スタートアップこそAWSアカウントをええ感じに管理しよ!AWS Startup Tech Meetup Online #2
View Slide
1988年⽣まれ∕⼤阪府出⾝webエンジニア、情シス、CSIRTを経て現在株式会社オークンで情シスのお姉さんをしてます。好きなAWSサービスは、GuardDuty,AWSOrganizations,AWSSSOO-KUN, Inc. Business ITSUMI SHIOMIsuemin_jp
社名:株式会社オークン代表:⼭下 亮設⽴:2015年3⽉従業員:26名(2021年2⽉時点)事業内容: ファンド向け⾦融商品開発 Webサービス開発 ソフトウェア開発 など
素晴らしいプロダクトを世の中に出したい⽇のおはなし情シスとして⼤事にしていること
最⾼のプロダクトにするためにエンジニアがプロダクト開発に全集中できる環境を整える情シスとして⼤事にしていること
組織でAWSを利⽤するってなったらやっておきたいことアカウントとユーザーの管理編
組織でAWSを利⽤する上で避けられない問題
マルチアカウント管理
マルチアカウントのベストプラクティス
⽤: AWSにおけるマルチアカウント 理の⼿ とベストプラクティスhttps://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
スタートアップで最初からこれが考慮されているか
アイデアに気づく仲間を集めるプロトタイプつくるローンチする
理想
現もしくはOrganizationsで 理されていない場 も。とりあえず まとめるためにつかってみた
この状 のままが⼤きくなると何が きるか
アカウントSCPもいい じにあてられん…
件Aprod件Bdev / stgなんかよくわかんないやつ件Bprod⽤件アカウントの⽬的が ⾏ 不件CdevAccount - A Accout - B Account - Cこの 件のリソースはどのアカウントなんだぁぁぁぁぁ件別に まとめるのが⼤ だぁぁぁぁさらに
開発効率
こうなるとOrganizationsを再設計し直すのはめっちゃしんどい
ユーザー 理の 題それに えて
やりがちなユーザー管理 1⼈の利⽤者に対して、IAMユーザを各アカウントに個別に作成パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒ID + Pass + MFA ID + Pass + MFA ID + Pass + MFA
パスワードポリシーが超 めんどくさいパスワードポリシーが超 しい半⾓英⼩半⾓英⼤半⾓20桁 上使い回し禁⽌さらにMFA制これがアカウントごとに。。
した の IAMユーザのアクセスキー がプログラムの中で使われていたしたAさんのIAMユーザを消したらプログラムが動かなくなっちゃったんだよね〜えー まじっすかー開発 情シス
開発どころじゃない
アカウントとユーザーはちゃんと 理した がいい
⼩ 模なうちならいい じに えやすい
に何をやっておくべきなのかについて えてみたそうならないために...
AWSアカウントは⽬的別に作成する
ガバナンス 課⾦組織 運⽤本番環境と⾮本番環境を管理するメンバーとで明確な権限の分離環境間におけるセキュリティ対策の分離が可能アカウント毎に明確な課⾦管理ができるアカウントの請求をまとめられる案件や部⾨などの業務ユニットごとにアカウントを払い出して独⾃のポリシーで運⽤ができる特定のアカウントへ権限を委譲することも可能構成変更時の影響範囲のを⼩さくするリソースの上限を気にせず利⽤できるAWSアカウント分割のポイント
TAG:dev TAG:poc_ATAG:verifyTAG:pj_ATAG:devTAG:pj_B TAG:verify TAG:poc_B管理側開発側
OU設計はAWSOrganizations全体の核⼼
AWSOrganizationsの基本的なOU構成
組織で共有されるインフラサービスセキュリティ監査ログなどAWSOrganizationsの基本的なOU構成
AWSOrganizationsの基本的なOU構成AWSのサービスを学んだり試したりするために利⽤社内ネットワークから切り離して構築⼀定の料⾦制限を設定して使いすぎを防⽌
AWSOrganizationsの基本的なOU構成顧客向けアプリケーションやバックエンドプロセスなど
AWSOrganizationsの基本的なOU構成SCPを利⽤してアカウント/OU全体に禁⽌事項の設定予防的統制
IAMユーザーは作らない
AWSにおけるユーザー管理 1⼈の利⽤者に対して、IAMユーザを各アカウントに個別に作成パスワードを覚えるのが⾯倒MFAも⾯倒IDの棚卸しも⾯倒アカウントの数だけ多重苦に陥ってしまう
AWSにおけるユーザー管理 踏み台からロールを切り替えて各AWSアカウントの操作権限を取得接続先のアカウントで付与される権限の管理は各AWSアカウントのIAMで個別にロールを作成しメンテナンスする必要がある
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤AWSSSOでマネージドに実現
AWSSSOならマネコンへのアクセスが楽
AWSSSOならCLIも便利
AWSSSOはいいぞ
的にこれでいくことにした
果ユーザーはアカウントへのアクセスが楽になりアカウントの切り替えも便利になったアカウントに紐づくグループごとに権限設定&AWSSSOで⼀元管理できてアクセス権管理が楽IdPからユーザとグループがプロビジョニングされてユーザーのメンテナンスがめっちゃ楽
でやりたいことステージ別にSCPを割り当てて組織として⼀定のセキュリティレベルを担保ConfigでIAMユーザーの作成を監査&CloudTrailでIAMユーザーの使⽤を検知監査ログを集約&活⽤結局ControlTowerってどうなん
アカウントはシステムの種類や環境別に分割して開発者も管理者もみんなハッピーOU設計はAWSOrganizations全体設計の核⼼早い段階で⼊念な検討を推奨。AWSSSOはいいぞまとめ
アカウントとユーザーを早い段階で整理することで、セキュアで良質なガードレールを整えて最⾼のプロダクトを世の中へ(後編)(前編)
THANK YOU.⼤ オフィスオフィス〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル
sumi
srmarketing
takeshisumida_
data_rikatsuyou
ryooaki
progmat
antmiyabin
andforce
supership
yasskashima
cyberagent_recruit
gmofh_hr_team
nyattx
jnunemaker
keavy
rasmusluckow
skipperchong
lara
morganepeng
malarkey
chrislema
pauljervisheath
notwaldorf
paulrobertlloyd
philnash