AWS Control Towerをカスタマイズして使ってみよう

Transcript

1. AWS Control Towerを
 カスタマイズして使ってみよう
 2021/10/15
 AWS事業本部コンサルティング部 鈴木純


2. 2 自己紹介 鈴木純（Suzuki Jun） ・AWS事業本部 コンサルティング部(SA) ・好きなAWSサービス： ・AWS CloudFormation、AWS Control

   Tower ・2021 APN AWS Top Engineer

3. 3 お伝えしたいこと Control Towerで アカウントセットアップの自動化が捗る 便利なソリューションがあるよ

4. 4 お話すること 1. Landing Zoneを知る 2. アカウントセットアップの自動化 3. Control Towerのカスタマイズ

   4. まとめ

5. 5 話さないこと • Control Towerの深い部分 • AWSサービスの細かい説明 • OU設計

6. 6 マルチアカウントについて知りたい人は https://dev.classmethod.jp/articles/jaws-days-2021-control-tower/

7. 7 1. Landing Zoneを知る

8. 8 本題に入る前に 最近はAWSアカウントを分割することが推奨 • システム単位 ◦ 運用するシステム毎に分割 • 環境の分離 ◦

   開発、ステージング、本番で分割 • 課金 ◦ システムごと、環境ごとに請求を分けたい →AWSアカウントが増加する傾向にある

9. 9 マルチアカウント管理の課題 • 各アカウントへのログイン ◦ SSO？IAMロール？ ◦ 権限の制御方法 • 一定のセキュリティを担保

   ◦ CloudTrailとConfigは有効化 ◦ セキュリティ系AWSサービスを有効化 ◦ 望ましくない操作は検知 これらの実装方法を検討・実装する必要がある

10. 10 これらをどうやって実装・管理するか？ Landing Zone

11. 11 Landing Zoneを知る • Landing Zone とは？ ◦ AWS のベストプラクティスに基づいて構成したアカウントを、ス

    ケーラブルに展開していくための仕組みの総称 マルチアカウントのセットアップ・管理を 容易にする仕組み・考え方

12. 12 Landing Zoneの構成 1. アカウントの発行 ◦ 必要な初期設定の済んだアカウントを作成 2. 管理用権限の発行 ◦

    対象アカウントを管理するための権限を作成 3. 共有サービスへのアクセス (ユーザー環境に合わせて個別に実装する) ◦ AD やファイルサーバー等の共有サービスや運用拠点への接続経路の確保 4. AWS ログの集約 ◦ 監査用ログをセキュアに一元保存 5. ガードレールの設置 ◦ 実施してはいけない操作の禁止 (必須のガードレール) ◦ 危険な設定の監視 (強く推奨・選択的のガードレール) 参考：AWS マルチアカウント管理を実現するベストプラクティスとは ?

13. 13 Landing Zoneの実装方法 　　　Control Tower 　　　独自で実装

14. 14 Control Tower • Landing Zoneを実装するマネージド サービス • ボタン１つでLanding Zoneを展開

    • 東京リージョン対応 • 既存の組織・アカウントに適用可能 • 制約がなければControl Towerを採用

15. 15 独自で実装 • Landing Zoneの構成のものを独自に実装 • AWSサービスやサードパーティ製品を組み合 わせてLanding Zoneを実現 •

    柔軟性が高い • 実装が大変

16. 16 ここまでのまとめ • マルチアカウントの管理には様々な課題がある • 課題を解決するためのセットアップ・管理を容易にする仕 組み・考え方をLanding Zone • Landing

    Zoneの実装はControl Towerがおすすめ

17. 17 2. アカウントセットアップの自動化

18. 18 Control Towerでセットアップされるもの • AWS SSO • AWS Organizations ◦

    Audit ◦ Log Archive • CFn Account Baseline ◦ AWS Config ◦ AWS CloudTrail ◦ SNS(Config非準拠通知) ◦ Control Tower用 IAM Role • Network Baseline

19. 19 セットアップはこれで終わりではない その他にも様々な初期設定を追加したくなる • GuardDuty・SecurityHubを有効化 • IAM用パスワードポリシーを変更 • IAMロールの作成 など…

