個人検証アカウントの管理どんな感じでやってますか_JAWSUGランチ共有会発表資料

by Ryoma Fujiwara

Slide 1

Slide 1 text

©MNTSQ, Ltd. 2024/1/30 個人検証アカウントの管理、どんな感じでやってますか？ @ JAWS-UG東京ランチ共有会 MNTSQ株式会社藤原涼馬

Slide 2

Slide 2 text

©MNTSQ, Ltd. 2 自己紹介藤原涼馬 2023.11 〜 MNTSQ株式会社 SRE 好きなAWSサービス　Amazon S3 　Amazon ECS

Slide 3

Slide 3 text

©MNTSQ, Ltd. 3 AWSの個人検証アカウントの管理どうしてますか？

Slide 4

Slide 4 text

©MNTSQ, Ltd. 4 AWSの個人検証アカウントの管理どうしてますか？事例を紹介

Slide 5

Slide 5 text

©MNTSQ, Ltd. 5 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには 3. アカウントの中身は？

Slide 6

Slide 6 text

©MNTSQ, Ltd. 6 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには 3. アカウントの中身は？

Slide 7

Slide 7 text

©MNTSQ, Ltd. 7 個人利用であってもマルチアカウント運用が望ましい (個人の意見です) 1. アカウント単位でしか設定できないものがある 2. そもそもマルチアカウントじゃないと検証できないものもある 3. 消し忘れリソースによる微課金マルチアカウント or シングルアカウント

Slide 8

Slide 8 text

©MNTSQ, Ltd. 8 アカウント単位でしか設定できないものがある場合は、比較検証のために複数アカウント必要になります 1.アカウント単位でしか設定できないものがある

Slide 9

Slide 9 text

©MNTSQ, Ltd. 9 アカウント単位でしか設定できないものがある場合は、比較検証のために複数アカウント必要になります e.g. Amazon S3のアカウント単位でのパブリックアクセスブロック 1.アカウント単位でしか設定できないものがある

Slide 10

Slide 10 text

©MNTSQ, Ltd. 10 マルチアカウントでないと検証できないものがある 1. 各種リソースのリソースポリシーを使ったクロスアカウントアクセス検証 2. マルチアカウントでないと検証できないものがある

Slide 11

Slide 11 text

©MNTSQ, Ltd. 11 マルチアカウントでないと検証できないものがある 1. 各種リソースのリソースポリシーを使ったクロスアカウントアクセス検証 2. AWS Organization, IAM Identity Center (AWS Control Towerなども) 2. マルチアカウントでないと検証できないものがある

Slide 12

Slide 12 text

©MNTSQ, Ltd. 12 長くアカウントを使っていると微妙に消し忘れたリソース起因で料金が発生。いわゆるチリツモ 3. 消し忘れリソースによる微課金

Slide 13

Slide 13 text

©MNTSQ, Ltd. 13 長くアカウントを使っていると微妙に消し忘れたリソース起因で料金が発生。いわゆるチリツモ 3. 消し忘れリソースによる微課金

Slide 14

Slide 14 text

©MNTSQ, Ltd. 14 長くアカウントを使っていると微妙に消し忘れたリソース起因で料金が発生。いわゆるチリツモ 3. 消し忘れリソースによる微課金乱暴ですがアカウントごと片付けましょう

Slide 15

Slide 15 text

©MNTSQ, Ltd. 15 マルチアカウントで運用しましょう結論

Slide 16

Slide 16 text

©MNTSQ, Ltd. 16 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには 3. アカウントの中身は？

Slide 17

Slide 17 text

©MNTSQ, Ltd. 17 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

Slide 18

Slide 18 text

©MNTSQ, Ltd. 18 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

Slide 19

Slide 19 text

©MNTSQ, Ltd. 19 rootアカウント用メールアドレスには、 Google Workspaceで別名アドレスを利用しています aws+${用途}@example.com rootアカウント用メールアドレス

Slide 20

Slide 20 text

©MNTSQ, Ltd. 20 rootアカウント用メールアドレスには、 Google Workspaceで別名アドレスを利用しています aws+${用途}@example.com rootアカウント用メールアドレス rootアカウント用メールアドレスがこれで確保できました

Slide 21

Slide 21 text

©MNTSQ, Ltd. 21 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

Slide 22

Slide 22 text

©MNTSQ, Ltd. 22 1. 一括請求 2. アカウント作成の容易化 3. AWS IAM Identity Center AWS Organizaitions

Slide 23

Slide 23 text

©MNTSQ, Ltd. 23 複数アカウントの請求をまとめて支払う一括請求

Slide 24

Slide 24 text

©MNTSQ, Ltd. 24 複数アカウントの請求をまとめて支払う一括請求 https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/consolidated-billing.html

Slide 25

Slide 25 text

©MNTSQ, Ltd. 25 AWS Organizationsを使うことで... ● 組織ルートアカウントから子アカウントをどんどん作れる ● AWS OrganizationのAPIを使って大量にアカウントを作ることも可能 ○ Terraform などを利用して作ることもできるアカウント作成の容易化 https://speakerdeck.com/fufuhu/aws-organizationstoiam-identity-center-terraformwolian-xi-sitaquan-xian-guan-li

Slide 26

Slide 26 text

©MNTSQ, Ltd. 26 AWS Organizationは個人にとっても必須 AWS Organization利用についての結論

Slide 27

Slide 27 text

Slide 28

Slide 28 text

©MNTSQ, Ltd. 28 MFAのOTP管理地獄にならないようにするために必須 IAM Identity Center こんなに管理できないアカウント1の OTPですアカウント2の OTPですアカウント32の OTPですどのアカウントのものかもはやわからないOTPです IAM Identity Centerなしの場合 IAM Identity Centerありの場合 1つなら頑張れる

Slide 29

Slide 29 text

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

©MNTSQ, Ltd. 35 ● 個人であってもマルチアカウントで運用しましょう ● AWS Organizationで一括請求を活用しましょう ● AWS IAM Identity CenterでID/PASS+MFAの手間を下げつつ、セキュアに使いましょう ● よく使う構成はテンプレートにしておいて迅速に立ち上げられるようにしましょうまとめ

Slide 36

Slide 36 text

Slide 37

Slide 37 text

Slide 38

Slide 38 text

No content