Slide 1
Slide 1 text
スタートアップこそ
AWSアカウントを
ええ感じに管理しよ!
AWS Startup Tech Meetup Online #2
Slide 2
Slide 2 text
1988年⽣まれ∕⼤阪府出⾝
webエンジニア、情シス、CSIRTを経て
現在株式会社オークンで情シスのお姉さんをし
てます。好きなAWSサービスは、GuardDuty,
AWSOrganizations,AWSSSO
O-KUN, Inc. Business IT
SUMI SHIOMI
suemin_jp
Slide 3
Slide 3 text
社名:株式会社オークン
代表:⼭下 亮
設⽴:2015年3⽉
従業員:26名(2021年2⽉時点)
事業内容:
ファンド向け⾦融商品開発
Webサービス開発
ソフトウェア開発
など
Slide 4
Slide 4 text
素晴らしいプロダクトを
世の中に出したい
⽇のおはなし
情シスとして⼤事にしていること
Slide 5
Slide 5 text
最⾼のプロダクトにするために
エンジニアがプロダクト開発に
全集中できる環境を整える
情シスとして⼤事にしていること
Slide 6
Slide 6 text
組織でAWSを
利⽤するってなったら
やっておきたいこと
アカウントとユーザーの管理編
Slide 7
Slide 7 text
組織でAWSを
利⽤する上で
避けられない問題
Slide 8
Slide 8 text
マルチアカウント
管理
Slide 9
Slide 9 text
No content
Slide 10
Slide 10 text
マルチ
アカウントの
ベスト
プラクティス
Slide 11
Slide 11 text
⽤: AWS
におけるマルチアカウント 理の⼿ とベストプラクティス
https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
Slide 12
Slide 12 text
スタートアップで
最初からこれが
考慮されているか
Slide 13
Slide 13 text
アイデアに
気づく
仲間を
集める
プロトタイプ
つくる
ローンチ
する
Slide 14
Slide 14 text
理想
Slide 15
Slide 15 text
現
もしくはOrganizations
で 理されていない場 も。
とりあえず まとめるために
つかってみた
Slide 16
Slide 16 text
この状 のまま
が⼤きくなると
何が きるか
Slide 17
Slide 17 text
アカウント
SCP
もいい じにあてられん…
Slide 18
Slide 18 text
件A
prod
件B
dev / stg
なんかよく
わかんない
やつ
件B
prod
⽤
件
アカウントの⽬的が ⾏ 不
件C
dev
Account - A Accout - B Account - C
この 件のリソースは
どのアカウントなんだぁぁぁぁぁ
件別に まとめるのが
⼤ だぁぁぁぁ
さらに
Slide 19
Slide 19 text
開発効率
Slide 20
Slide 20 text
こうなると
Organizationsを
再設計し直すのは
めっちゃしんどい
Slide 21
Slide 21 text
No content
Slide 22
Slide 22 text
ユーザー 理
の 題
それに えて
Slide 23
Slide 23 text
やりがちなユーザー管理 1⼈の利⽤者に対して、
IAMユーザを各アカウントに個別に作成
パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒
ID + Pass + MFA ID + Pass + MFA ID + Pass + MFA
Slide 24
Slide 24 text
パスワードポリシーが
超 めんどくさい
パスワードポリシーが超 しい
半⾓英⼩
半⾓英⼤
半⾓
20
桁 上
使い回し禁⽌
さらにMFA
制
これがアカウントごとに。。
Slide 25
Slide 25 text
した の IAM
ユーザの
アクセスキー が
プログラムの中で使われていた
したA
さんの
IAM
ユーザを消したら
プログラムが動かなく
なっちゃったんだよね〜
えー まじっすかー
開発 情シス
Slide 26
Slide 26 text
開発どころじゃない
Slide 27
Slide 27 text
No content
Slide 28
Slide 28 text
アカウントとユーザーは
ちゃんと 理した がいい
Slide 29
Slide 29 text
⼩ 模なうちなら
いい じに えやすい
Slide 30
Slide 30 text
に何を
やっておくべきなのか
について えてみた
そうならない
ために...
