20分で分かる！Control Towerが実現できる効率的なマルチアカウント管理

by 松波花奈

Slide 1

Slide 1 text

2024/11/21 AWS事業本部コンサルティング部松波花奈 20分で分かる！Control Towerが実現できる効率的なマルチアカウント管理

Slide 2

Slide 2 text

⾃⼰紹介 2 ● 2018年4⽉メーカー系Sler⼊社システムエンジニア ○ 基幹システムのアプリケーション開発 ● 2022年9⽉クラスメソッド⼊社 ○ AWS設計‧構築⽀援 ○ プリセールス ○ セキュリティ‧コスト最適化アセスメント ● 実績 ○ Japan AWS Top Engineers 2023 Security ● 部署 ○ AWS事業本部コンサルティング部 ● ロール ○ ソリューションアーキテクト ● 名前（ニックネーム） ○ 松波花奈（おつまみ） ● 所属オフィス ○ ⽇⽐⾕ ● 最近気になっていること ○ AWS re:Invent前のアップデート情報

Slide 3

Slide 3 text

3 ● 対象者 ○ マルチアカウント管理に興味のある⽅ ○ マルチアカウント管理に課題を感じている⽅ ○ AWS Control Towerというワードに惹かれた⽅ ● レベル ○ 100 ~ 200 ※レベルの説明 ● Level 100 : AWS サービスの概要を解説するレベル ● Level 200 : トピックの⼊⾨知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル ● Level 300 : 対象のトピックの詳細を解説するレベル ● Level 400 : 複数のサービス、アーキテクチャによる実装でテクノロジーがどのように機能するかを解説するレベルセッションの対象者とレベル

Slide 4

Slide 4 text

4 ● AWS Control Towerで実現できることを知っていただくこと ● マルチアカウント管理ってなんか難しそう‧‧という概念をなくしていただくことセッションのゴール

Slide 5

Slide 5 text

5 1. マルチアカウント管理が必要な理由 2. AWS Control Towerとは 3. AWS Control Towerで実現できること 4. まとめお話しすること

Slide 6

Slide 6 text

6 1. AWS Control Towerの設定‧有効化⼿順 2. AWS Control Tower有効化後のマルチアカウント運⽤お話ししないこと

Slide 7

Slide 7 text

2つ質問します！当てはまる⽅はZoomで挙⼿をお願いします！ 7 セッションに⼊る前に‧‧

Slide 8

Slide 8 text

①現在マルチアカウント管理をしている⽅🖐 8

Slide 9

Slide 9 text

②現在Control Towerを使っている⽅🖐 9

Slide 10

Slide 10 text

1. マルチアカウント管理が必要な理由

Slide 11

Slide 11 text

11 そもそもマルチアカウント管理とは？ ● マルチアカウント管理はAWSにおける統制⽅法の1つ ● 『特定の単位や基準でAWSアカウントを分けて運⽤する』こと

Slide 12

Slide 12 text

AWSアカウントの特性を上⼿く活⽤して、アジリティとガバナンスの両⽴を維持させる 12 なぜマルチアカウント管理が必要なのか？迅速な開発能⼒統制された管理

Slide 13

Slide 13 text

シングルアカウント運⽤でこのようなお悩みありませんか？ 13

Slide 14

Slide 14 text

● 意図せず本番環境のリソースを削除‧停⽌してしまう 14 IAM権限管理が難しい

Slide 15

Slide 15 text

● アカウント内でコスト分類するには「タグ(コスト配分タグ)」が必要 ● タグの設定を忘れると、想定通りに記録されない 15 請求分割が難しい

Slide 16

Slide 16 text

16 ● サービスクォータ※により、「新規リソースが作成できない」「API実⾏に失敗する」などの影響を受ける可能性があるサービス制限が回避できない ※サービスクォータ‧‧AWSのサービス毎に定められた制限

Slide 17

Slide 17 text

17 ● セキュリティ ○ IAM権限管理が難しい ● コスト最適化 ○ 請求分割が難しい ● 開発スピードの抑制 ○ サービスクォータの上限シングルアカウント運⽤のお悩み

