AWS Control Tower に学ぶ！ IAM Identity Center 権限設計の第一歩 / IAM Identity Center with Control Tower

by Yuta Otani

Slide 1

Slide 1 text

AWS Control Tower に学ぶ！ IAM Identity Center 権限設計の第一歩 2025年10月11日 JAWS FESTA 2025 in 金沢 BABY JOB株式会社大谷優多

Slide 2

Slide 2 text

大谷優多（Otani Yuta) 自己紹介氏名所属 BABY JOB株式会社クラウドインフラの管理やAIツールの整備をしています経歴 ISP → 製造業 → 現職（2024/11 ~)　　 : : : x 2 x 2 x 2 2

Slide 3

Slide 3 text

紹介内容 IAM Identity Center の基本運用規模や背景 AWS Control Tower が展開する IAM Idenity Center 構成 IAM Identity Center 構成の改善 3

Slide 4

Slide 4 text

紹介内容 IAM Identity Center の基本運用規模や背景 AWS Control Tower が展開する IAM Idenity Center 構成 IAM Identity Center 構成の改善 4

Slide 5

Slide 5 text

弊社の運用規模 AWSアカウント：十数個開発組織の人数：約３０名インフラエンジニアは２名数年前に Control Tower 環境に引っ越し 5

Slide 6

Slide 6 text

背景 Control Tower 作成当初開発組織の人数やアカウント数も今よりももっと少ない 6

Slide 7

Slide 7 text

背景 Control Tower 作成当初最低限、管理系アカウントだけ分離しておけばよかった開発組織の人数やアカウント数も今よりももっと少ない 7

Slide 8

Slide 8 text

背景 Control Tower 作成当初現在最低限、管理系アカウントだけ分離しておけばよかった開発組織の人数やアカウント数も今よりももっと少ない 8

Slide 9

Slide 9 text

背景 Control Tower 作成当初現在開発組織の人数倍以上に増加アカウントの用途も増加新プロダクトの追加、AI利用開始・・・最低限、管理系アカウントだけ分離しておけばよかった開発組織の人数やアカウント数も今よりももっと少ない 9

Slide 10

Slide 10 text

背景 Control Tower 作成当初現在アカウントの用途も増加新プロダクトの追加、AI利用開始・・・最低限、管理系アカウントだけ分離しておけばよかった事業用のアカウント群の権限体系も考える段階になった開発組織の人数やアカウント数も今よりももっと少ない開発組織の人数倍以上に増加 10

Slide 11

Slide 11 text

紹介内容 IAM Identity Center の基本運用規模や背景 AWS Control Tower が展開する IAM Idenity Center 構成 IAM Identity Center 構成の改善 11

Slide 12

Slide 12 text

複数のAWSアカウントとビジネスアプリケーションを一元管理できる仕組み IAM Identity Center IAM Identity Center Member Account A Member Account B Member Account C 専用のポータルから各アカウントに接続 12

Slide 13

Slide 13 text

IAM Identity Center の登場人物ユーザーグループ許可セット：IAM Identity Center へアクセスする人　一意なユーザ名とメールアドレスの指定が必要：ユーザーの論理的な組み合わせグループを入れ子形式にはできない：IAM ポリシーをまとめたテンプレートユーザーやグループに割り当て可能な権限 13

Slide 14

Slide 14 text

ユーザーグループプリンシパル許可セットアカウント IAM Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定 14

Slide 15

Slide 15 text

ユーザーグループプリンシパル許可セットアカウント誰がどんな権限でどのアカウントにアクセスできるかを制御 IAM Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定 15

Slide 16

Slide 16 text

IAM Identity Center の権限割り当ての考え方 - 許可セットの割り当てグループ A 許可セットグループ B Member Account A Member Account B 許可セット同じ許可セット同じ許可セットを利用してもグループごとにアカウントの接続制限が可能 16

