組織がAWSを使い始めるときに考えたい、アカウントとユーザーの管理

Transcript

1. がAWS を 使い めるときに えたい AWS アカウントと ユーザの 理 JAWS-UG

   者 #35 LT ⼤ June 19, 2021

2. Introduction @suemin_jp 属: O-KUN Inc. Business IT 「 しく働くを のスタンダードに」

   きなAWS Service: - AWS Organizations - AWS Cost Explorer - Guard Duty sumi @ 情シスのお さん

3. LIFT and SHIFT Cloud-Native

4. Are you ready? そのAWS アカウント、 とりあえずやってない?

5. - のAWS が 在していてそれぞれで独立している - 1 アカウントの中に のプロジェクトが 在 -

   アカウントの切り替えはサインアウト→ サインイン - すべてIAM ユーザでアクセス - IAM ユーザが 正に 理できてない - パスワードポリシーが超 しい: ⼩ 16 桁 上 ( めっちゃ い) 半⾓英 在 - ぜったいMFA 利⽤ ・ ・ アカウントが えてきて めんどくさくなってきた ありがちな 題 : サインイン超⾯ くさい問題 サインイン + MFA サインイン + MFA サインイン + MFA

6. した のIAM ユーザのアクセスキーが プログラムの中で使われていた ありがちな 題 : IAM ユーザのアクセスキー問題 したA

   さんの IAM ユーザを消したら プログラムが動かなく なっちゃったんだよね〜 えー まじっすかー 開発 情シス

7. 件A prod 件B dev / stg なんかよく わかんない やつ 件C

   dev Account - A Accout - B Account - C 件B prod ⽤ 件 ありがちな 題 : アカウントの⽬的が⾏ 不 事件 アカウントの中 が ごちゃごちゃ

8. SAML SCIM どうしたか サインイン + MFA AWS SSO IdP アカウント

   件A 開発⽤のアカウント 件A ⽤のアカウント 件B 開発⽤のアカウント

9. SAML SCIM サインイン + MFA AWS SSO IdP アカウント SSO

   で セキュアかつ に サインイン 個 に紐づく IAM ユーザを作らない 件A 開発⽤のアカウント 件A ⽤のアカウント 件B 開発⽤のアカウント アカウントは プロジェクトごとに ける どうしたか

10. かんたん 4 STEP 1 2 3 4 yes! SCP を

    する AWS SSO / IdP の の AWS Organizations を構成する

11. のAWS アカウントを づけて を構築するサービス のアカウントで ⽤するメリット - ガバナンス : テスト/

    に することで な が可 - コスト 理 : アカウント に⾏える 金 理 - ⽤ : 更や問題発⽣時の 範囲の ⼩ 理アカウントには 何もないアカウントを利⽤ AWS Organizations を する アカウントの ⼀元 理 アカウントの ⾃動作成 ⼀括

12. 予 的 制に◎ SCP を する Root ⽤範囲 : Organizations

    体 / OU / アカウント単 OU に ⽤した場 、下 のOU にも ⽤される メリット: SCP を や OU に して ⽤させることで ポリシーの抜け漏れを ぐ SCP ( サービスコントロールポリシー) を利⽤すると 利⽤できる / 禁⽌するAWS リソースを できる SCP SCP

13. のアカウントへのサインインが ⼀元 理されてめっちゃくちゃ になる AWS SSO を する が簡単! ⼿順がわかりやすくてポチポチするだけで

    了 ユーザーも使いやすい! のアカウントへのサインインが1 回の で 了 aws cli v2 にも していて、プロファイルに しておけば ロールの切り替えも簡単でわかりやすい!! ⽤も ! 事異動や ・ があってもアクセス の 理が簡単 セキュアで便利な アクセスを 現

14. を する アカウントを利⽤するユーザ( グループ) に して に じた ⼩ の

    を する が簡単! - ユーザまたはグループに して ⽤させる - 現時点ではコンソールからのみ がどんなものがあるのか洗い して、 切な を する

15. 4 AWS SSO アカウント 例 : PJ が発⽣したとき Microsoft365 グループを作成

    グループにメンバーを IdP にグループを同期 AWS SSO へPush Group 件発⾜!! slack で 作成した配布グループのアドレスで 件⽤のAWS アカウント作成 作成したアカウントに をセット

16. マルチアカウント 理は コレ! といった正 がないので にベストな を しよう 早い で決めてしまうのが

    負担が なくておすすめ !!

17. まとめ There is no single answer to the AWS multi-

    account policy.You need to consider the best policy for your company while considering the advantages and disadvantages from multiple angles.AWS has many features to help you manage your accounts. Consider using accounts for billing management and security, and streamlining operations management. アカウントの 理には AWS Organizations を利⽤しよう AWS SSO はいいぞ にベストな を しよう 1 2 3

18. おまけ: ミスったポイント 1 アカウントの中に PJ が ったアカウントを⽉の 中で しく に

    させた 、 に する 前のCostExplorer のデータが⾒られなくなり コスト配 タグで レポートを作成できなくなってしまった。。 タグの 則がないと まとめるのめっちゃ苦労する。。 アカウントの 理の はタグの 則など ⽤ルールは に えよ メンバーアカウントが を離れた場 、そのメンバーアカウントは にいたときに⽣成された Cost Explorer データにアクセスできなくなるので しよう AWS Organizations に させたらCostExplorer データが⾒られなくなった タグの 則 : https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/consolidated-billing.html

19. おしまい Thank you. エンジニア⼤⼤⼤募 中でございます https://www.wantedly.com/projects/564261