Slide 1

Slide 1 text

社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話

Slide 2

Slide 2 text

● あきた(@yoyoyo_pg) ● 経歴 ○ Java開発2年 -> AWS歴2年 ○ SREとしてインフラ構築・運用 ● 好きなAWSサービス ○ AWS CDK ○ AWS Control Tower 自己紹介 2

Slide 3

Slide 3 text

3 突然ですが、以下の悩みはありませんか? ● AWSアカウントの利用者目線 ○ 初めて触る AWS サービスの PoC やハンズオンを実 施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ○ 複数アカウントのスイッチロールが面倒 ● AWSアカウントの管理者目線 ○ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい

Slide 4

Slide 4 text

4 突然ですが、以下の悩みはありませんか? ● AWSアカウントの利用者目線 ○ 初めて触る AWS サービスの PoC やハンズオンを実 施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ○ 複数アカウントのスイッチロールが面倒 ● AWSアカウントの管理者目線 ○ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能

Slide 5

Slide 5 text

5 突然ですが、以下の悩みはありませんか? ● AWSアカウントの利用者目線 ○ 初めて触る AWS サービスの PoC やハンズオンを実 施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ○ 複数アカウントのスイッチロールが面倒 ● AWSアカウントの管理者目線 ○ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能

Slide 6

Slide 6 text

6 突然ですが、以下の悩みはありませんか? ● AWSアカウントの利用者目線 ○ 初めて触る AWS サービスの PoC やハンズオンを実 施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ○ 複数アカウントのスイッチロールが面倒 ● AWSアカウントの管理者目線 ○ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能

Slide 7

Slide 7 text

7 🤔…?

Slide 8

Slide 8 text

8 順に解説していきます

Slide 9

Slide 9 text

9 改めての目次 ● AWS Control Towerの紹介 ○ 統合サービスの紹介 ● Control Tower の特徴 ○ コントロール ○ Account Factory ○ ログやユーザ管理の一元化

Slide 10

Slide 10 text

10 AWS Control Tower とは ● AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 ● AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している ● これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している

Slide 11

Slide 11 text

11 統合サービスの紹介(一部) ● AWS Organizations ○ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能 ● AWS Service Catalog ○ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 ● AWS IAM Identity Center ○ ユーザのアクセス管理の一元化が可能

Slide 12

Slide 12 text

12 コントロール ● Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール ● 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応 ● Control Tower に関する物は必須コントロールとして デフォルトで有効化されている

Slide 13

Slide 13 text

13 各コントロールについて ● 予防管理 ○ ポリシー違反に繋がるアクションを禁止する ○ サービスコントロールポリシー(SCP)により実現 ● 検出管理 ○ ポリシーに非準拠のリソースを検出する ○ AWS Config ルールにより実現 ● プロアクティブ管理 ○ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ○ AWS CloudFormation フックにより実現

Slide 14

Slide 14 text

14 Account Factory ● Control Tower から新規 AWS アカウントを発行する仕 組み ● Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に ● Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に

Slide 15

Slide 15 text

15 ログやユーザ管理の一元化 ● ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる ● これにより、ユーザは各アカウントに対するシングル サインオン(SSO)が可能に ● ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)

Slide 16

Slide 16 text

16 まとめ ● 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います ● とはいえ、マルチアカウント運用に関する AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります