組織がAWSを使い始めるときに考えたい、アカウントとユーザーの管理

がAWS
を
使いめるときにえたい
AWS
アカウントと
ユーザの理
JAWS-UG
者 #35 LT
⼤ June 19, 2021

View Slide

Introduction
@suemin_jp
属:
O-KUN Inc. Business IT
「しく働くをのスタンダードに」
きなAWS Service:
- AWS Organizations
- AWS Cost Explorer
- Guard Duty
sumi @
情シスのおさん

View Slide

LIFT and SHIFT
Cloud-Native

View Slide

Are you ready?
そのAWS
アカウント、
とりあえずやってない?

View Slide

-
のAWS
が在していてそれぞれで独立している
- 1
アカウントの中にのプロジェクトが在
-
アカウントの切り替えはサインアウト→
サインイン
-
すべてIAM
ユーザでアクセス
- IAM
ユーザが正に理できてない
-
パスワードポリシーが超しい:
⼩ 16
桁上 (
めっちゃい)
半⾓英在
-
ぜったいMFA
利⽤
・
・
アカウントがえてきて
めんどくさくなってきた
ありがちな題 :
サインイン超⾯くさい問題
サインイン
+
MFA
サインイン +
MFA
サインイン
+
MFA

View Slide

したのIAM
ユーザのアクセスキーが
プログラムの中で使われていた
ありがちな題 : IAM
ユーザのアクセスキー問題
したA
さんの
IAM
ユーザを消したら
プログラムが動かなく
なっちゃったんだよね〜
えーまじっすかー
開発情シス

View Slide

件A
prod
件B
dev / stg
なんかよく
わかんない
やつ
件C
dev
Account - A Accout - B Account - C
件B
prod
⽤
件
ありがちな題 :
アカウントの⽬的が⾏不事件
アカウントの中が
ごちゃごちゃ

View Slide

SAML
SCIM
どうしたか
サインイン
+
MFA
AWS SSO
IdP
アカウント件A
開発⽤のアカウント
件A
⽤のアカウント
件B

View Slide

SAML
SCIM
サインイン
+
MFA
AWS SSO
IdP
アカウント
SSO
で
セキュアかつに
サインイン
個に紐づく
IAM
ユーザを作らない
件A
件A
⽤のアカウント
件B
アカウントは
プロジェクトごとに
ける
どうしたか

View Slide

かんたん 4 STEP
1 2 3 4
yes!
SCP
をする AWS SSO / IdP
の
の
AWS Organizations
を構成する

View Slide

のAWS
アカウントをづけて
を構築するサービス
のアカウントで⽤するメリット
-
ガバナンス :
テスト/
にすることでなが可
-
コスト理 :
アカウントに⾏える金理
-
⽤ :
更や問題発⽣時の範囲の⼩理アカウントには
何もないアカウントを利⽤
AWS Organizations
をする
アカウントの
⼀元理
アカウントの
⾃動作成⼀括

View Slide

予的制に◎
SCP
をする
Root
⽤範囲 :
Organizations
体 / OU /
アカウント単
OU
に⽤した場、下のOU
にも⽤される
メリット:
SCP
をや OU
にして⽤させることで
ポリシーの抜け漏れをぐ
SCP (
サービスコントロールポリシー)
を利⽤すると
利⽤できる /
禁⽌するAWS
リソースをできる
SCP
SCP

View Slide

のアカウントへのサインインが
⼀元理されてめっちゃくちゃになる
AWS SSO
をする
が簡単!
⼿順がわかりやすくてポチポチするだけで了
ユーザーも使いやすい!
のアカウントへのサインインが1
回ので了
aws cli v2
にもしていて、プロファイルにしておけば
ロールの切り替えも簡単でわかりやすい!!
⽤も !
事異動や・があってもアクセスの理が簡単
セキュアで便利な
アクセスを現

View Slide

をする
アカウントを利⽤するユーザ(
グループ)
にして
にじた⼩のをする
が簡単!
-
ユーザまたはグループにして⽤させる
-
現時点ではコンソールからのみ
がどんなものがあるのか洗いして、
切なをする

View Slide

4
AWS SSO
アカウント
例 : PJ
が発⽣したとき
Microsoft365
グループを作成
グループにメンバーを IdP
にグループを同期
AWS SSO
へPush Group
件発⾜!!
slack
で
作成した配布グループのアドレスで
件⽤のAWS
アカウント作成
作成したアカウントに
をセット

View Slide

マルチアカウント理は
コレ!
といった正がないので
にベストなをしよう
早いで決めてしまうのが
負担がなくておすすめ !!

View Slide

まとめ
There is no single answer to the AWS multi-
account policy.You need to consider the best
policy for your company while considering the
advantages and disadvantages from multiple
angles.AWS has many features to help you
manage your accounts. Consider using
accounts for billing management and security,
and streamlining operations management.
アカウントの理には
AWS Organizations
を利⽤しよう
AWS SSO
はいいぞ
にベストなをしよう
1
2
3

View Slide

おまけ:
ミスったポイント
1
アカウントの中に PJ
がったアカウントを⽉の中でしくにさせた、
にする前のCostExplorer
のデータが⾒られなくなり
コスト配タグでレポートを作成できなくなってしまった。。
タグの則がないとまとめるのめっちゃ苦労する。。
アカウントの理のはタグの則など⽤ルールはにえよ
メンバーアカウントがを離れた場、そのメンバーアカウントは
にいたときに⽣成された Cost Explorer
データにアクセスできなくなるのでしよう
AWS Organizations
にさせたらCostExplorer
データが⾒られなくなった
タグの則
: https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/consolidated-billing.html

View Slide

おしまい
Thank you.
エンジニア⼤⼤⼤募中でございます
https://www.wantedly.com/projects/564261

View Slide

組織がAWSを使い始めるときに考えたい、アカウントとユーザーの管理

組織がAWSを使い始めるときに考えたい、アカウントとユーザーの管理

sumi

More Decks by sumi

Other Decks in Technology

Featured

Transcript