Slide 1

Slide 1 text

第124回 雲勉【オンライン】 AWS Organizations/ AWS Control Towerの概要と cloudpackサービスメニューの紹介

Slide 2

Slide 2 text

2 0.⾃⼰紹介 ⼩林 裕太 ■所属 クラウドインテグレーション事業部 MSP開発セクション ■⼊社⽇ 2022年3⽉ ■好きなAWSサービス Lambda、Organizations

Slide 3

Slide 3 text

アジェンダ 3 1.AWS Organizations • マルチアカウントの利点と考慮点 • 概要 • 機能 • 機能ピックアップ︓Identity Center(SSO) 2.AWS Control Tower • ランディングゾーンとは • 概要 • 構成 • 採⽤メリットと考慮点 • 機能 3.AWS Organizationsをお得に使う⽅法 • cloudpackのサービスメニュー紹介 4.まとめ

Slide 4

Slide 4 text

4 1.AWS Organizations

Slide 5

Slide 5 text

1.AWS Organizations マルチアカウントの利点と考慮点 5 AWSではマルチアカウント構成がベストプラクティス シングルアカウントアーキテクチャ マルチアカウントアーキテクチャ

Slide 6

Slide 6 text

1.AWS Organizations マルチアカウントの利点と考慮点 6 ■ なぜマルチアカウント構成が推奨されるのか︖ → 全てのシステムをシングルアカウントの中に構築すると、アカウント内の環境が複 雑になる ■ シングルアカウントアーキテクチャの課題 1. オペレーションミスによるリソースの停⽌・削除のリスクがある 2. コスト管理が困難になる 3. リソースごとのアクセス制御が困難になる 4. アカウントごとに上限(クォータ)がある

Slide 7

Slide 7 text

■ AWSアカウントを分割することによる利点 1. 開発・本番環境を分離することにより、オペレーションミスによるリスクを低減できる 2. AWSのコストはアカウント単位で集計されるため、部署やシステムごとにコストを明確に分離 できる 3. アカウント単位で権限を分離できる 4. API呼び出しレートやクォータはアカウントごとに独⽴しているため、他のワークロードへの 影響を隔離できる 参考︓AWS マルチアカウント管理を実現するベストプラクティスとは ? 7 1.AWS Organizations マルチアカウントの利点と考慮点

Slide 8

Slide 8 text

■ アカウントの数が増えることによる考慮点 ● アカウントの数だけ個別に設定すると、設定ミスや漏れが⽣じるリスクがある ● アカウントを横断しての状況把握や統制が困難になる ● アカウントごとにIAMユーザーを作成すると、認証情報や権限の管理が煩雑になる 効率よく管理する仕組み(中央集権的な統制)が必要になってくる・・・ → そこで、マルチアカウント管理のためのサービスが AWS Organizations 8 1.AWS Organizations マルチアカウントの利点と考慮点

Slide 9

Slide 9 text

複数のAWSアカウントを組織という単位でまとめて⼀元 的に管理できるサービス 9 1.AWS Organizations 概要 AWS Organizations

Slide 10

Slide 10 text

1つの「管理アカウント」の下に、複数の「メンバーアカウント」を紐づける 10 1.AWS Organizations 概要 ● 組織の設定や管理をするアカウ ント ● アカウントの作成、招待、削除 を⾏うことができる ● 実際のワークロードを稼働させ るためのアカウント

Slide 11

Slide 11 text

1.AWS Organizations 機能 11 ■ 主な機能 ① 組織単位(OU)とサービスコントロールポリシー(SCP) ② AWSサービスとOrganizationsの統合 ③ ⼀括請求 ④ 委任管理

Slide 12

Slide 12 text

① 組織単位(OU)とサービスコントロールポリシー(SCP) 12

Slide 13

Slide 13 text

■ 組織単位(OU) 13 1.AWS Organizations 機能 ① OUとSCP ● メンバーアカウントをグルーピングす るためのフォルダみたいなもの ● 最⼤で 5 つの階層までネストできる 参考︓AWS Organizations における組織単位のベストプラクティス

Slide 14

Slide 14 text

■ サービスコントロールポリシー(SCP) ○ 各アカウントでアクセスできるサービスや 操作を定義するポリシー ○ 「ここまでは許可できる」という境界を設 定する(アクセス許可を付与しない) ○ SCP と IAM ポリシーの両⽅で許可されて いるサービスにアクセスができる 14 1.AWS Organizations 機能 ① OUとSCP 出典︓ポリシーの評価論理

