Slide 1
Slide 1 text
AWS Control Towerでセキュアでスケーラブルな
AWS環境を作るとき 困るポイントn選
1
Slide 2
Slide 2 text
2
自己紹介
● 名前
○ 芦沢広昭 / あしざわひろあき
● 所属
○ クラスメソッド株式会社
○ AWS事業本部コンサルティング部
● 普段の業務
○ AWS技術支援
(設計構築 / コンサルティング)
Slide 3
Slide 3 text
3
アジェンダ
● 前置き 【2〜3分】
● AWS Control TowerでセキュアでスケーラブルなAWS環境
を作るとき 困るポイント n選 【時間の余す限り】
● まとめ
Slide 4
Slide 4 text
4
話すこと
● AWS Control Towerを設計・構築する上でこれまで
出会ったハマりどころの紹介 (n連発!)
○ ケースごとに簡易なアーキテクチャ図 1枚
○ 回避方法や代替の実装例もフォロー
Slide 5
Slide 5 text
5
話さないこと
● AWSマルチアカウント運用に関する基礎的なこと
● 各AWSサービスの詳細な説明
● 具体的な実装方法
Slide 6
Slide 6 text
6
挨拶です
みなさん、AWSのマルチアカウント運用
していますか???
Slide 7
Slide 7 text
7
AWS Control Tower
AWSのベストプラクティスに基づいた
セキュアでスケーラブルなマルチアカウント環境を
自動でセットアップできるサービス
Slide 8
Slide 8 text
8
AWS Control Towerで実装されるアーキテクチャ
Slide 9
Slide 9 text
9
私のイメージ
=
Slide 10
Slide 10 text
10
強い子に育てたい
→
Slide 11
Slide 11 text
11
では、どう育てていったらいいのか?
→
Slide 12
Slide 12 text
12
マルチアカウントなAWSの育成方針はいっぱい
Slide 13
Slide 13 text
13
ただ... こんなケースで困ってしまいがち
Slide 14
Slide 14 text
14
主題の「困るポイント」とは
複数の機能を同じ環境に設定したときに
機能同士が「喧嘩」して
期待した結果とならないこと
Slide 15
Slide 15 text
15
それでは...
ここから本題がスタート!
Slide 16
Slide 16 text
16
組織のCloudTrailとメンバー側でのログ利用
Slide 17
Slide 17 text
17
オプトインリージョンとガードレール
Slide 18
Slide 18 text
18
Identity Centerの委任管理者とアクセス許可セット
Slide 19
Slide 19 text
19
Identity Centerの外部IDソース指定
Slide 20
Slide 20 text
20
リージョン拒否SCP と Org統合Security Hub
Slide 21
Slide 21 text
21
Org統合したDetectiveとメンバーアカウント
Slide 22
Slide 22 text
22
その他紹介できなかった困りごと
● IAM Identity Centerの許可セットの管理と最小権限の
原則の徹底
● 検出のコントロールは Security Hub を使うべきか Control
Tower 管理のセキュリティ基準を使うべきか?
など...
Slide 23
Slide 23 text
23
まとめ
AWSマルチアカウント環境を育てていくと
想定していない問題も起きうる!
うまいことやってこう!
(答え) n = 6
Slide 24
Slide 24 text
24