20230215_JAWS-UG_asakai_ControlTower

by h-ashisan

Slide 1

Slide 1 text

AWSのマルチアカウント戦略と  AWS Control Tower  クラスメソッド株式会社芦沢広昭（あしさん）  1

Slide 2

Slide 2 text

2 芦沢広昭 (あしざわひろあき) /@ashi_ssan ● 所属：クラスメソッド株式会社 ● 在住：東京 ● 業務：AWS設計構築・コンサルティング ● 好きなAWSサービス：AWS Security Hub 自己紹介

Slide 3

Slide 3 text

3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control Towerの機能およびアップデート紹介

Slide 4

Slide 4 text

4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順

Slide 5

Slide 5 text

5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ

Slide 6

Slide 6 text

6 1. AWSのマルチアカウント戦略について

Slide 7

Slide 7 text

7 AWS環境の『分離』どうやっていますか？

Slide 8

Slide 8 text

8 大きく分けると... シングルアカウント vs マルチアカウント

Slide 9

Slide 9 text

9 結局どっちがいいの？

Slide 10

Slide 10 text

10 結論 From AWS 参考リンク：https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

Slide 11

Slide 11 text

11 なぜそう言い切れるの？ - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限（クオータ）を環境毎に分離できない - 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、マルチアカウントアーキテクチャが推奨されている

Slide 12

Slide 12 text

12 マルチアカウント運用、開始シングルアカウントの辛みは解消！！！！完全解決！！！

Slide 13

Slide 13 text

13 しかし、運用していくにつれて... あれ、結局辛くないか？？？

Slide 14

Slide 14 text

14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題 - 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .

Slide 15

Slide 15 text

15 AWS Organizationsとは？マルチアカウントの一元管理、アカウントの自動作成、一括請求、AWSの他サービスとの統合など多くの機能でマルチアカウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する

Slide 16

Slide 16 text

16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 - ガードレール（SCP）によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center（旧 AWS Single Sigh-On）によりAWSアカウントへのシングルサインオンを実装 - etc. . .

Slide 17

Slide 17 text

17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 - ガードレール（SCP）によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center（旧 AWS Single Sigh-On）によりAWSアカウントへのシングルサインオンを実装 →　解決できそうなことはわかった！　だけど...

Slide 18

Slide 18 text

18 残っている大きな問題辛みを解消する各サービスをどのように設計・実装すれば良い？

Slide 19

Slide 19 text

19 解決策の1つ

Slide 20

Slide 20 text

20 「マルチアカウント戦略」がよくわかるブログ参考リンク：https://dev.classmethod.jp/articles/why-aws-multi-accounts/

Slide 21

Slide 21 text

21 2. AWS Control Towerとは？

Slide 22

Slide 22 text

22 AWS Control Towerとは？事前の学習コストなしで、ベストプラクティスに基づくマルチアカウント環境を数クリック・短時間で構築できるマネージドサービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける！

Slide 23

Slide 23 text

23 Control Towerが構築するAWS環境（構成図）参考リンク：https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html

Slide 24

Slide 24 text

24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory

Slide 25

Slide 25 text

25 ガードレール？

Slide 26

Slide 26 text

26 ガードレール・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できないように制限(=予防)できるガードレール・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した場合に検知(=発見)できるガードレール → Control Tower独自のセキュリティ基準に基づいた　　リソースの集まり（プリセット）が簡単に利用できる

Slide 27

Slide 27 text

27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard（ hooks）で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニングを抑止できるガードレール - 参考ブログ： - [アップデート]非準拠リソースのプロビジョニングを抑止できる！AWS Control Towerでプロアクティブなガードレールが利用可能になりました #reinvent 🌟re:Invent 2022アップデート

Slide 28

Slide 28 text

28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control Towerカスタマイズソリューション（CfCT） - Account Factory For Terraform（AFT） - Account Factory Customization（AFC）

Slide 29

Slide 29 text

29 Account Factoryのカスタマイズ（CfCT）・Control Towerカスタマイズソリューション（CfCT） - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationスタックおよびSCPを展開できるようにする仕組み参考リンク：https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

Slide 30

Slide 30 text

30 Account Factoryのカスタマイズ（AFT）・Account Factory For Terraform（AFT） - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC) で実行できるようになる仕組み参考リンク：https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/

Slide 31

Slide 31 text

31 Account Factoryのカスタマイズ（AFC）・Account Factory Customization（AFC） - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい - デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート

Slide 32

Slide 32 text

32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 - Active Directory、Okta、OneLoginなど、オンプレミス環境で利用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある

Slide 33

Slide 33 text

33 その他、追加でやるべきこと（参考ブログ）参考リンク：https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/

Slide 34

Slide 34 text

34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティス - Control Towerによって運用のスタートラインに短時間で到達できる - Control Towerは最低限の設定であり追加の設定は必須