Slide 18

Slide 18 text

18 ● セキュリティ ○ 完全なIAM権限分離を簡単に実現 ● コスト最適化 ○ どの環境がどれだけ使ったかを簡単に、厳密なコスト把握が可能 ● 開発スピードの促進 ○ 他アカウントのリソース影響を受けずに、開発を進められるマルチアカウント運⽤だと明確な境界が⽣まれる

Slide 19

Slide 19 text

19 【まとめ】1. マルチアカウント管理が必要な理由 ● マルチアカウント管理とは『特定の単位や基準でAWSアカウントを分けて運⽤する』こと ● AWSアカウントの特性から、マルチアカウント管理をやる必要が出てくる ● 以下をマルチアカウント管理で達成できる ○ セキュリティ：完全なIAM権限分離を簡単に実現 ○ コスト最適化：どの環境がどれだけ使ったかを簡単に、厳密なコスト把握が可能 ○ 開発スピードの促進：他アカウントのリソース影響を受けずに、開発を進められる

Slide 20

Slide 20 text

マルチアカウント運⽤ならではのお悩みも⽣まれる 20 とはいえ、、

Slide 21

Slide 21 text

21 マルチアカウント運⽤のお悩み ● アカウント管理とアクセス制御 ○ 複数アカウントへのログインと権限管理が煩雑になる ○ アカウント作成と設定に⼿間がかかる ● セキュリティ、コンプライアンス、ガバナンス ○ 全アカウントで統⼀したセキュリティ対策を維持するのが難しい ○ 複数アカウントのコンプライアンス状況を把握し監査するのが⼤変 ● コスト管理 ○ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる

Slide 22

Slide 22 text

22 マルチアカウント運⽤のお悩み ● アカウント管理とアクセス制御 ○ 複数アカウントへのログインと権限管理が煩雑になる ○ アカウント作成と設定に⼿間がかかる ● セキュリティ、コンプライアンス、ガバナンス ○ 全アカウントで統⼀したセキュリティ対策を維持するのが難しい ○ 複数アカウントのコンプライアンス状況を把握し監査するのが⼤変 ● コスト管理 ○ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなるこれらのお悩みを解決するのが

Slide 23

Slide 23 text

AWS Control Tower マルチアカウント環境のセットアップと統制を⾃動化するサービス 23 AWS Organizations 複数のAWSアカウントを⼀元管理 AWS OrganizationsとAWS Control Tower

Slide 24

Slide 24 text

AWS Control Tower マルチアカウント環境のセットアップと統制を⾃動化するサービス 24 AWS Organizations 複数のAWSアカウントを⼀元管理本セッション対象 AWS OrganizationsとAWS Control Tower

Slide 25

Slide 25 text

2. AWS Control Towerとは

Slide 26

Slide 26 text

26 AWS Control Towerとは AWS Control Tower ● マルチアカウント環境のセットアップと統制を⾃動化するサービス ○ AWSのベストプラクティスに基づいて構成したアカウントをセキュアかつスケーラブルに展開できる ● 数クリックで利⽤開始 ● 1~2時間程度で構築完了

Slide 27

Slide 27 text

27 AWS Control Towerの仕組み出典: AWS Control Towerを基本から理解する。具体的な活⽤法を交えて解説 | クラスメソッド ● AWS Organizations ○ Security OU ■ Log Archive アカウント (+ ログ集約⽤S3バケット) ■ Audit アカウント (+ Conﬁgアグリゲーター) ○ Sandbox OU ● CloudTrail ○ 組織のアカウント全体を対象に有効化 ● Account Factory(Service Catalog) ● IAM Identity Center ● SCPによる予防的ガードレール ● AWS Conﬁg Rulesによる発⾒的ガードなど

Slide 28

Slide 28 text

28 AWS Control Towerのメリット ● AWSセキュリティサービス群に対し、ベストプラクティスに則った設定を適⽤ ● 複数のAWSアカウントを統制するような基盤 (= ランディングゾーン )を簡単に構成してくれる → Control Tower が作成した統制基盤をベースに、負担少なくマルチアカウント管理をスタート可能に！出典: AWS Control Towerを基本から理解する。具体的な活⽤法を交えて解説 | クラスメソッド