Slide 17

Slide 17 text

IAM Identity Center の権限割り当ての考え方 - グループ分割ユーザーをグループに所属させるバリエーションもいくつかある 17

Slide 18

Slide 18 text

IAM Identity Center の権限割り当ての考え方 - グループ分割グループ A 所属別グループ所属 A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加ユーザーをグループに所属させるバリエーションもいくつかある 18

Slide 19

Slide 19 text

IAM Identity Center の権限割り当ての考え方 - グループ分割グループ A 所属別グループ所属 A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加組織構造をそのまま反映するので、ユーザー管理としてはやりやすい一方、一部ユーザーだけ追加の権限を付与するといったことがしづらいユーザーをグループに所属させるバリエーションもいくつかある 19

Slide 20

Slide 20 text

IAM Identity Center の権限割り当ての考え方 - グループ分割グループ A 所属別グループ所属 A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加役割に応じて柔軟な権限管理が可能一方、細かく分割しすぎると、今度はグループの管理が大変になるユーザーをグループに所属させるバリエーションもいくつかある 20

Slide 21

Slide 21 text

Slide 22

Slide 22 text

紹介内容 IAM Identity Center の基本運用規模や背景 AWS Control Tower が展開する IAM Idenity Center 構成 IAM Identity Center 構成の改善 22

Slide 23

Slide 23 text

なぜ AWS Control Tower なのか？ 23

Slide 24

Slide 24 text

「AWS Control Tower は、何千もの企業と連携することで確立されたベストプラクティスに基づいて、安全で準拠したマルチアカウント AWS 環境を設定および管理するための最も簡単な方法を提供します。」 AWS Control Tower 24 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/what-is-control-tower.html

Slide 25

Slide 25 text

「AWS Control Tower は、何千もの企業と連携することで確立されたベストプラクティスに基づいて、安全で準拠したマルチアカウント AWS 環境を設定および管理するための最も簡単な方法を提供します。」 AWS Control Tower https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/what-is-control-tower.html AWSのベストプラクティスが実装された「お手本」環境（ランディングゾーン）が設定・管理できる 25

Slide 26

Slide 26 text

AWS Control Tower AWS Control Tower が展開するランディングゾーン Management AWS CloudFormation StackSets Service Catalog AWS Organizations AWS IAM Identity Center Identity Center directory Security OU Sandbox OU Audit Log Archive Account Baseline Account Baseline Log Bucket Amazon GuardDuty AWS Security Hub CSPM member Member Account Baseline Network Baseline 26

Slide 27

Slide 27 text

AWS Control Tower Identity Center directory member AWS Organizations AWS Control Tower が展開するランディングゾーン Management AWS CloudFormation StackSets Service Catalog AWS IAM Identity Center Security OU Sandbox OU Audit Log Archive Account Baseline Account Baseline Log Bucket Amazon GuardDuty AWS Security Hub CSPM Member Account Baseline Network Baseline IAM Identity Center もランディングゾーンとして含まれている 27

Slide 28

Slide 28 text

AWS Control Tower が展開するランディングゾーン AWS Control Tower が展開する IAM Identity Center もベストプラクティスに沿った構成になっているはず！！ AWS Control Tower AWS IAM Identity Center 28

Slide 29

Slide 29 text

AWS Control Tower が展開するランディングゾーン AWS Control Tower が展開する IAM Identity Center もベストプラクティスに沿った構成になっているはず！！ AWS Control Tower AWS IAM Identity Center この構成を分析にすれば、権限設計の参考になるのでは？ 29

Slide 30

Slide 30 text

分析！！ 30

Slide 31

Slide 31 text

AWS Control Tower による IAM Identity Center の作成 AWS Control Tower AWS IAM Identity Center ユーザー１グループ 8 許可セット 6 ユーザー、グループ、許可セットがいくつか作成される 31

Slide 32

Slide 32 text

AWS Control Tower による IAM Identity Center の作成 AWS Control Tower AWS IAM Identity Center ユーザー１グループ 8 許可セット 6 ユーザー、グループ、許可セットがいくつか作成される管理アカウントのメールアドレスをユーザーとして登録これらを確認割愛 32

