AWS Organizations で実現する、マルチ AWS アカウントのルートユーザー管理からの脱却

Slide 1

Slide 1 text

AWS Organizations で実現する、マルチ AWS アカウントのルートユーザー管理からの脱却 2025クラウドガバナンスはこう変わる！マルチアカウント運用の re:Invent最新情報と活用例 2025/1/30 STORES 株式会社テクノロジー部門技術推進本部浅野大我

Slide 2

Slide 2 text

自己紹介 2 浅野大我 (Taiga Asano) / @atpons STORES 株式会社テクノロジー部門技術推進本部エンジニア社内で利用するパブリッククラウドや SaaS を管理しています

Slide 3

Slide 3 text

STORES の事業お店のデジタルをまるっとサポート。個人や中小事業の方々に向けて、お店のデジタル化をまるっと実現できる価値を提供しています。

Slide 4

Slide 4 text

本日話すこと - STORES におけるAWS Organizations・IAM Identity Centerの現状 - STORES におけるルートユーザー管理の課題 - ルートユーザーの削除対応にあたって行ったこと - 導入後の変化 4

Slide 5

Slide 5 text

STORES におけるAWS Organizations・IAM Identity Centerの現状 5 - 10数個の AWS アカウントを運用中 - プロダクト、環境ごとに AWS アカウントが存在 - AWS Organizations による管理と IAM Identity Center によるシングルサインオンを導入済み - アカウントの払い出しが簡単、コスト管理がしやすい、セキュリティ設定が容易などのメリット管理アカウントメンバーアカウントA メンバーアカウントB メンバーアカウントC SSO

Slide 6

Slide 6 text

STORES におけるAWS Organizations・IAM Identity Centerの現状 6 - IAM Identity Center の権限セットやポリシーは、AWS アカウント横断で技術推進本部が管理 - AWS Organizations / IAM Identity Center の設定は IaC で管理 - 必要に応じて各アカウント利用者にファイルに追記、削除してもらい、自動的に適用することで、追加・削除はセルフサービスで実施メンバーアカウントA 権限セットα 自動反映追加/削除技術推進本部管理

Slide 7

Slide 7 text

STORES におけるルートユーザー管理の課題 7 - IAM ユーザーは IAM Identity Center で運用出来ている！でも・・・ - ルートユーザーは IAM Identity Center の管理外 - 当然出来ることが多いので GuardDuty などによる監視も必要 - パスワードとMFAデバイスを技術推進本部で管理 - 利用者側での管理は不要な一方、アカウントが増えるにつれて管理が煩雑に技術推進本部管理アカウントA ルートユーザーアカウントB ルートユーザー・・・なんでも出来る SSOできないので管理大変

Slide 8

Slide 8 text

増えるアカウントとルートユーザーの管理に一筋の光ルートアクセスの一元管理が 2024/11/15 にリリース 8 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ ・ルートユーザーの削除（新規作成時にルートユーザーも作成されない）・ルートユーザーしかできない特権アクションの一部が管理アカウントから可能にうれしい

Slide 9

Slide 9 text

ルートユーザーの削除対応にあたって行ったこと - テスト用のメンバーアカウントで先にルートユーザーの削除を実施 (公開後すぐ) - AWS コンソールでルートアクセスの一元管理のページを見ると IAM の GetAccountSummary API が各アカウントに飛んでしまうことが判明 - 各アカウントで GuardDuty などで検知してしまうことが分かったので、事前に調整 - 削除後に対応できなくなる特権操作をしておく (3 日) - ルートアクセスの一元管理では非対応の特権操作がある - 後でルートユーザーを元に戻すことも可能だが、先に済ませておく - 今回はアカウントエイリアスの変更をしたいアカウントがあったので、先んじて対応した - 各アカウント管理者への連絡 (1-2 週間) - ルートユーザーのアクセスキーなどを利用していないか確認 9 2024/12/2 に AWS コンソールからルートユーザーの削除を実施！

Slide 10

Slide 10 text

導入後の変化 10 良かったこと - ルートユーザーのパスワード管理、MFA デバイスの管理が不要に！ - 新規メンバーアカウントの払い出し時に、ルートユーザーの作成が不要に！通知の変化 - Security Hub の各セキュリティ基準の一部コントロール (Hardware MFA should be enabled for the root user) が失敗するようになってしまった - ルートアクセスの一元管理に対応できていなかったことが原因 - すべて削除しているので、コントロールの無効化を実施

Slide 11

Slide 11 text

まとめ 11 - STORES では AWS Organizations と IAM Identity Center による効率化したマルチアカウント管理を行っています - 一方、ルートユーザーは権限の大きさや MFA デバイスの管理が必要となっており、課題となっていました - ルートアクセスの一元管理の有効化と、ルートユーザーの削除により、大幅に管理コストを削減することができました AWS Organizations とルートアクセスの一元管理で、より楽なマルチアカウント管理をしていきましょう！