Slide 29

Slide 29 text

29 （補⾜）ランディングゾーンとは？ ● 着陸帯（LZ）とは、軍事用語で航空機が着陸できる区域のこと

Slide 30

Slide 30 text

30 （補⾜）AWSにおけるランディングゾーンとは？ ● 安全にアカウントを追加・開始できる環境を構築するための設計、仕組み（つまり複数の AWSアカウントを統制するような基盤） ○ 新規アカウント払い出しと同時にセキュアな状態で安全にアカウントの利用が開始できる状態にできる ● ⾶⾏機 = アカウント ● 着陸 = アカウントを追加‧開始すること ● 着陸帯 = ランディングゾーン

Slide 31

Slide 31 text

31 【まとめ】2. AWS Control Towerとは ● マルチアカウント環境のセットアップと統制を⾃動化するサービス ● 様々なAWSセキュリティサービス群に対し、ベストプラクティスに則った設定を適⽤ ● セキュアなAWS環境を作り始めるためのスタートラインに最速でたどり着ける

Slide 32

Slide 32 text

3. AWS Control Towerで実現できること

Slide 33

Slide 33 text

33 AWS Control Towerで実現できること 1. ログ集約 2. コントロール適⽤ 3. ID ⼀元管理 4. AWS アカウント作成

Slide 34

Slide 34 text

34 AWS Control Towerで実現できること ①ログ集約 ②コントロール適⽤ ③ID ⼀元管理 ④AWS アカウント作成

Slide 35

Slide 35 text

①ログ集約 AWS操作ログの⾃動収集

Slide 36

Slide 36 text

36 AWS Control Towerで実現できること ①ログ集約

Slide 37

Slide 37 text

37 ● AWS操作ログとは、「誰が、いつ、何をしたのか」を記録するログ ● AWS CloudTrail‧AWS Conﬁgが該当するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本となる AWS操作ログの管理が重要 AWS CloudTrail 出典: AWS CloudTrail - [AWS Black Belt Online Seminar] AWS Conﬁg

Slide 38

Slide 38 text

38 アカウントごとに個別に設定しないといけない AWS Control Tower なし

Slide 39

Slide 39 text

39 Control Towerで⼀括設定 AWS Control Tower あり ● ログの⼀元管理と調査の集約が可能

Slide 40

Slide 40 text

②コントロール適⽤リスクのある操作の予防‧発⾒

Slide 41

Slide 41 text

41 AWS Control Towerで実現できること ②コントロール適⽤

Slide 42

Slide 42 text

42 ガードレールとは ● 利⽤者がセキュリティ上問題のある操作をしないよう検知‧防⽌する仕組み ● AWS Control Towerのコントロールと同義

Slide 43

Slide 43 text

43 操作前に事前承認が必要 AWS Control Tower なし ● 利⽤者の⼿が⽌まってしまい、迅速な開発ができない

Slide 44

Slide 44 text

44 リスクのある操作を事前に禁⽌‧通知 AWS Control Tower あり ● セキュリティリスクのある操作を禁⽌、またリスクへの早期対処を実現

Slide 45

Slide 45 text

45 コントロール動作の種類 ● 予防 ○ 利⽤者にさせてはいけない操作を禁⽌ ○ AWS OrganizationsのSCPで実装 ● 検出 ○ ポリシー違反やリソースの⾮準拠を検出 ○ AWS Conﬁgルールで実装、Security Hubと連携 ● プロアクティブ ○ プロビジョニング前にリソースをスキャンし、リソースがそのコントロールに準拠していることを確認 ○ CloudFormation Hooksで実装 SCP AWS Conﬁg Security Hub CloudFormation

Slide 46

Slide 46 text

46 コントロールガイダンスの種類 ● 必須 ○ ControlTowerを正常稼働させるために必要な禁⽌事項をSCPで定義したもの ○ デフォルトで有効化されており、無効にはできない ● 強く推奨 ○ マルチアカウントのベストプラクティスに基づく制限 ○ SCPの例:rootユーザでアクセスキーを作らない ○ ConﬁgRulesの例:EBSボリュームが暗号化されていること ● 選択的 ○ AWS エンタープライズ環境で⼀般的に利⽤されている制限事項 ○ SCPの例:MFAなしのS3バケット削除禁⽌ ○ ConﬁgRulesの例:MFAなしのIAMユーザアクセス禁⽌オプションのため、必要に応じて、有効化

