スタートアップでどのようにしてAWS Control Towerを導入したか

by Kazuki Ogura

Slide 1

Slide 1 text

WHITE CROSS株式会社　開発部　小倉一輝スタートアップでどのようにしてControl Towerを導入したか

Slide 2

Slide 2 text

自己紹介名前：小倉一輝 Twitter:@kazukiogura_ 年齢：24歳勤務先：WHITE CROSS株式会社領域：主にサーバーサイド、たまにインフラ好きなAWSサービス：Amazon Aurora、AWS Control Tower

Slide 3

Slide 3 text

アジェンダ・以前のAWSアカウント運用の問題点・AWS Control Towerとは？・Control Tower導入までに行ったこと・Control Towerを導入しての感想・Control Towerを導入するべきか

Slide 4

Slide 4 text

弊社での以前のAWSアカウント運用の問題点

Slide 5

Slide 5 text

単一のVPC内で複数のプロダクト・環境が稼働していた・管理の煩わしさ・セキュリティ面での不安・一つのプロダクトで必要なトラフィック制御設定がVPC全体に対して適用しなければいけない

Slide 6

Slide 6 text

IAMユーザー・ロールの管理が統制されていなかった・危険な操作が行われる可能性・各ユーザーに与えられている権限の把握が困難・不要な権限の付与により、「最小権限の原則」に違反

Slide 7

Slide 7 text

AWS Solution Architectに相談した結果... AWS Control Towerを導入してみませんか？

Slide 8

Slide 8 text

AWS Control Towerとは？

Slide 9

Slide 9 text

質問 Control Towerという名前から何をイメージしますか？（5秒考えてみてください）

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

AWS Control Towerとは？・規範的なベストプラクティスに従って、 AWS マルチアカウント環境をセットアップおよび管理するための簡単な方法を提供するサービス・いくつかの他のAWS サービス（AWS Organizations、AWS Service Catalog、AWS シングルサインオンなど）を使用して、landing zone を 1 時間未満で構築できる・リソースは、ユーザーに代わって設定および管理される・2021/04/09に東京リージョンで使用可能になったばかり　詳しくはAWS Control Tower とは

Slide 12

Slide 12 text

Control Towerが行ってくれる主なLanding Zone周りのセットアップ・AWS Organizations を使用してマルチアカウント環境を作成・AWS SSOのデフォルトのディレクトリを使用して ID 管理を提供・AWS SSO を使用してアカウントにフェデレーティッドアクセスを提供・AWS CloudTrail のログや、Amazon S3に保存される AWS Conﬁg のログを集中管理・IAMおよび AWS SSO を使用してクロスアカウントセキュリティ監査を有効化

Slide 13

Slide 13 text

Control Towerの主な機能【ガードレール】・AWS のベストプラクティスおよびガバナンス向けの一般的なカスタマーポリシーに基づく厳選されたガードレールのセットを提供・ルールは企業全体または特定のアカウントのグループに適用可能・ガードレールには必須、強く推奨、選択的という 3種類が存在する・現時点でガードレールは 62個存在する（2022/06/06時点）・新しいガードレールが次々とリリースされる（一番新しいものだと 2021年11月30日にリリース）

Slide 14

Slide 14 text

「必須」ガードレールの例・AWS Control Tower や AWS CloudFormation で設定された AWS IAM ロールの変更を不許可にする・ログアーカイブの公開読み取りアクセス設定の検出・ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない・クロスリージョンのネットワークを禁止する・AWS Control Tower によって設定された Amazon CloudWatch の変更を許可しない

Slide 15

Slide 15 text

「強く推奨」ガードレールの例・Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームの暗号化が有効になっているかどうかを検出する・Amazon RDS データベースインスタンスへのパブリックアクセスが有効になっているかどうかを検出する・SSH を介した無制限のインターネット接続が許可されているかどうかを検出する・ルートユーザーのアクセスキーの作成を許可しない・Amazon S3 バケットへのパブリック読み取りアクセスが許可されているかどうかを検出する