Slide 15

Slide 15 text

15 1.AWS Organizations 機能 ① OUとSCP Root OU: Sandbox OU: Workloads OU: Prod OU: SDLC sandbox service-prd service-stg service-dev SCP: FullAWSAccess SCP: ProductionPolicy アタッチ アタッチ ● SCPは組織のRoot、OU、アカウントにアタッチする ● (Tips)管理アカウントには適⽤されない ● 組織内の全てのOUとア カウントを包含する最 上位のコンテナ ● SCPをRootにアタッチ すると、全てのOUとア カウントに適⽤される ● 「FullAWSAccess」( =全てのアクセスを許 可)がRootにアタッチ されている SCPをOUにアタッチ すると、OU内の全て のOUとアカウントに 適⽤される(SCPの 継承)

Slide 16

Slide 16 text

② AWSサービスとOrganizationsの統合 16

Slide 17

Slide 17 text

● 組織内のアカウントに対して、⼀括で対応したAWSサービスの機能を適⽤することができる( ※ AWS Organizationsに対応しているAWSサービスのみ) ● 対応サービスの「信頼されたアクセス」を有効にする必要がある 17 1.AWS Organizations 機能 ② AWSサービスとOrganizationsの統合 ※ AWS Organizations で使⽤できる AWS のサービス

Slide 18

Slide 18 text

● ユーザーごとのアクセス権限を⼀元管理できる ● 1つの認証情報で複数の AWSアカウントにログインできる ● 「ユーザー」と「AWSアカウント」の組み合わせに対し「権限(=許可セット)」を割り当てる 18 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On ) AWS Account ユーザー or グループ 許可セット 割り当て

Slide 19

Slide 19 text

ユーザーはIAM Identity Centerのポータルサイト経由でAWSアカウントにアクセス 19 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )

Slide 20

Slide 20 text

■ 外部認証サービスとの連携ができる 外部IDプロバイダー(例: Azure AD、Google Workspace、Oktaなど)と連携することで、既存 の認証情報を使⽤してAWSアカウントにシングルサインオンでログインできる 参考︓サポートされている ID プロバイダー 20 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )

Slide 21

Slide 21 text

■ クラウドアプリケーションの認証ができる クラウドアプリケーション(例: Salesforce、Office 365、Boxなど)の認証情報を⼀元管理し、 シングルサインオンでログインできる 参考︓サポートされているアプリケーション 21 1.AWS Organizations 機能ピックアップ: IAM Identity Center(旧 AWS Single Sign-On )

Slide 22

Slide 22 text

③ ⼀括請求 22

Slide 23

Slide 23 text

1.AWS Organizations 機能 ③ ⼀括請求 23 ● 組織内のアカウントの利⽤料⾦を単⼀の請求にまとめることができる ● 利⽤量が合算されることにより、S3のストレージやデータ転送などにボリュームディ スカウントが適⽤される

Slide 24

Slide 24 text

④ 委任管理 24

Slide 25

Slide 25 text

25 1.AWS Organizations 機能 ④ 委任管理 特定のサービスの管理を、メンバーアカウントに委任できる機能(※ 委任管理に対応してい るAWSサービスのみ) ※ AWS Organizations で使⽤できる AWS のサービス (Tips)管理アカウントの利⽤は必要最 低限することが推奨されている 参考︓管理アカウントのベストプラクテ ィス

Slide 26

Slide 26 text

26 2.AWS Control Tower

Slide 27

Slide 27 text

■ ランディングゾーンとは ● AWSのベストプラクティスに基づいたマルチアカウント構成 ● マルチアカウントの管理、運⽤をスケーラブルに⾏うための仕組み、考え⽅ 27 2.AWS Control Tower ランディングゾーンとは

Slide 28

Slide 28 text

28 ■ ランディングゾーンに含まれる機能 ● ID管理︓各アカウントへのアクセス管理 ● コントロール︓ポリシーに違反する操作の制限または検知 ● ベースラインの展開︓複数のアカウントにまたがる共通設定の展開 ● ログ管理・監視︓必要なログを保全してシステムの健全性やセキュリティ状態の監視 これだけの仕組みを⾃前で作るのは⼤変・・・ → ランディングゾーンを実装するサービスが AWS Control Tower 2.AWS Control Tower ランディングゾーンとは

Slide 29

Slide 29 text

29 2.AWS Control Tower 概要 ● ランディングゾーンを⾃動で設定、統制してくれるサービ ス → マルチアカウント構成の設計、構築の負荷を軽減する ことができる ● 既存の組織に対しても適⽤できる AWS Control Tower