Slide 47

Slide 47 text

Q. 2024年11⽉現在、AWS Control Towerで有効化できるコントロールの数は〇〇個 47 AWS Control Towerクイズ！

Slide 48

Slide 48 text

Q. 2024年11⽉現在、AWS Control Towerで有効化できるコントロールの数は〇〇個選択肢：A) 約300個 B) 約400個 C) 約500個 D) 約600個 48 AWS Control Towerクイズ！

Slide 49

Slide 49 text

Q. 2024年11⽉現在、AWS Control Towerで有効化できるコントロールの数は、およそいくつでしょうか？正解：C) 約500個 49 AWS Control Towerクイズ！必須 23個強く推奨 14個選択的 485個

Slide 50

Slide 50 text

③ID ⼀元管理複数AWSアカウントへのログインの切り替え

Slide 51

Slide 51 text

51 AWS Control Towerで実現できること ③ID ⼀元管理

Slide 52

Slide 52 text

52 アカウント数だけログイン処理が必要 AWS Control Tower なし

Slide 53

Slide 53 text

53 ログイン導線‧ユーザ管理の⼀本化 AWS Control Tower あり

Slide 54

Slide 54 text

④AWS アカウント作成新規AWSアカウントの⾃動セットアップ

Slide 55

Slide 55 text

55 AWS Control Towerで実現できること ④AWS アカウント作成

Slide 56

Slide 56 text

56 新規アカウントの⼿配‧環境セットアップが必要 AWS Control Tower なし ● AWSアカウント作成のため、連絡先 ‧⽀払い情報の設定など各種⼊⼒が必要 ● 利⽤者向けのログイン設定、操作ログ設定、ガードレール設定など‧‧

Slide 57

Slide 57 text

57 セットアップ済みの新規AWSアカウント発⾏が可能 AWS Control Tower あり ● 各種機能がはじめから設定済 ○ AWS Organizations ■ ガードレール ○ AWS Conﬁg ○ AWS CloudTrail ■ ログ集約 ○ AWS IAM Identity Center ■ シングルサイオンなど

Slide 58

Slide 58 text

58 【まとめ】3. AWS Control Towerで実現できること ● AWS Control Towerを使うことで以下機能を簡単に実装できる ● ログ集約 ○ AWS操作ログの⾃動収集 ● コントロール適⽤ ○ リスクのある操作の予防‧発⾒ ● ID ⼀元管理 ○ 複数AWSアカウントへのログインの切り替え ● AWS アカウント作成 ○ 新規AWSアカウントの⾃動セットアップ

Slide 59

Slide 59 text

4. まとめ

Slide 60

Slide 60 text

60 AWS Control Towerとは AWS Control Tower ● マルチアカウント環境のセットアップと統制を⾃動化するサービス ○ AWSのベストプラクティスに基づいて構成したアカウントをセキュアかつスケーラブルに展開できる ● 数クリックで利⽤開始 ● 1~2時間程度で構築完了再掲

Slide 61

Slide 61 text

61 AWS Control Towerで実現できること ①ログ集約 ②コントロール適⽤ ③ID ⼀元管理 ④AWS アカウント作成再掲

Slide 62

Slide 62 text

62 ● AWS Control Towerで実現できることを知っていただくこと ● マルチアカウント管理ってなんか難しそう‧‧という概念をなくしていただくことセッションのゴール再掲

Slide 63

Slide 63 text

63 AWS Control Towerの学習コンテンツ https://dev.classmethod.jp/articles/aws-control-tower-learning-resources/

Slide 64

Slide 64 text

64 AWS Control Towerの実践編 https://dev.classmethod.jp/articles/2024-secure-multiaccount-built-by-control-tower/ https://guidebook.classmethod.net/ ※ メンバーズIDでのログインが必要

Slide 65

Slide 65 text

No content