Slide 33

Slide 33 text

作成される IAM Identity Center のリソース詳細 - グループグループ名説明 AWSControlTowerAdmins 管理系アカウントへ管理者権限で接続可能メンバーアカウントへはOrganizationsの管理が可能 AWSSecurityAuditPowerUsers 全アカウントへパワーユーザー権限で接続可能 AWSSecurityAuditors 全アカウントへ読み取り権限で接続可能 AWSAccountFactotory Account Factoryによる新規アカウントの作成が可能 AWSServiceCatalogAdmins Account Factoryの設定や管理が可能 ※アカウント作成は不可 AWSAuditAccountAdmins 監査アカウントへ管理者権限で接続可能 AWSLogArchiveAdmins ログアーカイブアカウントへ管理者権限で接続可能 AWSLogArchiveViewers ログアーカイブアカウントへ読み取り権限で接続可能階層的なグループ分割やアカウント・役割別の分割がされている 33

Slide 34

Slide 34 text

作成される IAM Identity Center のリソース詳細 - グループグループ名説明 AWSControlTowerAdmins 管理系アカウントへ管理者権限で接続可能メンバーアカウントへはOrganizationsの管理が可能 AWSSecurityAuditPowerUsers 全アカウントへパワーユーザー権限で接続可能 AWSSecurityAuditors 全アカウントへ読み取り権限で接続可能 AWSAccountFactotory Account Factoryによる新規アカウントの作成が可能 AWSServiceCatalogAdmins Account Factoryの設定や管理が可能 ※アカウント作成は不可 AWSAuditAccountAdmins 監査アカウントへ管理者権限で接続可能 AWSLogArchiveAdmins ログアーカイブアカウントへ管理者権限で接続可能 AWSLogArchiveViewers ログアーカイブアカウントへ読み取り権限で接続可能横断なグループ分割やアカウント・役割別の分割がされている横断 34

Slide 35

Slide 35 text

グループ名説明 AWSControlTowerAdmins 管理系アカウントへ管理者権限で接続可能メンバーアカウントへはOrganizationsの管理が可能 AWSSecurityAuditPowerUsers 全アカウントへパワーユーザー権限で接続可能 AWSSecurityAuditors 全アカウントへ読み取り権限で接続可能 AWSAccountFactotory Account Factoryによる新規アカウントの作成が可能 AWSServiceCatalogAdmins Account Factoryの設定や管理が可能 ※アカウント作成は不可 AWSAuditAccountAdmins 監査アカウントへ管理者権限で接続可能 AWSLogArchiveAdmins ログアーカイブアカウントへ管理者権限で接続可能 AWSLogArchiveViewers ログアーカイブアカウントへ読み取り権限で接続可能作成される IAM Identity Center のリソース詳細 - グループ階層的なグループ分割やアカウント・役割別の分割がされている役割別 35

Slide 36

Slide 36 text

作成される IAM Identity Center のリソース詳細 - 許可セット許可セット名説明 AWSAdministratorAccess 管理者権限. AdministratorAccess の IAM ポリシーを付与 AWSPowerUserAccess IAMやOrganizations 以外のリソースへの管理権限 PowerUserAccess のマネージドポリシーを付与 AWSReadOnlyAccess すべてのAWSサービスとリソースに対する読み取り権限 ViewOnlyAccess のマネージドポリシーを付与 AWSOrgainizationsFullAccess Organizations に対する管理者権限 AWSOrganizationsFullAccess のマネージドポリシーを付与 AWSServiceCatalogAdminFullAccess Service Catalog に対する管理者権限 ServiceCatalogAdminFullAccess のマネージドポリシーを付与 AWSServiceCatalogEndUserAccess Service Catalog に対する利用者権限 ServiceCatalogEndUserAccess のマネージドポリシーを付与概ねグループ名に準じたAWSマネージドポリシーが割り当てられている複数のグループで再利用性が高い許可セットが作成されている 36

