Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
Search
sumi
February 25, 2021
Business
4
3.2k
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
sumi
February 25, 2021
Tweet
Share
More Decks by sumi
See All by sumi
#ITsurf2023 急成長企業を支えるコスト最適化
sumi
0
160
JAWS-UG 情シス / AWS Sandbox環境の運用と管理
sumi
1
1.4k
#oViceFest 2022 Spring 「oViceが定着しない…を解消するためにやってみたこと」
sumi
0
450
AWS Cloud Oprations Services 全部?もり
sumi
1
440
サメがくれたもの〜わたしのシンデレラ・ストーリー〜 ssmjp-18
sumi
0
380
AWSピタゴラ(ひとり)選手権 / Let's Play and Learn by Chaining the Launch of AWS Services
sumi
1
1.7k
JAWS-UG朝会 #20 無料で使えるCloudEndureでお金を溶かした話
sumi
1
1.3k
組織におけるAWSのアカウント管理とコスト管理
sumi
17
9.6k
運命の出会いは転職ドラフトで
sumi
1
380
Other Decks in Business
See All in Business
Fake “Agile” is the Norm: How to Instill Agility, not Agile Practices: Hands On Agile
johannarothman
PRO
0
110
5分でわかる松鶴建設 | Shokaku Recruit
shokaku_recruit
0
400
Fracta Leap 会社紹介資料 ver. 1.0
fracta_leap
PRO
0
140
株式会社CINC 会社案内/Company introduction
cinchr
6
51k
Cobe Associe: Who we are? /コンサル・市場調査・人材紹介のCobe Associe
nozomi
6
19k
アノマリーマーケティング カルチャーコード_ver1.0
anomalymarketing
1
110
ファブリカホールディングス_2025年3月期 第3四半期説明資料
fabrica_com
1
3k
セーフィー株式会社(Safie Inc.) 会社紹介資料
safie_recruit
6
310k
2024年12月期_通期決算説明資料
mobcast20040326
PRO
0
290
総合研究院の概要|Science Tokyo(東京科学大学)
sciencetokyo
PRO
0
1.1k
Mercari-Fact-book_jp
mercari_inc
3
150k
株式会社B4A 会社紹介
b4a
0
6.5k
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.3k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7.1k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Being A Developer After 40
akosma
89
590k
Producing Creativity
orderedlist
PRO
343
39k
A Philosophy of Restraint
colly
203
16k
Building Applications with DynamoDB
mza
93
6.2k
Gamification - CAS2011
davidbonilla
80
5.1k
Site-Speed That Sticks
csswizardry
3
370
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
29
4.6k
Statistics for Hackers
jakevdp
797
220k
It's Worth the Effort
3n
184
28k
Transcript
スタートアップこそ AWSアカウントを ええ感じに管理しよ! AWS Startup Tech Meetup Online #2
1988年⽣まれ∕⼤阪府出⾝ webエンジニア、情シス、CSIRTを経て 現在株式会社オークンで情シスのお姉さんをし てます。好きなAWSサービスは、GuardDuty, AWSOrganizations,AWSSSO O-KUN, Inc. Business IT SUMI
SHIOMI suemin_jp
社名:株式会社オークン 代表:⼭下 亮 設⽴:2015年3⽉ 従業員:26名(2021年2⽉時点) 事業内容: ファンド向け⾦融商品開発 Webサービス開発 ソフトウェア開発 など
素晴らしいプロダクトを 世の中に出したい ⽇のおはなし 情シスとして⼤事にしていること
最⾼のプロダクトにするために エンジニアがプロダクト開発に 全集中できる環境を整える 情シスとして⼤事にしていること
組織でAWSを 利⽤するってなったら やっておきたいこと アカウントとユーザーの管理編
組織でAWSを 利⽤する上で 避けられない問題
マルチアカウント 管理
None
マルチ アカウントの ベスト プラクティス
⽤: AWS におけるマルチアカウント 理の⼿ とベストプラクティス https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
スタートアップで 最初からこれが 考慮されているか
アイデアに 気づく 仲間を 集める プロトタイプ つくる ローンチ する
理想
現 もしくはOrganizations で 理されていない場 も。 とりあえず まとめるために つかってみた
この状 のまま が⼤きくなると 何が きるか
アカウント SCP もいい じにあてられん…
件A prod 件B dev / stg なんかよく わかんない やつ 件B
prod ⽤ 件 アカウントの⽬的が ⾏ 不 件C dev Account - A Accout - B Account - C この 件のリソースは どのアカウントなんだぁぁぁぁぁ 件別に まとめるのが ⼤ だぁぁぁぁ さらに
開発効率
こうなると Organizationsを 再設計し直すのは めっちゃしんどい
None
ユーザー 理 の 題 それに えて
やりがちなユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 ID + Pass +
MFA ID + Pass + MFA ID + Pass + MFA
パスワードポリシーが 超 めんどくさい パスワードポリシーが超 しい 半⾓英⼩ 半⾓英⼤ 半⾓ 20 桁
上 使い回し禁⽌ さらにMFA 制 これがアカウントごとに。。
した の IAM ユーザの アクセスキー が プログラムの中で使われていた したA さんの IAM
ユーザを消したら プログラムが動かなく なっちゃったんだよね〜 えー まじっすかー 開発 情シス
開発どころじゃない
None
アカウントとユーザーは ちゃんと 理した がいい
⼩ 模なうちなら いい じに えやすい
に何を やっておくべきなのか について えてみた そうならない ために...
