$30 off During Our Annual Pro Sale. View Details »

大規模マルチアカウント環境を実運用する時の悩みと解決法 / AWS Multi-Account...

Masashi OISHI
February 15, 2024

大規模マルチアカウント環境を実運用する時の悩みと解決法 / AWS Multi-Account Tips

2024年2月15日 JAWS-UG東京に登壇した際の資料です。
(2024年3月3日 記載に一部誤りがあると分かったので修正しました)

Masashi OISHI

February 15, 2024
Tweet

More Decks by Masashi OISHI

Other Decks in Technology

Transcript

  1. 共通基盤OU システムアカウントOU 本番OU ステージング OU 開発OU マルチアカウント基本構成例 管理アカウント ユーザ管理アカウント Organizations

    IAM Identity Center 監査ログ集約アカウント 監査ログ バケット セキュリティアカウント IAM Access Analyzer Security Hub バックアップアカウント ネットワークアカウント Direct Connect Transit Gateway AWS Backup システム アカウント システム アカウント システム アカウント
  2. 監査ログ集約アカウント 監査ログ バケット セキュリティアカウント IAM Access Analyzer Security Hub バックアップアカウント

    ネットワークアカウント Direct Connect Transit Gateway AWS Backup 共通基盤OU マルチアカウント基本構成例 管理アカウント ユーザ管理アカウント IAM Identity Center システムアカウントOU 本番OU ステージング OU 開発OU システム アカウント システム アカウント システム アカウント IAM Identity Centerで 横断的にユーザ・グループ と権限を管理 管理者の委任 Organizations
  3. ユーザ管理アカウント IAM Identity Center セキュリティアカウント IAM Access Analyzer Security Hub

    バックアップアカウント ネットワークアカウント Direct Connect Transit Gateway AWS Backup 共通基盤OU マルチアカウント基本構成例 管理アカウント システムアカウントOU 本番OU ステージング OU 開発OU システム アカウント システム アカウント システム アカウント 監査ログ集約アカウント 監査ログ バケット CloudTrail CloudTrail CloudTrail CloudTrail監査ログを 集約する Organizations
  4. 監査ログ集約アカウント 監査ログ バケット ユーザ管理アカウント IAM Identity Center バックアップアカウント ネットワークアカウント Direct

    Connect Transit Gateway AWS Backup 共通基盤OU マルチアカウント基本構成例 管理アカウント システムアカウントOU 本番OU ステージング OU 開発OU システム アカウント システム アカウント システム アカウント Security Hub セキュリティアカウント IAM Access Analyzer Security Hub Security Hub Security Hub 各アカウントの Security Hub検出結果を 集約する 管理者の委任 Organizations
  5. セキュリティアカウント IAM Access Analyzer Security Hub 監査ログ集約アカウント 監査ログ バケット ユーザ管理アカウント

    IAM Identity Center ネットワークアカウント Direct Connect Transit Gateway 共通基盤OU マルチアカウント基本構成例 管理アカウント システムアカウントOU 本番OU ステージング OU 開発OU システム アカウント システム アカウント システム アカウント バックアップアカウント AWS Backup EC2 RDS FSx バックアップポリシーの管理と バックアップジョブの 横断的なモニタリング 管理者の委任 Organizations
  6. バックアップアカウント AWS Backup セキュリティアカウント IAM Access Analyzer Security Hub 監査ログ集約アカウント

    監査ログ バケット ユーザ管理アカウント IAM Identity Center 共通基盤OU マルチアカウント基本構成例 管理アカウント システムアカウントOU 本番OU ステージング OU 開発OU システム アカウント システム アカウント システム アカウント Transit Gatewayを RAMで他アカウントに共有し、 クロスアカウントで通信可に ネットワークアカウント Direct Connect Transit Gateway Resource Access Manager (RAM) Organizations
  7. 悩み① システム横断の通信制御を管理しにくい オンプレではFWで一元的に管理していた通信制御が、 アカウントやVPCを細かく分割するとセキュリティGが分かれるので管理しにくい 移行前 移行後 Firewall 本番LAN 開発LAN 本番サーバ