Slide 37

Slide 37 text

作成される IAM Identity Center のリソース詳細 - 整理 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors 全アカウントに及ぶ基本グループ役割別グループ Management AWSServiceCatalogAdmins AWSAccountFactory Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins ServiceCatalog 管理管理 ServiceCatalog 利用編集閲覧管理閲覧管理 ※1 メンバーアカウントに対しては、Organizationsの管理が可能 ※ 1 37

Slide 38

Slide 38 text

作成される IAM Identity Center のリソース詳細 - 整理 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors 全アカウントに及ぶ基本グループ役割別グループ Management AWSServiceCatalogAdmins AWSAccountFactory Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins ※1 メンバーアカウントに対しては、Organizationsの管理が可能 38 管理編集閲覧 ※ 1 ServiceCatalog 管理 ServiceCatalog 利用管理閲覧管理アカウント横断的な権限を許可したい場合等に利用

Slide 39

Slide 39 text

作成される IAM Identity Center のリソース詳細 - 整理 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors 全アカウントに及ぶ基本グループ Management AWSServiceCatalogAdmins AWSAccountFactory Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins ServiceCatalog 管理管理 ServiceCatalog 利用編集閲覧管理閲覧管理 ※1 メンバーアカウントに対しては、Organizationsの管理が可能 ※ 1 39 役割別グループ個別のアカウントや関心事限った権限が必要な場合に利用

Slide 40

Slide 40 text

紹介内容 IAM Identity Center の基本運用規模や背景 AWS Control Tower が展開する IAM Idenity Center 構成 IAM Identity Center 構成の改善 40

Slide 41

Slide 41 text

弊社における構成の見直し 41

Slide 42

Slide 42 text

Control Tower の管理系アカウントとの権限分離は実施済み Before - 見直し前の IAM Identity Center グループ Control Tower により作成された IAM Identity Center に１つグループを追加グループには事業用アカウントへの接続権限を指定 AWSSecurityAuditors BussinessGroups Product Account A Product Account B Product Account C 参照管理/編集エンジニア 42

Slide 43

Slide 43 text

Slide 44

Slide 44 text

Slide 45

Slide 45 text

After - 見直し後の IAM Identity Center グループ Admins Editors Viewers 役割別グループ AIUsers Bedrock 利用管理閲覧管理全アカウントに及ぶ基本グループ SecurityAdmins SecurityEditors Security OU 編集 AI 編集事業・所属別グループ Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 45

Slide 46

Slide 46 text

許可セット名説明 AdministratorAccess 管理者権限. AdministratorAccess の IAM ポリシーを付与 PowerUserAccess IAMやOrganizations 以外のリソースへの管理権限 PowerUserAccess のマネージドポリシーを付与 ReadOnlyAccess すべてのAWSサービスとリソースに対する読み取り権限 ViewOnlyAccess ＋ログ等も閲覧できるようにインラインポリシーを定義 AIOnlyAccess Amazon Bedrock の LLM モデルの呼び出し権限モデル呼び出しのみが可能なように、インラインポリシーを定義 After - 見直し後の許可セット基本的な許可セットと一部役割に応じた許可セットを作成現状の規模で権限を細分化しても管理が大変になるだけのため 46

Slide 47

Slide 47 text

Slide 48

Slide 48 text

After - 見直し後の IAM Identity Center グループ Admins Editors Viewers AIUsers Bedrock 利用管理閲覧管理 SecurityAdmins SecurityEditors Security OU 編集 AI 編集事業・所属別グループ Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 48 役割別グループ全アカウントに及ぶ基本グループ

Slide 49

Slide 49 text

Control Tower から参考にした点 - 基本グループの構成 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors 編集閲覧 ※1 メンバーアカウントに対しては、Organizationsの管理が可能管理 ※ 1 グループの構造は踏襲して、割り当てる許可セットを一部変更 Control Tower によるグループ Admins Editors Viewers 編集閲覧管理作成したグループ 49