Slide 31
Slide 31 text
AWSアカウントは
⽬的別に作成する
Slide 32
Slide 32 text
ガバナンス 課⾦
組織 運⽤
本番環境と⾮本番環境を管理するメンバーとで
明確な権限の分離
環境間におけるセキュリティ対策の分離が可能
アカウント毎に明確な課⾦管理ができる
アカウントの請求をまとめられる
案件や部⾨などの業務ユニットごとにアカウン
トを払い出して独⾃のポリシーで運⽤ができる
特定のアカウントへ権限を委譲することも可能
構成変更時の影響範囲のを⼩さくする
リソースの上限を気にせず利⽤できる
AWSアカウント分割のポイント
Slide 33
Slide 33 text
TAG:dev TAG:poc_A
TAG:verify
TAG:pj_A
TAG:dev
TAG:pj_B TAG:verify TAG:poc_B
管理側
開発側
Slide 34
Slide 34 text
OU設計は
AWSOrganizations
全体の核⼼
Slide 35
Slide 35 text
AWSOrganizationsの基本的なOU構成
Slide 36
Slide 36 text
組織で共有されるインフラサービス
セキュリティ監査ログなど
AWSOrganizationsの基本的なOU構成
Slide 37
Slide 37 text
AWSOrganizationsの基本的なOU構成
AWSのサービスを学んだり試したりするために利⽤
社内ネットワークから切り離して構築
⼀定の料⾦制限を設定して使いすぎを防⽌
Slide 38
Slide 38 text
AWSOrganizationsの基本的なOU構成
顧客向けアプリケーションや
バックエンドプロセスなど
Slide 39
Slide 39 text
AWSOrganizationsの基本的なOU構成
SCPを利⽤して
アカウント/OU全体に
禁⽌事項の設定
予防的統制
Slide 40
Slide 40 text
IAMユーザーは
作らない
Slide 41
Slide 41 text
AWSにおけるユーザー管理 1⼈の利⽤者に対して、
IAMユーザを各アカウントに個別に作成
パスワードを覚えるのが⾯倒
MFAも⾯倒
IDの棚卸しも⾯倒
アカウントの数だけ多重苦に陥ってしまう
Slide 42
Slide 42 text
AWSにおけるユーザー管理 踏み台からロールを切り替えて
各AWSアカウントの操作権限を取得
接続先のアカウントで付与される権限の管理は
各AWSアカウントのIAMで個別にロールを作成し
メンテナンスする必要がある
Slide 43
Slide 43 text
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤
AWSSSOでマネージドに実現
Slide 44
Slide 44 text
AWSSSOならマネコンへのアクセスが楽
Slide 45
Slide 45 text
AWSSSOならCLIも便利
Slide 46
Slide 46 text
AWSSSOはいいぞ
Slide 47
Slide 47 text
的にこれでいくことにした
Slide 48
Slide 48 text
果
ユーザーはアカウントへのアクセスが楽になり
アカウントの切り替えも便利になった
アカウントに紐づくグループごとに権限設定&
AWSSSOで⼀元管理できてアクセス権管理が楽
IdPからユーザとグループがプロビジョニングされて
ユーザーのメンテナンスがめっちゃ楽
Slide 49
Slide 49 text
でやりたいこと
ステージ別にSCPを割り当てて
組織として⼀定のセキュリティレベルを担保
ConfigでIAMユーザーの作成を監査&
CloudTrailでIAMユーザーの使⽤を検知
監査ログを集約&活⽤
結局ControlTowerってどうなん
Slide 50
Slide 50 text
アカウントはシステムの種類や環境別に分割して
開発者も管理者もみんなハッピー
OU設計はAWSOrganizations全体設計の核⼼
早い段階で⼊念な検討を推奨。
AWSSSOはいいぞ
まとめ
Slide 51
Slide 51 text
アカウントとユーザーを
早い段階で整理することで、
セキュアで良質な
ガードレールを整えて
最⾼のプロダクトを世の中へ
(後編)
(前編)
Slide 52
Slide 52 text
THANK YOU.
⼤ オフィス
オフィス
〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル
〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル