Slide 1

Slide 1 text

こんなに簡単! AWS マルチアカウント 寺⽥ 卓⽮ (Takuya Terada)

Slide 2

Slide 2 text

はじめに 2

Slide 3

Slide 3 text

この LT でお伝えすること、しないこと 3 ✅ お伝えすること ● AWS マルチアカウントのメリット / 利⽤例 ● AWS Organizations / アカウントのプロビジョニング (Terraform) ● AWS IAM Identity Center による SSO (Single Sign-On) ❌ お伝えしないこと ● マネジメントコンソールの具体的な設定⽅法 ● Terraform コード / 実⾏環境や実⾏⽅法

Slide 4

Slide 4 text

詳しく知りたい! 4 以下の記事を参照ください。設定 / コード / 解説あります。 AWS Organizations でマルチアカウント with Terraform https://zenn.dev/teradatky/articles/aws-organizations-multi-account-terraform-20240119 IAM Identity Center でマルチアカウントでも楽々ログイン! https://zenn.dev/teradatky/articles/iam-identity-center-multi-account-20240120

Slide 5

Slide 5 text

マルチアカウントのすすめ 5

Slide 6

Slide 6 text

マルチアカウントのすすめ 6 個⼈で必要?メリットは? ● AWS Organizations やマルチアカウント構成などが試せる ● 既存設定やリソースによるトラブル防⽌ ● ⽤途ごとの分離によりリソース⼀覧 / 利⽤率 / コスト等の⾒通し改善 ● 不要リソース消し忘れ防⽌によるコスト低減 想定ユースケース ● アカウントまたぎのワークロード検証 ● ワークショップ / ハンズオン / 執筆作業 ごと使い捨て環境作成

Slide 7

Slide 7 text

マルチアカウント構成例 7 ● 管理アカウント ● 本番アカウント ● 開発アカウント 新規アカウントは dev / prd OU 配下に追加していく

Slide 8

Slide 8 text

マルチアカウントでのログイン 8 IAM Identity Center を利⽤、ひとつの ID で 複数環境にログイン可能

Slide 9

Slide 9 text

新規 AWS アカウント アカウント作成⼿順 概要 9

Slide 10

Slide 10 text

アカウント作成⼿順 概要 10 Terraform コードに必要なアカウント情報を記載して Apply する

Slide 11

Slide 11 text

新規 AWS アカウント 作成例 11

Slide 12

Slide 12 text

作成例 12

Slide 13

Slide 13 text

作成例 13 ℹ メールエイリアスが便利!

Slide 14

Slide 14 text

作成例 14 ℹ Terraform Cloud を利⽤

Slide 15

Slide 15 text

作成例 15

Slide 16

Slide 16 text

作成例 16

Slide 17

Slide 17 text

作成例 17 マージすると AWS アカウントが作成され、メールが届く

Slide 18

Slide 18 text

作成例 マネジメントコンソールの場合 18 AWS Organiztions の画⾯からクリックするだけ!

Slide 19

Slide 19 text

作成例 マネジメントコンソールの場合 19

Slide 20

Slide 20 text

作成後の対応 20 1. ブラウザで AWS にアクセスし「コンソールにサインイン」をクリック 2. 「ルートユーザー」を選択し、作成したアカウントのメールアドレスを⼊⼒し 「次へ」をクリック 3. 「パスワードをお忘れですか?」を選択し、画像中の⽂字を回答し、「Eメールを 送信する」をクリック 4. 受領したメールからパスワードをリセット 5. リセットしたパスワードでルートユーザーとしてログインできることを確認

Slide 21

Slide 21 text

閑話休題 21

Slide 22

Slide 22 text

AWS Control Tower を使ってもいいのでは? 22 もちろん可能です。ただし以下理由より、個⼈の AWS 環境では採⽤しませんでした。 ● ランディングゾーンやカスタムコントロールの設定が Too Much ● ⾃動作成される Audit / Log Archive アカウントが不要 ● 素のアカウント / 組織を Terraform 管理したかった ● Control Tower 有効化のために、既存の AWS Config / CloudTrail を Organizations から無効化する必要がある ● ⼀度有効化すると簡単には廃⽌できなさそう (クラスメソッドさんやアンドパッドさんのブログを参照ください) Control Towerを廃⽌して東京リージョンで再有効化してみた ‒ 廃⽌編 https://dev.classmethod.jp/articles/decommission-control-tower/ AWS Control Tower 導⼊のために取り組んだこと https://tech.andpad.co.jp/entry/2022/11/24/100000

Slide 23

Slide 23 text

IAM Identity Center 設定概要 23

Slide 24

Slide 24 text

IAM Identity Center 設定概要 24 SSO を利⽤するために、以下を設定 1. IAM Identity Center を管理アカウントで有効化 2. IAM Identity Center にユーザーを作成 3. IAM Identity Center にグループを作成 4. グループにユーザーを追加 5. 許可セットを作成 6. AWS アカウントにグループと許可セットを割り当て 7. インスタンス名‧アクセスポータルの URL など設定を編集(オプション)

Slide 25

Slide 25 text

IAM Identity Center 設定概要 25

Slide 26

Slide 26 text

IAM Identity Center 設定概要 26

Slide 27

Slide 27 text

IAM Identity Center 設定概要 27

Slide 28

Slide 28 text

IAM Identity Center 設定概要 28

Slide 29

Slide 29 text

IAM Identity Center による SSO 29

Slide 30

Slide 30 text

ログイン例 30

Slide 31

Slide 31 text

ログイン例 31

Slide 32

Slide 32 text

ログイン例 32

Slide 33

Slide 33 text

AWS マルチアカウント まとめ 33

Slide 34

Slide 34 text

マルチアカウントのすすめ 34 💡 伝えたいこと Azure のリソースグループや Google Cloud のプロジェクトと⽐べると、AWS のマルチアカウントはハードルが⾼いように思いますが、やってみると意外 とすんなり実施可能です。 AWS ではあらかじめアカウントを分割しておかなかったために⼤変なことに なっている案件が散⾒されます。まずマルチアカウントという戦略と導⼊の ⼿軽さが伝われば幸いです。