Slide 50

Slide 50 text

Control Tower から参考にした点 - 基本グループの構成 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors ※1 メンバーアカウントに対しては、Organizationsの管理が可能グループの構造は踏襲して、割り当てる許可セットを一部変更 Control Tower によるグループ Admins Editors Viewers 作成したグループ全アカウントの管理権限を付与理由 Control Towerの管理と組織横断のインフラ管理で役割を分離していないため 50 編集閲覧管理 ※ 1 編集閲覧管理

Slide 51

Slide 51 text

Control Tower から参考にした点 - 基本グループの構成 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors ※1 メンバーアカウントに対しては、Organizationsの管理が可能グループの構造は踏襲して、割り当てる許可セットを一部変更 Control Tower によるグループ Admins Editors Viewers 作成したグループ ViweOnlyAccess + α のポリシーを付与理由セキュリティ設定等は、他のプロダクトでも参考となるので、広く参照を許可したい Log Archive 内のログもグループを分割せずに参照できるようにしたい 51 編集閲覧管理編集閲覧管理 ※ 1

Slide 52

Slide 52 text

管理 Bedrock 利用 Management AWSServiceCatalogAdmins AWSAccountFactory ServiceCatalog 管理 ServiceCatalog 利用 Security OU SecurityAdmins SecurityEditors AI AIUsers 管理編集 Control Tower から参考にした点 - 役割別グループの構成実際の管理体系に合わせてグループ構造を集約 Control Towerによるグループ Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins 管理閲覧管理作成したグループ 52

Slide 53

Slide 53 text

管理 Management AWSServiceCatalogAdmins AWSAccountFactory Security OU SecurityAdmins SecurityEditors AI AIUsers Control Tower から参考にした点 - 役割別グループの構成実際の管理体系に合わせてグループ構造を集約 Control Towerによるグループ Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins 作成したグループ集約 53 ServiceCatalog 管理 ServiceCatalog 利用管理閲覧管理未採用 Bedrock 利用管理編集

Slide 54

Slide 54 text

管理 Management AWSServiceCatalogAdmins AWSAccountFactory Security OU SecurityAdmins SecurityEditors AI AIUsers Control Tower から参考にした点 - 役割別グループの構成実際の管理体系に合わせてグループ構造を集約 Control Towerによるグループ Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins 作成したグループ集約 54 ServiceCatalog 管理 ServiceCatalog 利用管理閲覧管理未採用 Bedrock 利用管理編集開発支援系AI（Claude Code, Cline...）で利用する Bedrockは専用の役割を持つグループとして構成

Slide 55

Slide 55 text

After - 見直し後の IAM Identity Center グループ Admins Editors Viewers 役割別グループ AIUsers Bedrock 利用管理閲覧管理全アカウントに及ぶ基本グループ SecurityAdmins SecurityEditors Security OU 編集 AI 編集 Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 55 事業・所属別グループ

Slide 56

Slide 56 text

Slide 57

Slide 57 text

事業・所属別グループの構成管理 Group N ・・・ GroupNEngineers 管理 /編集基本的にはグループと担当事業が１対１となるように構成 Group 1 Group1Engineers 管理 /編集担当事業外のアカウントに対しては管理・編集権限を持たない本番検証・・・事業 1 本番検証事業 N 57

Slide 58

Slide 58 text

参照管理/編集管理/編集参照 IAM Identity Center グループ構成の Before / After AWSSecurityAuditors BussinessGroups XXXXEngineers Viewers AIUsers Before 管理系アカウントのみ権限分離 After 担当事業ごとに権限分離＋不足分は役割ベースのグループで権限付与 XXX は担当事業のもの管理系アカウントグループ＋ Bedrock 利用全アカウントの管理・編集グループ＋ 58

Slide 59

Slide 59 text

CloudFormation による実装 59

Slide 60

Slide 60 text

CloudFormation 化の範囲グループ、許可セットと権限割り当て部分を IaC 化グループ許可セットユーザーグループメンバーシップアサインメント AWSアカウント IaC化範囲 60