    開発サーバ システムA(本番) システムB(本番) システムC(開発) システムD(開発) Security group Security group Security group Security group 本番LAN 開発LAN Direct Connect ソースIP ポート 10.1.0.0/16 全て インバウンドルール ソースIP ポート 10.1.0.0/16 全て インバウンドルール ソースIP ポート 10.2.0.0/16 全て インバウンドルール ソースIP ポート 10.2.0.0/16 全て インバウンドルール 本番LANの定義が 変わったら、ルールを 個別に修正する 必要あり Transit Gateway
  8. Tips① プレフィックスリスト+RAMを活用 プレフィックスリストで複数のIPレンジをグルーピングできる。 それをRAMで共有すれば、オンプレFWのように通信制御を一元管理できる 移行前 移行後 Firewall 本番LAN 開発LAN 本番サーバ

    開発サーバ システムA(本番) システムB(本番) システムC(開発) システムD(開発) Security group Security group Security group Security group 本番LAN 開発LAN Direct Connect Transit Gateway ソースIP ポート pl-00001 全て インバウンドルール ソースIP ポート pl-00001 全て インバウンドルール ソースIP ポート pl-00002 全て インバウンドルール ソースIP ポート pl-00002 全て インバウンドルール プレフィッ クスリスト CIDR pl-00001 10.1.0.0/16 pl-00002 10.2.0.0/16 RAM 本番LANの定義が変 わっても、プレフィッ クスリストの修正でOK
  9. 悩み② AWSアカウント払出し都度の緩和申請が手間 例えばセキュリティGのルール数上限はデフォルトで60。 AWSアカウント払出し都度、Service Quotasで上限緩和申請を出すのが手間な上に忘れがち。 ソースIP ポート pl-00001 全て pl-00010

    全て pl-00011 全て pl-00021 全て インバウンドルール エントリ数:45 エントリ数:15 エントリ数:5 エントリ数:5 ルール数は計70個 ルール数の上限は デフォルトだと60個
  10. 悩み③ VPCエンドポイントの利用料がバカにならない VPCを細かく分けると、Systems ManagerやEC2、AWS Backupのエンドポイントを 各VPCに作成することになり、アタッチ料金がバカにならない システムA(本番) システムB(本番) システムC(開発) Transit

    Gateway com.amazonaws.ap-northeast-1.ec2 com.amazonaws.ap-northeast-1.ec2messages com.amazonaws.ap-northeast-1.ssm com.amazonaws.ap-northeast-1.ssmmessages com.amazonaws.ap-northeast-1.logs com.amazonaws.ap-northeast-1.monitoring com.amazonaws.ap-northeast-1.backup ×2(Multi-AZ)×100アカウント 例えば各VPCで7つのエンドポイントを利用し、 AWSアカウント100個あったとすると 全体で最低1,400個のエンドポイントが必要。 1,400個のVPCエンドポイントで、月額200万円・・・ ・・・
  11. Tips③ Route 53 Resolver+RAMで関連付け VPC-EのあるVPCにRoute 53 Resolver(インバウンド/アウトバウンドエンドポイント)を作成。 そのResolverルールをRAMで関連付けると、VPCエンドポイントが共有できる。 システムA(本番) システムB(本番)

    システムC(開発) Transit Gateway com.amazonaws.ap-northeast-1.ec2 com.amazonaws.ap-northeast-1.ec2messages com.amazonaws.ap-northeast-1.ssm com.amazonaws.ap-northeast-1.ssmmessages com.amazonaws.ap-northeast-1.logs com.amazonaws.ap-northeast-1.monitoring com.amazonaws.ap-northeast-1.backup Route 53 Resolver 関連付け ×2(Multi-AZ)×1アカウント 14個のVPCエンドポイントで、月額2万円!! ※ただし、Transit Gatewayに0.02USD/GBのデータ送信料がかかるので注意。 Resolverルール作成 ・・・ RAM
  12. 本社機構用請求グループ Tips④ Billing ConductorでAWS利用料を管理 Billing Conductorで任意のアカウントに対するAWS利用料を合算し、Billingで表示できる。 また、独自の追加請求やクレジットも登録できる。 管理アカウント Organizations Billing

    Conductor システムアカウントX システムアカウントY システムアカウントZ 営業部門用請求グループ システムアカウントA システムアカウントB システムアカウントC ・・・ ・・・ プライマリ プライマリ 請求グループ内のアカウントは プライマリアカウントの Billingで横断的に利用料を参照可