    各アカウント個別に設定・管理するのは 現実的ではない

20. 20 自動セットアップを追加していく • CFn Account Baseline ◦ AWS Config ◦

    AWS CloudTrail ◦ SNS(Config非準拠通知) ◦ Control Tower用 IAM Role • (Network Baseline)

21. 21 追加でセットアップする項目 • GuardDutyの有効化 • SecurityHubの有効化 • IAM Access Analyzerの有効化

    • IAMロールの作成 • IAMユーザー用パスワードポリシーの変更 • (SecurityHub)セキュリティ基準のコントロール無効化 ◦ 例：AWS Foundational Security Best Practices v1.0.0 ▪ IAM.3 IAM ユーザーのアクセスキーは 90 日ごとに更新する必要があります ▪ IAM.6 ハードウェア MFA はルートユーザーに対して有効にする必要があります

22. 22 追加でセットアップする項目 • GuardDutyの有効化 • SecurityHubの有効化 • IAM Access Analyzerの有効化

    • IAMロールの作成 • パスワードポリシーの変更 • セキュリティ基準のコントロール無効化

23. 23 Organizations連携を活用する

24. 24 Organizationsの連携機能 　 Organizations連携で自動有効化が可能 一部サービスでは管理者の委任が可能 Control Tower環境下ではAuditアカウントへの委任がおすすめ • GuardDuty ◦

    【Organizations】組織内すべてのアカウント・すべてのリージョンへの GuardDuty設 定を簡単に行う • SecurityHub ◦ Organizations 環境で AWS Security Hub を全リージョンへ簡単セットアップする • IAM Access Analyzer ◦ [アップデート] IAM Access Analyzer が AWS Organizations に対応しました！

25. 25 Organizationsの連携機能 連携サービスについてはドキュメント参照 　　　https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html

26. 26 Organizations連携による有効化 • CFn Account Baseline ◦ AWS Config ◦

    AWS CloudTrail ◦ SNS(Config非準拠通知) ◦ Control Tower用 IAM Role • Organizations連携 ◦ Amazon GuardDuty ◦ AWS SecurityHub ◦ IAM Access Analyzer

27. 27 追加でセットアップする項目 • GuardDutyの有効化 • SecurityHubの有効化 • IAM Access Analyzerの有効化

    • IAMロールの作成 • IAM ユーザー用パスワードポリシーの変更 • セキュリティ基準のコントロール無効化

28. 28 3. Control Towerのカスタマイズ

29. 29 Control Tower のカスタマイズとは • Customizations for AWS Control Tower(CfCT)

    • AWS提供のソリューション • CloudFormationで簡単に展開可能 https://aws.amazon.com/jp/solutions/implementations/customizations-for-aws-control-tower/

30. 30 何がすごいのか？ ソースにテンプレートを配置すれば、 アカウント発行時に自動で展開してくれる

31. 31 Control Tower のカスタマイズとは 前準備：CodeCommitにCFnテンプレート、 　　　 マニフェストファイルをPushしておく

32. 32 Control Tower のカスタマイズとは Control Towerのアカウント発行時に、CodeCommitに PushしたCFnテンプレートを自動でデプロイ

33. 33 CfCTの仕組み • Control Towerライフサイクルイベントワー クフロー ◦ Control Towerのアカウント発行時に起動 ◦

    EventBridge→SQS→Lambdaの順に実行 ◦ LambdaはCodePipelineを実行 • CodePipelineワークフロー ◦ 指定したソース(CodeCommit/S3)から テンプレート等を取得 ◦ マニフェストファイルに従って CloudFormation StackSets、SCPを展開 ◦ ソースに変更があった場合もCodePipeline が起動 • 展開先(OU/アカウント)はマニフェストファ イル上で指定可能

34. 34 CfCTの実装 1. CfCT展開用CloudFormationを実行 2. マニフェストファイルの作成 3. 指定したソースへ配置

35. 35 1.CfCT展開用CloudFormationの実行 • ソリューションページのリンクから 展開 • パラメータを設定 • 承認フローの追加も可能

36. 36 もう少し詳細に知りたい方は 　　　　https://dev.classmethod.jp/articles/customizations-for-control-tower/　