AWSアカウントは ⽬的別に作成する
ガバナンス 課⾦ 組織 運⽤ 本番環境と⾮本番環境を管理するメンバーとで 明確な権限の分離 環境間におけるセキュリティ対策の分離が可能 アカウント毎に明確な課⾦管理ができる アカウントの請求をまとめられる 案件や部⾨などの業務ユニットごとにアカウン
トを払い出して独⾃のポリシーで運⽤ができる 特定のアカウントへ権限を委譲することも可能 構成変更時の影響範囲のを⼩さくする リソースの上限を気にせず利⽤できる AWSアカウント分割のポイント
TAG:dev TAG:poc_A TAG:verify TAG:pj_A TAG:dev TAG:pj_B TAG:verify TAG:poc_B 管理側 開発側
OU設計は AWSOrganizations 全体の核⼼
AWSOrganizationsの基本的なOU構成
組織で共有されるインフラサービス セキュリティ監査ログなど AWSOrganizationsの基本的なOU構成
AWSOrganizationsの基本的なOU構成 AWSのサービスを学んだり試したりするために利⽤ 社内ネットワークから切り離して構築 ⼀定の料⾦制限を設定して使いすぎを防⽌
AWSOrganizationsの基本的なOU構成 顧客向けアプリケーションや バックエンドプロセスなど
AWSOrganizationsの基本的なOU構成 SCPを利⽤して アカウント/OU全体に 禁⽌事項の設定 予防的統制
IAMユーザーは 作らない
AWSにおけるユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 アカウントの数だけ多重苦に陥ってしまう
AWSにおけるユーザー管理 踏み台からロールを切り替えて 各AWSアカウントの操作権限を取得 接続先のアカウントで付与される権限の管理は 各AWSアカウントのIAMで個別にロールを作成し メンテナンスする必要がある
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤ AWSSSOでマネージドに実現
AWSSSOならマネコンへのアクセスが楽
AWSSSOならCLIも便利
AWSSSOはいいぞ
的にこれでいくことにした
果 ユーザーはアカウントへのアクセスが楽になり アカウントの切り替えも便利になった アカウントに紐づくグループごとに権限設定& AWSSSOで⼀元管理できてアクセス権管理が楽 IdPからユーザとグループがプロビジョニングされて ユーザーのメンテナンスがめっちゃ楽
でやりたいこと ステージ別にSCPを割り当てて 組織として⼀定のセキュリティレベルを担保 ConfigでIAMユーザーの作成を監査& CloudTrailでIAMユーザーの使⽤を検知 監査ログを集約&活⽤ 結局ControlTowerってどうなん
アカウントはシステムの種類や環境別に分割して 開発者も管理者もみんなハッピー OU設計はAWSOrganizations全体設計の核⼼ 早い段階で⼊念な検討を推奨。 AWSSSOはいいぞ まとめ
アカウントとユーザーを 早い段階で整理することで、 セキュアで良質な ガードレールを整えて 最⾼のプロダクトを世の中へ (後編) (前編)
THANK YOU. ⼤ オフィス オフィス 〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル 〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル