Tweet
Tweet

Slide 1

Slide 1 text

個人のAWSアカウントをマルチ運用 してみた KMiura(@k_miura_io)

Slide 2

Slide 2 text

初めに前置き 今回の話は個人のアカウントをマル チアカウント運用することを推奨する わけではありません アクセス権限・請求周りを理解した上 で必要になった時に試すことをおすす めします

Slide 3

Slide 3 text

自己紹介 • 三浦 耕生(こうき) • オフィスDXのSaaSのバックエンド エンジニア • JAWS UG名古屋運営 • AWS Community Builder for Containers @k_miura_io koki.miura05

Slide 4

Slide 4 text

0x1D

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

AWSアカウント用意したばかり(学生時代) • 特にこれと言って知識も無いけど、ハンズオンで必要に迫られたので作成 • 開設して1年ぐらいこれと言ってAWSを触ってなかったので無料枠を無駄にした • もちろんIAMを理解してるわけもなく作業はルートアカウント

Slide 7

Slide 7 text

社会人になってから(1社目) • 会社はスイッチロールでアカウント権限を切り替えてた • AWSの資格試験を取得するために会社でAWSアカウントが支給されたのでそこで試した のをきっかけに再び個人のAWSアカウントで遊ぶようになる(なお未だに無免) • 元エバンジェリスト主催のあのイベントを参加するようになってAWSのサービスを色々知 るようになった • 個人開発のサービスをAWSで運用するようになる • 個人のアカウントは未だにルートアカウントで作業してた

Slide 8

Slide 8 text

社会人になってから(2社目) • AWSをまともに使ってない(学生任せ)環境だったのでまずはアカウントの整理を始める • 親会社からのアドバイスを貰い、まずはマルチアカウント運用から始める • 前職のアカウント運用をヒントにスイッチロールの設定を3日ぐらいかけてやってた • IAMを完全理解した • 個人のアカウントは流石にIAMユーザーで作業するようになり、JAWSをきっかけにAWS アクセスポータルで運用するようになる

Slide 9

Slide 9 text

個人のアカウント運用の変遷 ルートアカウント 学生時代 1社目 2社目 IAMアカウント AWSアクセス ポータル 2社目退職

Slide 10

Slide 10 text

2社目の有給消化中 • JAWS UG名古屋で学生コミュニティとコラボをすることになった • 学生的にはAWSアカウントを用意するのがなんか怖いという意見が出た • ならばこっちでアカウントを用意しよう!(Community Builderのクーポン余ってるしw)

Slide 11

Slide 11 text

このブログを参考にアカウントを作成 https://www.yamamanx.com/organizations- account-python-ou-waiter/

Slide 12

Slide 12 text

あっさり作れた • 捨てアドをアカウントの数分用意して、共通の メアドに転送されるようにした • ハンズオンの時に貸し出すだけなのでアカウ ントにはルート権限を付与 • 現在はすべて利用停止にしているのでステー タスが中止済み

Slide 13

Slide 13 text

ざっくりここで作られるアカウント • AWS Organizationsでメールアドレスを指定してアカウントを新規作成 • 通常は請求情報を登録する必要があるが、しなくてもAWSアカウントを開設できる • 請求は作成した時に使用した親アカウント https://aws.amazon.com/jp/organizations/

Slide 14

Slide 14 text

作成してて思った これ、検証用にサブ 垢立てるときに使え そうじゃね?

Slide 15

Slide 15 text

サブアカウントを立てるモチベーション • 何かしらハンズオンの講師・受講する時に普段使いしているメインアカウントで作業を進め てうっかり関係ないリソースを操作するのが怖い • 今まで別リージョンで立ててたけど消し忘れたときの請求や手順を自分で変えながらやる ので面倒… • ハンズオンの手順を再現する時に気軽に作って壊せるアカウントが欲しい

Slide 16

Slide 16 text

というわけでsandbox垢爆誕

Slide 17

Slide 17 text

実際にsandboxアカウントを使用した事例 https://www.youtube.com/live/8Po3KP8JzZo

Slide 18

Slide 18 text

新たな歴史が動く IAMアカウント AWSアクセス ポータル 2社目退職 マルチアカウント運用

Slide 19

Slide 19 text

まだ課題があった いちいちログイン し直すの面倒 またあのスイッチロール 設定するの面倒

Slide 20

Slide 20 text

祝・転職 • AWSのアカウントをもらいログインするとそこ には大量の環境用アカウントが! • AWSアクセスポータルで複数のアカウントに 接続できるようになっていた ※画像はイメージです

Slide 21

Slide 21 text

これだ!

Slide 22

Slide 22 text

試してみたら設定がめちゃくちゃ楽 • IAM Identity Centerで許可セットにポリシーをアタッチしてアクセスできるようにしたいア カウントを追加するだけ • 最初からOrganizationsでアカウントを用意してたので特にマネコンポチポチするだけの 簡単な作業

Slide 23

Slide 23 text

マルチアカウント運用完成

Slide 24

Slide 24 text

やっと時代に追いついた(はず) IAMアカウント AWSアクセス ポータル 2社目退職 マルチアカウント運用 (Organizationで用意 しただけ) 現職 アクセスポータルで マルチアカウント運用

Slide 25

Slide 25 text

まとめ • マルチアカウントを運用でAWSの検証が安全にできるようになった • IAM Identity CenterとOrganizationsを駆使することでスイッチロールよりも簡単にマ ルチアカウント運用を設定できる • AWSアクセスポータルは万能

Slide 26

Slide 26 text

宣伝 https://bit.ly/4aRdAOn

Slide 27

Slide 27 text

宣伝その2 https://bit.ly/3QvlyVv

Slide 28

Slide 28 text

宣伝その3 https://bit.ly/44pwb1w

Slide 29

Slide 29 text

END