AWSにおけるアカウント/ユーザーとは何かをなんとなく理解する

AWS なんもわからん状態から AWS におけるアカウント / ユーザーとは何かをなんとなく理解する 2022/05/07 horitks Gunma
web #45 クラウドインフラ by @t_pori418 1

自己紹介 Name: Hori Takashi Twitter: @t_pori418 Work: シェアリングプラットフォームEC の基盤開発チームエンジニア複業で新規SaaS
プロダクトの立ち上げ開発メンバー web インフラ・フロント・マネジメントまでいろいろやりますが、基本的にはWeb アプリのエンジニアです by @t_pori418 2

AWS の担当が別にいたり、 AWS を触ったことがないと中々理解できない「アカウント」とか「IAM 」とかをざっくり知ろうという話をします。（正直適切なアカウント設計は難しいです・・・） by
@t_pori418 3

今日話すこと AWS におけるアカウントとは組織とはユーザーとは最近改めて調べ直してはいますが間違いあったら指摘お願いします！ by @t_pori418 4

今日話さないこと OU(Organization Unit) 設計中身のサービスの話 by @t_pori418 5

AWS アカウントとはその名の通り、サービスを利用するアカウントです。メールアドレスが一つつきます。イコール請求の単位、とも限らないです（後述） by @t_pori418 6

IAM （ Identity and Access Management ）こちらはいわゆる権限みたいなものです。画面にアクセスするユーザーをイメージする場合「IAM ユーザー」
になります。認証と認可を設定するAWS の機能の一つです。 IAM ユーザーはそれぞれにメールアドレスを登録します。 by @t_pori418 7

Organization 組織です。複数のAWS アカウントを取りまとめることができます。ルートアカウントがあって、そこからOrganization が展開されるイメージです。 by @t_pori418 8

こんな感じ by @t_pori418 9

アカウントとかわけるとこんな感じ by @t_pori418 10

最初に作る時はどうすればいいの？最初に作るのは請求をまとめるためのroot アカウントです。取りまとめ用のアドレスを設定する aws-root@example.com IAM ユーザーで個人のユーザーを作る t.hori@example.com リソースを用途で分けたい時はOrganization を使います↓
by @t_pori418 11

Organization を使うと何が嬉しい？リソースをアカウントレベルで分割することができます例えば構築する時に他のリソース、本番、開発環境といった影響を与えることなく安全に検証・構築・デプロイができる請求を分けて見ることができます本番環境と検証環境が一つのAWS アカウントにまとまっているとどこまでが本番で発生した運用コストか分かりづらくなるアカウントが別れていると環境ごとの金額が見れる
by @t_pori418 12

Organization を使う例 ( 社員名 : hori, hoge, fuga) by @t_pori418
13

ちらっと話に出た OU って？ OrganizationUnit （組織単位）アカウントをまとめてグループ化するもの例えばサービスごとにOU でアカウントをまとめてポリシー（アクセスできるサービスの制御とか）をつけることができます
by @t_pori418 14

アカウントはどうわけるべき？ベストプラクティスはAWS から提案されています！（Well-Architected マルチアカウント戦略　詳しくはweb で） AWS Control Tower
というサービスを使えば推奨パターンでOU が分割されます。コスト面とか自分で理解しながら最小構成でやりたいって場合は前のスライドのRoot と請求をまとめたものくらいでもいいかもです。（あとは開発者が自由に検証できるSandbox 作るかか）なお私の個人アカウントは現状まったく分割しておりません by @t_pori418 15

最後に基礎的な内容ですが、非エンジニアに説明する時はアカウントやユーザーの概念がごっちゃにならないように話す必要があるなと思ってます。 GCP も前に使った時はめちゃめちゃ雰囲気で設定してたので次使う時は改めて勉強しておきたいです。 by @t_pori418 16

AWSにおけるアカウント/ユーザーとは何かをなんとなく理解する

AWSにおけるアカウント/ユーザーとは何かをなんとなく理解する

thori

More Decks by thori

Other Decks in Technology

Featured

Transcript

AWS なんもわからん状態から AWS におけるアカウント / ユーザーとは何かをなんとなく理解する 2022/05/07 horitks Gunma

自己紹介 Name: Hori Takashi Twitter: @t_pori418 Work: シェアリングプラットフォームEC の基盤開発チームエンジニア複業で新規SaaS

AWS の担当が別にいたり、 AWS を触ったことがないと中々理解できない「アカウント」とか「IAM 」とかをざっくり知ろうという話をします。（正直適切なアカウント設計は難しいです・・・） by

今日話すこと AWS におけるアカウントとは組織とはユーザーとは最近改めて調べ直してはいますが間違いあったら指摘お願いします！ by @t_pori418 4

今日話さないこと OU(Organization Unit) 設計中身のサービスの話 by @t_pori418 5

AWS アカウントとはその名の通り、サービスを利用するアカウントです。メールアドレスが一つつきます。イコール請求の単位、とも限らないです（後述） by @t_pori418 6

IAM （ Identity and Access Management ）こちらはいわゆる権限みたいなものです。画面にアクセスするユーザーをイメージする場合「IAM ユーザー」

Organization 組織です。複数のAWS アカウントを取りまとめることができます。ルートアカウントがあって、そこからOrganization が展開されるイメージです。 by @t_pori418 8

こんな感じ by @t_pori418 9

アカウントとかわけるとこんな感じ by @t_pori418 10

Organization を使う例 ( 社員名 : hori, hoge, fuga) by @t_pori418

ちらっと話に出た OU って？ OrganizationUnit （組織単位）アカウントをまとめてグループ化するもの例えばサービスごとにOU でアカウントをまとめてポリシー（アクセスできるサービスの制御とか）をつけることができます

アカウントはどうわけるべき？ベストプラクティスはAWS から提案されています！（Well-Architected マルチアカウント戦略　詳しくはweb で） AWS Control Tower