37. 37 2.マニフェストファイルの作成 --- region: ap-northeast-1#Control Tower home region version: 2021-03-15

    resources: # List of resources - name: <String> resource_file: <String> deployment_targets: accounts: - 012345678912 - AccountName1 organizational_units: - OuName1 - OuName2 deploy_method: stack_set regions: #list of strings parameters: - parameter_key: DisableList parameter_value: AAA, BBB 展開するテンプレート /SCPポリシーの場所 S3、もしくはlocalpathの指定が可能 展開先の指定 accounts：アカウントIDかアカウント名 organizational_units：OU名 デプロイ形式の選択 SCPかStackSetどちらかを選択 • CfCTを実行するための定義ファイル ◦ YAML形式で記述 ◦ 最新バージョンは2021-03-15 より詳細な記述方法については以下参照 AWS Control Tower のカスタマイズ AWS 開発者ガイド CloudFormationへ引き渡すパラメータ keyとvalueを指定することで任意のものを設定

38. 38 3.指定したソースへ配置 CfCT展開時のソースとして選択した方に配置 • CodeCommit ◦ ソリューション展開時に作成されたリポジトリをクローン ◦ 作成したマニフェストファイルを配置 ◦

    展開するCFnテンプレート(SCPポリシー)を配置 ◦ CodeCommitへPush • S3 ◦ マニフェストファイル等をZIPに圧縮 ◦ ソリューション展開時に作成されたS3へアップロード custom-control-tower-configuration ├── manifest.yaml └── template └── CreateIAMRole.yaml フォルダ構成例→

39. 39 CfCTによるIAMロール作成の自動化 IAMロールを例としているが、 CFn対応リソースであれば展開可能

40. 40 ここまででも十分ですが、 さらに一歩踏み込んでみる

41. 41 追加でセットアップする項目 • GuardDutyの有効化 • SecurityHubの有効化 • IAM Access Analyzerの有効化

    • IAMロールの作成 • IAM ユーザー用パスワードポリシーの変更 • セキュリティ基準のコントロール無効化

42. 42 自動化できていない理由 • IAM ユーザー用パスワードポリシーの変更 ◦ CloudFormation未対応 • セキュリティ基準のコントロール無効化 ◦

    Organizations連携ではコントロールの反映ができない ◦ CloudFormation未対応 これらも自動化したい場合はどうするのか？

43. 43 Lambda-backed カスタムリソースを利用 Lambda-backed カスタムリソースとは？ →CloudFormation未対応のリソースも管理可能

44. 44 CfCT利用時の実装イメージ 例）セキュリティ基準のコントロールを無効化

45. 45 Lambda-backed カスタムリソースの注意点 • Lambda-backed カスタムリソースの理解が必要 ◦ エラーハンドリング ◦ リクエストタイプ(作成・更新・削除)ごとの処理

    • テンプレートの視認性が悪い • Lambdaの作り込みが必要

46. 46 カスタムリソースを理解したい人は チュートリアルをやってみましょう https://dev.classmethod.jp/articles/lambda-backed-custom-resources-tutorial/

47. 47 リクエストタイプごとの処理を理解したい人は https://dev.classmethod.jp/articles/request-type-in-the-lambda-backed-custom-resources/

48. 48 カスタムリソースをアカウント セットアップに組み込む

49. 49 カスタムリソースのセットアップ追加

50. 50 アカウントセットアップまとめ • CFn Account Baseline ◦ AWS Config ◦

    AWS CloudTrail ◦ SNS(Config非準拠通知) ◦ Control Tower用 IAMロール • Organizations連携 ◦ Amazon GuardDuty ◦ AWS SecurityHub ◦ IAM Access Analyzer • Control Towerのカスタマイズ ◦ IAMロール ◦ IAMユーザー用パスワードポ リシー変更 ◦ セキュリティ基準のコントロー ル無効化

51. 51 4. まとめ

52. 52 まとめ • マルチアカウントの課題に対してセットアップ・管理を容易にする仕組 み・考え方をLanding Zone • 追加でアカウントのセットアップする場合はなるべく自動化 ◦ まずControl

    Towerでセットアップされるものを理解する ◦ Organizations連携できるものは利用する • それ以外はControl Towerのカスタマイズがとっても便利 ◦ CFn対応リソースなら自動で展開可能 ◦ CFn非対応の場合は、カスタムリソースを組み合わせる

53. 53 是非Control Towerを自社のポリシ ーに合わ せてカスタマイズしてみてください

54. None