Slide 1

Slide 1 text

AWS Organizations 新機能!マルチパーティ承認の紹介 2025.7.2 クラスメソッド クラウド事業本部 yhana

Slide 2

Slide 2 text

発表の流れ 2 ⚫ AWS Organizations のマルチパーティ承認とは ⚫ AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ

Slide 3

Slide 3 text

AWS Organizations のマルチパーティ承認とは

Slide 4

Slide 4 text

マルチパーティ承認(Multi-party Approval)とは 4 複数のメンバーによる承認プロセスを提供する仕組み 例)3 名のうち、2 名の承認により特定のアクションを許可

Slide 5

Slide 5 text

マルチパーティ承認(Multi-party Approval)とは 5 AWS IAM Identity Center ユーザーを用いてチームを作成して、最低限必要な承認を定義 チームのメンバーがアクセスできる「マルチパーティ承認ポータル」サイトが提供 マルチパーティ承認チームの作成 + 最低限必要な承認数の定義 承認は専用のポータルサイトで実施

Slide 6

Slide 6 text

マルチパーティ承認がサポートする操作 6 マルチパーティ承認機能は他サービスの特定のオペレーションと組み合わせて利用され、 2025年7月2日時点で「AWS Backup の論理エアギャップボールトの操作」のサポートのみ 参照元:What is Multi-party approval? - Multi-party approval

Slide 7

Slide 7 text

論理エアギャップボールト(Logically air-gapped vault)とは 7 論理エアギャップボールト(Logically air-gapped vault)の特徴 ⚫ ボールトロック(コンプライアンスモード)が自動的に適用 ⚫ 暗号化キーを AWS が管理 ⚫ 標準のボールトからのコピー先として利用 ⚫ RAM で他のアカウントに共有可能 コピー

Slide 8

Slide 8 text

AWS Backup のマルチパーティ承認 8 AWS Backup のマルチパーティ承認を利用して他の AWS アカウントで復元する場合の例 標準 ボールト のみ 論理エア ギャップ ボールト + マルチ パーティ 承認 ①承認 ②復元用 ボールト作成 ③アクセス

Slide 9

Slide 9 text

AWS Backup のマルチパーティ承認 9 ただし、これまでも AWS Resource Access Manager (RAM) による共有は可能 論理エア ギャップ ボールト + マルチ パーティ 承認 論理エア ギャップ ボールト + RAM

Slide 10

Slide 10 text

マルチパーティ承認(Multi-party Approval)の活用シーン 10 マルチパーティ承認が適している場合の例 ⚫ 「Never Trust, Always Verify.」というゼロトラスト原則に従う場合 ⚫ 分散型の意思決定が必要な場合 ⚫ 意図しない操作から保護する必要 ⚫ 監査やコンプライアンスの理由から承認とレビューが必要な場合 マルチパーティ承認が最良の選択肢ではない場合の例 ⚫ AWS Organizations, AWS IAM Identity Center が利用できない場合 ⚫ 即時実行が必要な場合 ⚫ 承認ワークフローの管理稼働がリスクに見合わない場合 参照元:What is Multi-party approval? - Multi-party approval

Slide 11

Slide 11 text

【参考】標準ボールトと論理エアギャップボールトの比較表 11 標準ボールトと論理エアギャップボールトとの違いはユーザーガイドに比較表が掲載されている 参照元:Logically air-gapped vault - AWS Backup

Slide 12

Slide 12 text

【参考】承認履歴 12 マルチパーティ承認ポータルで確認できる承認履歴では、オペレーション毎の履歴を閲覧でき、 リクエストの最終的な結果と自身の承認履歴などを確認可能

Slide 13

Slide 13 text

AWS Backup 論理エアギャップボールト操作の マルチパーティ承認設定の流れ

Slide 14

Slide 14 text

マルチパーティ承認による AWS Backup 利用の流れ 14 設定の流れ ① 管理アカウントの AWS Organizations で、マルチパーティ承認のチームを作成 ② 管理アカウントの RAM で、マルチパーティ承認のチームを共有 ③ 管理アカウントの AWS Backup で、複数当事者による承認の統合をオン ④ ワークロードアカウントの AWS Backup で、論理エアギャップボールトを作成 ⑤ ワークロードアカウントの AWS Backup で、論理エアギャップボールトとマルチパーティ承認のチームを 関連付け 復元の流れ ⑥ 復旧アカウントの AWS Backup で、マルチパーティ承認のチームに復元アクセスバックアップボールトの 作成をリクエスト ⑦ マルチパーティ承認のチームがリクエストを承認 ⑧ 復旧アカウントの AWS Backup で、復元アクセスバックアップボールトから復元