Slide 16

Slide 16 text

「選択的」ガードレールの例・お客様が管理する Amazon VPC インスタンスのインターネットアクセスを禁止する・Amazon EBS スナップショットがすべての AWS アカウントで復元可能かどうかを検出する・Amazon Virtual Private Network (VPN) 接続を禁止する・リクエストされた AWS リージョンに基づいて AWS へのアクセスを拒否する・Amazon S3 バケットのバケットポリシーの変更を許可しない・MFA なしで S3 バケットでの削除アクションを許可しない

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

No content

Slide 19

Slide 19 text

Control Tower導入までに行ったこと

Slide 20

Slide 20 text

1. OUの設計 Control Towerでアカウントを作成する場合、そのアカウントは OU配下に配置します。なので、どのアカウントをどの OUに配置するかを設計しました。

Slide 21

Slide 21 text

No content

Slide 22

Slide 22 text

・アカウントにはどのグループが存在するか、その場合どのような権限を持たせるか・グループにはどのユーザーを所属させるか・もたせるアクセス権限セットに対するセッション時間などのアクセス権限セット・グループ・ユーザー・アカウントの組み合わせを設計した 2.権限設計

Slide 23

Slide 23 text

No content

Slide 24

Slide 24 text

3. ルートアカウントの管理方法検討 Control Towerでマルチアカウント運用を行った場合、ルートアカウントは全ての権限を持つことになります。そのため、万全な対策を行い、なんとしてもアカウントの乗っ取りを防がなければなりません。どのようにルートアカウントを管理するかを予め決定しておくことで、予期せぬルートアカウントの乗っ取りリスクを避けます。参考：IAM でのセキュリティのベストプラクティス

Slide 25

Slide 25 text

ルートアカウントの管理方法【スマホによるMFA】以下の理由により不採用・専用スマートフォンを用意するのは費用がかかる・個人のスマホ（私用または社用）に紐づけてしまう場合・その人の退職時に上手く引き継げない可能性がある・紛失の恐れ・使用するには充電が必要

Slide 26

Slide 26 text

ルートアカウントの管理方法【ユビキーによるMFA】以下の理由により採用・スマホより安い（5862円）・誰かが持ち歩く必要はないので金庫にずっと入れておける・充電が不要

Slide 27

Slide 27 text

Control Towerを導入しての感想

Slide 28

Slide 28 text

Control Towerを導入しての感想・抱えていた以下2つの課題を解決できた・単一のVPC内で複数のプロダクト・環境が稼働していた・IAMユーザー・ロールの管理が統制されていなかった・AWS OrganizationsとAWS SSOを用いたマルチアカウント運用がとても簡単に導入できた・AWS CloudTrailやAWS Conﬁgなどのセキュリティサービスの導入も簡単にできた・ガードレールを設定しておくことで AWSでの危険な操作を防止できて安心

Slide 29

Slide 29 text

Control Towerを導入するべきか

Slide 30

Slide 30 text

既にマルチアカウント運用が上手く出来ている企業・組織結論・導入コストに比べてメリットを享受しづらい主な導入メリット・ガードレールが使えるようになる・より正確なlanding zoneが導入できる

Slide 31

Slide 31 text

結論・ぜひControl Towerを導入するべき！！！導入しなかった場合・・・・シングルアカウント運用のまま頑張るの？・1からlanding zone構築するの？・自分でSCPなりConﬁgなり設定するの？まだマルチアカウント運用が出来ていない企業・組織

Slide 32

Slide 32 text

ご清聴ありがとうございました

Slide 33

Slide 33 text

良ければTwitterフォローしてください！ @kazukiogura_

Slide 34

Slide 34 text

参考資料 AWS Organizationsとは？rootユーザも制御するその強力さを手を動かして体感してみる AWS Single Sign-On 機能スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ AWS Control Tower の料金 AWS Control Towerの嬉しいポイントと注意ポイント