Slide 30

Slide 30 text

2.AWS Control Tower 概要 30 ⾃動でセットアップ AWS Control Towerを使⽤すると、裏側で複数のAWSサービスが組み合わされてランディ ングゾーンが⾃動的に構築される 出典︓AWS ControlTowerでマルチアカウント管理しませんか

Slide 31

Slide 31 text

31 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 出典︓AWS Control Tower 基礎編

Slide 32

Slide 32 text

32 2.AWS Control Tower 構成 AWS Organizationsを使⽤して、以下のベースとなるOU、アカウントを構築 ● セキュリティやコンプライアンスを監査す るアカウント ● 変更と違反を監視して通知を送信するよう に設定できる ● ログを保存するアカウント ● AWS CloudTrailとAWS Configのログを Amazon S3バケットに保存 出典︓AWS Control Tower 基礎編

Slide 33

Slide 33 text

33 2.AWS Control Tower 構成 AWS Control Towerの有効化で各アカウントに作成されるAWSサービス 参考︓AWS Control Tower の仕組み

Slide 34

Slide 34 text

■ 採⽤メリット 簡単にAWSの考えるベストプラクティス環境のベースラインを構築できる ■ 考慮点 AWS Control TowerのLanding Zoneは定期的にアップデートされていくため、最新構成を使⽤し たい場合は追従していく必要がある 34 2.AWS Control Tower 採⽤メリットと考慮点

Slide 35

Slide 35 text

① コントロール ● リスクのある操作の予防・発⾒ ② ログの取得と⼀元管理 ● AWSの操作ログの⾃動収集 ③ アカウントの新規作成(Account Factory) ● 新規AWSアカウントの⾃動セットアップ 35 2.AWS Control Tower 機能

Slide 36

Slide 36 text

36 ① コントロール

Slide 37

Slide 37 text

37 2.AWS Control Tower 機能 ① コントロールの概要 リスクのある操作を禁⽌ リスクのある操作を監視(通知)

Slide 38

Slide 38 text

● AWSによって事前に定義された500を超えるコントロールから選択 ● 組織単位(OU)、アカウント単位で有効化 ● コントロールは「動作」と「ガイダンス」で分類される 38 2.AWS Control Tower 機能 ① コントロールの概要

Slide 39

Slide 39 text

39 2.AWS Control Tower 機能 ① コントロールの動作 動作 説明 実装 予防 ● 特定の操作を実施できないように防ぐ ● OU 階層の下位に継承される サービスコントロー ルポリシー (SCP) 検出 ● コントロールに違反する設定を検知 AWS Config ルール プロアクティブ ● AWS CloudFormationで作成するリソースを チェックし、コントロールに準拠しているリ ソースのみ作成 AWS CloudFormation フ ック

Slide 40

Slide 40 text

40 2.AWS Control Tower 機能 ① コントロールのガイダンス ガイダンス 説明 必須 ● Control Towerを正常に稼働させるために必要な禁⽌事項(ワーク ロードには影響しない) ● デフォルトで有効化(無効化できない) 強く推奨 ● マルチアカウントのベストプラクティスに基づく制限事項 ● 任意で選択 選択的 ● AWSエンタープライズ環境で⼀般的に利⽤される制限事項 ● 任意で選択

Slide 41

Slide 41 text

41 2.AWS Control Tower 機能 ① 必須コントロールの例 ■必須コントロールの例 参考︓必須コントロール

Slide 42

Slide 42 text

参考︓必須コントロール 42 2.AWS Control Tower 機能 ① 必須コントロールの例 CloudTrailへの設定変更を禁⽌ CloudFormationによって 設定されたIAMロールへの 変更を禁⽌ SNSへの変更を禁⽌ S3バケットの設定変更、削除を禁⽌ Configへの設定変更を禁⽌ ■必須コントロールの例

Slide 43

Slide 43 text

● AWS Control Towerの管理下にある OUとアカウント数 ● 適⽤したコントロール数 ● ⾮準拠リソース 43 2.AWS Control Tower 機能 ① 監視⽤ダッシュボード

Slide 44

Slide 44 text

アップデート︓リージョン拒否コントロール 44 ● リージョン拒否コントロール は、特定のリージョンでの操 作を制限し、意図しないデー タ保存を防⽌するためのコン トロール ● 以前はランディングゾーン全 体に適⽤されていたが、組織 単位(OU)ごとに適⽤するこ とが可能になった 参考︓お客様がデジタル主権の要件を満たすのに役⽴つ新しいコントロールを AWS Control Tower が追加

