワークアカウント ○ Security OU ○ ログアーカイブアカウント ○ 監査アカウント ○ Workload OU ○ ワークロード⽤アカウント https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#organization-structure

Slide 24

Slide 24 text

©Fusic Co., Ltd. 23 Standard Configurationを覗いてみる LZA / Standard Configuration Core Accounts https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#core-accounts Management Account • Control Tower • LZAアーキテクチャやガードレールのデプロイ • 課⾦アグリゲータ

Slide 25

Slide 25 text

©Fusic Co., Ltd. 24 Standard Configurationを覗いてみる LZA / Standard Configuration Core Accounts https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#core-accounts Log Archive Account • 各アカウントのログを S3に集約 Audit Account • セキュリティサービスの管理・運⽤を担う

Slide 26

Slide 26 text

©Fusic Co., Ltd. 25 Standard Configurationを覗いてみる LZA / Standard Configuration Core Accounts https://awslabs.github.io/landing-zone-accelerator-on-aws/latest/sample-configurations/standard/org-structure/#core-accounts Network Account • Network Firewall • ハブとしてのTransitGW • Inspection VPC Shared Services Account • AWS Directory Service (Managed Microsoft AD) • IAM Identity Center

Slide 27

Slide 27 text

©Fusic Co., Ltd. 26 Standard Configurationを覗いてみる LZA / Standard Configuration IDの⼀元管理とヒューマンユーザーのアクセス制御 • IAM Identity Center (+AWS Managed Microsoft AD) によりアクセスを⼀元的に管理 ※既存のIdPがある場合は、フェデレーション設定を推奨 • ユーザーをグループに追加することで制御。左図はMaxで追加したもの。

Slide 28

Slide 28 text

©Fusic Co., Ltd. 27 Standard Configurationを覗いてみる LZA / Standard Configuration これらは初期構築時にデプロイされる最低限の構成。ネットワーク・アプリケーションリソース等、必要なリソースを追加デプロイしていく。その際、組織のニーズにこのアーキテクチャを適⽤させるため SRAを参照することが推奨されている。

Slide 29

Slide 29 text

Slide 30

Slide 30 text

©Fusic Co., Ltd. 29 料⾦実践の課題と今から使えるベストプラクティス As of this revision, the cost for running this solution using the Landing Zone Accelerator on AWS sample configuration with AWS Control Tower in the US East (N. Virginia) Region within a non-critical sandbox environment with no activity or workloads is approximately $430.22 (USD) each month. https://docs.aws.amazon.com/ja_jp/solutions/latest/landing-zone-accelerator-on-aws/cost.html 最低限のデフォルト設定を適⽤させるだけで（ワークロード・アクティビティを含まない）毎⽉$430.22(USD)

Slide 31

Slide 31 text

©Fusic Co., Ltd. 30 実装コスト実践の課題と今から使えるベストプラクティスあくまで基盤の提供。要件を満たすアーキテクチャの検討や追加リソースの設計・実装も必要役割に応じたアクセス制御＝管理・運⽤する⼈員とその設計という前提がある

Slide 32

Slide 32 text

©Fusic Co., Ltd. 31 実装コスト実践の課題と今から使えるベストプラクティスあくまで基盤の提供。要件を満たすアーキテクチャの検討や追加リソースの設計・実装も必要役割に応じたアクセス制御＝管理・運⽤する⼈員とその設計という前提がある組織の規模・要件を踏まえてソリューションを適⽤する。その基盤としてAWSマネージドサービス(Control Tower)や LZAのようなソリューションは⼼強い

Slide 33

Slide 33 text

©Fusic Co., Ltd. 32 ベストプラクティスを取り⼊れる実践の課題と⼩さなベストプラクティスランディングゾーン、ガバナンスの効いたアーキテクチャは⼤規模組織でのニーズが⼤きい。クライアントワークにおいては中⼩規模の事例も多々。知る必要はない？【余談】私の話！

Slide 34

Slide 34 text

©Fusic Co., Ltd. 33 ベストプラクティスを取り⼊れる実践の課題と⼩さなベストプラクティスランディングゾーン、ガバナンスの効いたアーキテクチャは⼤規模組織でのニーズが⼤きい。クライアントワークにおいては中⼩規模の事例も多々。知る必要はない？【余談】私の話！

Slide 35

Slide 35 text

©Fusic Co., Ltd. 34 ベストプラクティスを取り⼊れる実践の課題と⼩さなベストプラクティスランディングゾーン、ガバナンスの効いたアーキテクチャは⼤規模組織でのニーズが⼤きい。クライアントワークにおいては中⼩規模の事例も多々。知る必要はない？ドキュメントやフレームワークで⽰されるベストプラクティスの構成は最⼤値とも⾔える。「全くやらない」より「できることをやる」「思想を知る」が良い！ Landing Zone Acceleratorに触れてみて、規模を問わず活かせる知⾒を得ることができました。【余談】私の話！

Slide 36

Slide 36 text

©Fusic Co., Ltd. 35 まとめランディングゾーンは「Well-Architected」の「スケーラブル＋セキュア」な”マルチアカウントAWS環境” Point 01 AWS Control TowerがLZの機能を提供、LandingZoneAcceleratorはLZの基盤サポート＋強化するソリューション Point 02 LandingZoneAcceleratorのサンプル”Standard”構成はAWSのベストプラクティス（主にSRA）に沿った設計 Point 03 LZAのようなソリューションはベストプラクティスの最⼤値。その⼀つ⼀つには明⽇から使えるものもある！ Point 04