Slide 15

Slide 15 text

AWS Backup 操作のマルチパーティ承認利用の設定イメージ図 15

Slide 16

Slide 16 text

① マルチパーティ承認のチームを作成 16

Slide 17

Slide 17 text

① マルチパーティ承認のチームを作成 17 AWS IAM Identity Center のユーザーを承認者として指定し、最小限必要な承認人数を設定する

Slide 18

Slide 18 text

① マルチパーティ承認のチームを作成 18 承認者として指定されたユーザーは、マルチパーティ承認ポータルにアクセスして招待を承諾 マルチパーティ承認のリソースはバージニア北部に自動作成 AWS IAM Identity Center で利用する AWS Access Portal とは異なるポータル

Slide 19

Slide 19 text

② マルチパーティ承認のチームを共有 19

Slide 20

Slide 20 text

② マルチパーティ承認のチームを共有 20 マルチパーティ承認のリソースがあるバージニア北部リージョンの Resource Access Manager (RAM) で、 「Multi-Party Approval Team」を指定してリソースを共有

Slide 21

Slide 21 text

② マルチパーティ承認のチームを共有 21 論理エアギャップボールトのあるアカウントと復旧アカウントに対して共有 下図は AWS Organizations 組織内の共有例だが、組織外のアカウントにも共有可能

Slide 22

Slide 22 text

③ AWS Backup の複数当事者による承認の統合をオン 22

Slide 23

Slide 23 text

③ AWS Backup の複数当事者による承認の統合をオン 23 管理アカウントの AWS Backup の「設定」において、 「クロスアカウント管理」の「複数当事者による承認の統合」設定をオンにする

Slide 24

Slide 24 text

④ AWS Backup の論理エアギャップボールトを作成 24

Slide 25

Slide 25 text

④ AWS Backup の論理エアギャップボールトを作成 25 論理エアギャップボールトを作成して、標準ボールトのバックアップルールのコピー先として指定 論理エアギャップボールトを作成 標準ボールト内のバックアップルールのコピー先として 論理エアギャップボールトを指定

Slide 26

Slide 26 text

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 26

Slide 27

Slide 27 text

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 27 作成した論理エアギャップボールトにおいて、「承認チームを割り当て」からマルチパーティ承認 チームを関連付ける。RAM で共有されているチームを選択できる

Slide 28

Slide 28 text

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 28 【参考情報】関連付けたマルチパーティ承認チームを変更・削除するときもチームの承認が必要

Slide 29

Slide 29 text

29 ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認

Slide 30

Slide 30 text

⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 30 バックアップから復元したいアカウントの AWS Backup において、「ボールトアクセスをリクエスト」 で論理エアギャップボールトの ARN を指定して承認依頼をリクエスト

Slide 31

Slide 31 text

⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 31 マルチパーティ承認チームのメンバーは、リクエストを確認して「承認」か「拒否」を判断 事前定義した必要最小数の承認があれば、復元できるボールトがアクティブ化 マルチパーティ承認ポータルのリクエスト確認画面 最低限必要の承認により復元可能状態に 承認後

Slide 32

Slide 32 text

⑧ 復元アクセスバックアップボールトから復元 32

Slide 33

Slide 33 text

⑧ 復元アクセスバックアップボールトから復元 33 「複数当事者の承認により保管後にアクセス可能」タブのボールドにおいて、復旧ポイントを指 定して「復元」

Slide 34

Slide 34 text

⑧ 復元アクセスバックアップボールトから復元 34 【参考情報】復元するときに EBS の暗号化を有効化していない場合は復元が失敗しました KMS キーを作成して EBS 暗号化のキーとして指定することで復元できました

Slide 35

Slide 35 text

さいごに改めて、 AWS Organizations のマルチパーティ承認について

Slide 36

Slide 36 text

マルチパーティ承認(Multi-party Approval)について 36 ⚫ 分散型の承認プロセスを提供する機能 ⚫ 現在のサポートは AWS Backup 論理エアギャップボールトの操作のみサポート ⚫ 月次レポート機能も提供 ⚫ 今後の統合サービスの拡充に期待! 月次チームレポート 図の引用元:Team health for Multi-party approval - Multi-party approval

Slide 37

Slide 37 text

No content