Slide 61

Slide 61 text

CloudFormation 化の範囲グループ、許可セットと権限割り当て部分を IaC 化グループ許可セットユーザーグループメンバーシップアサインメント AWSアカウントグループや許可セットより変更頻度が多いので、IaCからは除外 IaC化範囲 61

Slide 62

Slide 62 text

CloudFormation 化の範囲グループ、許可セットと権限割り当て部分を IaC 化グループ許可セットユーザーグループメンバーシップアサインメント AWSアカウントグループや許可セットより変更頻度が多いので、IaCからは除外 group-assignment permission-set CloudFormationは許可セットとその他の２つにテンプレートを分割一度許可セットを作成したら早々中身を変更しないので別テンプレートとして管理 62

Slide 63

Slide 63 text

Slide 64

Slide 64 text

ユーザーグループプリンシパル許可セットアカウント誰がどんな権限でどのアカウントにアクセスできるかを制御 IAM Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定再掲 64

Slide 65

Slide 65 text

ユーザーグループプリンシパル許可セットアカウント誰がどんな権限でどのアカウントにアクセスできるかを制御 IAM Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定再掲組み合わせ数分のアサインメントを作成する必要がある 65

Slide 66

Slide 66 text

CloudFormation でのアサインメントの定義 https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sso-assignment.html 許可セットのARNを指定ユーザーIDやグループIDを指定 AWSアカウントIDを指定 CloudFormationの定義からもまとめて指定はできないことがわかる数が多いとたいへん！！ 66

Slide 67

Slide 67 text

アサインメントを楽に作成するために AWS::LanguageExtensions を有効にしてFn::ForEach で記述量減らす 3重ループを回せばよい（グループ x 許可セット x アカウント） 67

Slide 68

Slide 68 text

アサインメントを楽に作成するために AWS::LanguageExtensions を有効にしてFn::ForEach で記述量減らす 3重ループを回せばよい（グループ x 許可セット x アカウント）グループ許可セットアカウント許可セットはスタック分割するので、値をインポートそれ以外は基本的に、 Mappingsから取得 68

Slide 69

Slide 69 text

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用 69

Slide 70

Slide 70 text

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用視認性を向上させるために、アカウント名とアカウントID の対応関係を記述 TargetId はアカウントIDでの指定が必要なので、 FindInMapでアカウント名から取得関連するテンプレート記述 70

Slide 71

Slide 71 text

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用グループ作成および、アサインメントのループ用関連するテンプレート記述 71

Slide 72

Slide 72 text

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用実際のアサインメントのグループ x 許可セット x アカウントの対応関係を記述関連するテンプレート記述 72

Slide 73

Slide 73 text

考慮事項 - CloudFormation のリソース上限ユーザーグループプリンシパル許可セットアカウントアサインメントは増加しやすいので、テンプレートあたりのリソース数上限をより意識する必要がある１テンプレートあたり５００が上限（以前は２００） 73

Slide 74

Slide 74 text

考慮事項 - CloudFormation のリソース上限ユーザーグループプリンシパル許可セットアカウントアサインメントは増加しやすいので、テンプレートあたりのリソース数上限をより意識する必要がある１テンプレートあたり５００が上限（以前は２００）例）５グループ３許可セット１０アカウント 74

Slide 75

Slide 75 text

考慮事項 - CloudFormation のリソース上限ユーザーグループプリンシパル許可セットアカウントアサインメントは増加しやすいので、テンプレートあたりのリソース数上限をより意識する必要がある１テンプレートあたり５００が上限（以前は２００）例）５グループ３許可セット１０アカウントアサインメントだけで１５０リソース必要！！！ 75

Slide 76

Slide 76 text

Slide 77

Slide 77 text

AWS Control Tower が展開する構成は「お手本」 IAM Identity Center の権限設計においても参考になるまとめ運用の実態に合わせシンプルな構成から始める数個の許可セットと役割や事業・所属で分割したグループからスタート組織拡大に応じて段階的に改善していくアプローチが重要 77