Slide 45

Slide 45 text

45 ② ログの取得と⼀元管理

Slide 46

Slide 46 text

46 2.AWS Control Tower 機能 ② ログの取得と⼀元管理 ● 各アカウントのCloudTrail とConfig のログをログアーカイブアカウントのS3バケットに集約 ● 保存期間は1⽇〜15年の間で設定可能 ● 個々のアカウントからログの削除、無効化ができないように必須コントロールで防⽌ 既存のCloudTrail設定(ログ 記録が有効になっている証跡 )がある場合は2つ⽬が無料 枠の対象外となり課⾦される 点に注意

Slide 47

Slide 47 text

47 ③ アカウントの新規作成(Account Factory)

Slide 48

Slide 48 text

● 各種機能(ログ集約、コントロール)が 初めから設定されたアカウントが作成さ れる ● Service Catalog、CloudFormation StackSetsで実装されている 参考︓Account Factory のリソースに関する 考慮事項 48 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)

Slide 49

Slide 49 text

● (オプション)CloudFormation テ ンプレートまたは Terraformを使⽤ して、アカウントのカスタマイズが 可能 参考︓Account Factory Customization (AFC) を使⽤したアカウントのカスタマ イズ 49 2.AWS Control Tower 機能 ③ アカウントの新規作成(Account Factory)

Slide 50

Slide 50 text

50 3.AWS Organizationsをお得に使う⽅法

Slide 51

Slide 51 text

3.AWS Organizationsをお得に使う⽅法 51 AWS請求代⾏+Organizations

Slide 52

Slide 52 text

3.AWS Organizationsをお得に使う⽅法 52 AWS請求代⾏

Slide 53

Slide 53 text

3.AWS Organizationsをお得に使う⽅法 53 AWS請求代⾏ 既存アカウントから移⾏可能 今お使いの AWS 環境は 「そのまま」 で、AWS アカウントを移管して利⽤できます。

Slide 54

Slide 54 text

3.AWS Organizationsをお得に使う⽅法 54 AWS請求代⾏+Organizations 再掲

Slide 55

Slide 55 text

55 3.AWS Organizationsをお得に使う⽅法

Slide 56

Slide 56 text

3.AWS Organizationsをお得に使う⽅法 56 請求代⾏ + Organizations (委任アカウント利⽤) 初期費⽤ 0万円 ⽉額費⽤ 2万円 ● 委任管理が可能なOrganizations連携サ ービスを利⽤可能 ※ ⼀部のサービスを除く

Slide 57

Slide 57 text

3.AWS Organizationsをお得に使う⽅法 57 請求代⾏ + Organizations (管理アカウント利⽤) 初期費⽤ 15万円 ⽉額費⽤ 5万円 ● 委任アカウント利⽤プランで制限される 機能が利⽤可能 ※ ⼀部機能制限があり

Slide 58

Slide 58 text

3.AWS Organizationsをお得に使う⽅法 58 請求代⾏ + Organizations (管理アカウント利⽤ + AWS Control Tower) 初期費⽤ 30万円 ⽉額費⽤ 7万円 ● 管理アカウント利⽤の内容に加え、AWS Control Towerを利⽤可能 ※ ⼀部機能制限があり

Slide 59

Slide 59 text

59 3.AWS Organizationsをお得に使う⽅法 委任アカウント利⽤ 管理アカウント利⽤ 管理アカウント利⽤+AWS Control Tower 初期費⽤ 0円 15万円 30万円 ※ ⽉額費⽤(定額) 2万円 5万円 7万円 ※ 連携可能サービス数 24 32 33 OU設定 △ ◯ ◯ SCP設定 ◯ ◯ ◯ AWS Control Tower利⽤ X X ◯ (⼀部△) アカウント追加 △ △ △ ◯ = 顧客で⾃由に利⽤可能 △=申し込み or Backlogでiretに依頼 ※別途、Landing Zone構成に必要な各AWSサービスの費⽤が発⽣

Slide 60

Slide 60 text

3.AWS Organizationsをお得に使う⽅法 60 請求代⾏+Organizations 詳細はこちら https://cloudpack.jp/lp/aws-organizations/

Slide 61

Slide 61 text

3.AWS Organizationsをお得に使う⽅法 61 詳細はこちら https://cloudpack.jp/lp/20th-campaign/

Slide 62

Slide 62 text

4. まとめ 62

Slide 63

Slide 63 text

4.まとめ 63 ● AWS Organizationsと連携サービスを活⽤することで、マルチアカウントの管理が容 易になる ● AWS Control Towerを利⽤することで、AWS Organizationsやその連携サービスの設 定をベストプラクティスに沿ったプリセット環境として簡単にセットアップすることが できる ● AWS Organizations や AWS Control Towerをお得に使うには、Iretの請求代⾏ +Organizationsをチェック