Upgrade to Pro — share decks privately, control downloads, hide ads and more …

アジリティと両立する AWS のガバナンスコントロール

はまーん
PRO
July 29, 2024
Technology
4
210

アジリティと両立する AWS のガバナンスコントロール

Presented at AWS Startup Meetup 大阪 ReBoot
2024/07/29(月)
https://aws-startup-community.connpass.com/event/323403/

はまーん
PRO

July 29, 2024
Tweet

More Decks by はまーん

See All by はまーん
もうすぐローンチ 3 周年! AWS App Runner の魅力と進化の歴史
track3jyo
PRO
8
4.2k
スタートアップと re:invent 2023 と THE FRUGAL ARCHITECT
track3jyo
PRO
1
300
AWS App Runner を使う時に押さえておきたい勘所 〜 Web アプリをコンテナに最適化する 〜
track3jyo
PRO
6
5.5k
Hugo で作ったブログに閲覧数ランキングが欲しい!
track3jyo
PRO
2
950
必要十分な設計をデザインし続けるコト ~ ECS の Blue/Green デプロイを添えて ~
track3jyo
PRO
4
500
\ 祝!/AWS 大阪リージョン 2 周年の歩み
track3jyo
PRO
0
560
AWS re:Invent recap: SA が選ぶ 『スタートアップに嬉しい新サービス・新機能』 #AWSStartupfm
track3jyo
PRO
3
440
あなたと 「|」 したい・・・
track3jyo
PRO
2
2.3k
よくあるケースから学ぶ!AWS で想定外のコスト増につながるような実装や設計
track3jyo
PRO
21
2.7k

Other Decks in Technology

See All in Technology
React Aria で実現する次世代のアクセシビリティ
ryo_manba
4
630
新しいことを組織ではじめる、そしてつづける
kzkmaeda
4
380
データウェアハウス製品のSnowflakeでPythonが動くって知ってました?
foursue
1
150
セキュリティ監視の内製化 効率とリスク
mixi_engineers
PRO
5
690
デジタル化・DX推進あるある
y150saya
0
220
株式会社M2X エンジニアチーム紹介資料
m2xsoftware
0
330
Dify - LINE Bot連携 考え方と実用テクニック
uezo
5
1.1k
バックログを導入し やっぱやめた話
ota42y
0
170
技術ブログや登壇資料を秒で作るコツ伝授します
minorun365
PRO
18
4.6k
自社開発した大規模言語モデルをどうプロダクションに乗せて運用していくか〜インフラ編〜
pfn
PRO
4
830
ログラスが面白いと思う理由をマネージャーがエモく語ってみる / 20240829 vs LT
yoshikiiida
1
520
エンジニアリングマネージャーが紐解く、事業視点から組織文化まで、包括的アプローチの探求 / READYFOR
9ma3r
14
2.2k

Featured

See All Featured
A designer walks into a library…
pauljervisheath
201
24k
We Have a Design System, Now What?
morganepeng
48
7.1k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
88
15k
Code Reviewing Like a Champion
maltzj
518
39k
Infographics Made Easy
chrislema
239
18k
KATA
mclloyd
27
13k
Documentation Writing (for coders)
carmenintech
65
4.3k
Speed Design
sergeychernyshev
18
400
The Cost Of JavaScript in 2023
addyosmani
39
5.1k
Design by the Numbers
sachag
277
19k
The World Runs on Bad Software
bkeepers
PRO
64
11k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
109
6.9k

Transcript

  1. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. アジリティと両立する AWSのガバナンスコントロール Shinichi Hama(はまーん) アマゾン ウェブ サービス ジャパン合同会社 シニアソリューションアーキテクト

  2. © 2024, Amazon Web Services, Inc. or its affiliates. 2

    Shinichi Hama / はまーん (@track3jyo) Sr. Solutions Architect, Startup Amazon Web Services Japan --- • ⼤阪オフィス勤務(ほぼ家にいますが) • スタートアップ企業の⽀援 • 過去のスライド: https://speakerdeck.com/track3jyo • 趣味は「広く」あーきてくてぃんぐ

  3. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. AWS から⾒たガバナンス 3

  4. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 4 Guardrails Strategy

  5. © 2024, Amazon Web Services, Inc. or its affiliates. 5

    Builder(⼿が動く開発者)に⾃由を与え、 承認なく適切な箇所で適切なツールを使えるようにする それによって柔軟・迅速にビジネス価値を実現できる

  6. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンス 6

  7. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. ガバナンスにまつわるタスク 7 • ロギング • リスクのある設定の防⽌、検出、修正 • アラート通知設定 • ユーザー管理 • セキュリティチェックシート • パッチ適⽤(脆弱性管理) • コスト最適化(予算アラートの設定など) • インフラのコード化、DevOps導⼊ • AWS アカウント管理 ...and more

  8. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンスの課題

    8 • 事業フェーズや組織構造に起因 • Product Market Fit 優先のため⼈的リソースを割けない • ガバナンスに責任を持つチームが存在しない • フルサイクルエンジニアやテックリードなど、ハイスキルなメンバーが⽚⼿間で対応している • 外部に起因 • SRE/インフラエンジニアを採⽤したくとも転職市場に⼈がおらず採⽤が難しい • 例) そもそも採⽤⾃体ができない。⼈材流出後の補填もうまくいかない • 例) 業務委託で構築だけお願いしているので、継続的にガバナンスを向上させにくい

  9. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンスの課題

    9 ⼈的リソースが限られるなかでどうやって多岐にわたるタスクを実施するか︖ • 巨⼈の肩に⽴つ : AWSの経験によるベストプラクティスを適切なタイミングで活⽤ • 最⼩限のセキュリティ対策 – AWS Startup Security Baseline (AWS SSB) • マルチアカウント管理 – AWS Control Tower/Landing Zone • リファレンスの活⽤ – AWS Well-Archtected Framework – AWS Security Reference Architecure (AWS SRA)

  10. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップのためのガバナンス向上ジャーニー

    10 サービス⽴ち上げ PMF AWS Startup Security Baseline (AWS SSB) サービス数の増加 エンジニアの増加 アクション マルチアカウント管理 AWS Control Tower/BLEA 導⼊ Infra as Code, CI/CD pipeline 整備 Observability 導⼊ IPO 最低限必要な設定 運⽤コストのかからないマネージドサービスの導⼊ 開発速度を向上させる基盤の構築 複雑化するアーキテクチャと組織構造には⾃動化で対応 Platform Engineering とも関連 もちろん、ここで⽰したタイミングより早くアクションできるとGood! 可能であれば、最初期からのマルチアカウント管理が推奨 リファレンス AWS Security Reference Architecture (AWS SRA) AWS Well-Architected Framework

  11. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. ガバナンス向上のためのアプローチ 11

  12. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Startup Security Baseline (AWS SSB) 12 • アジリティを低下させることなく AWS にセキュリティを構築するための 最⼩限で基礎的なベースライン – 初期のスタートアップを念頭に設計 – 単⼀の AWS アカウント環境で利⽤することを想定している⼀⽅、マルチアカウント アーキテクチャへにも移⾏しやすい – AWS Well-Architected Framework セキュリティの柱と⼀致 – 「アカウントの保護」「ワークロードの保護」から構成されている https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/aws-startup-security-baseline/wkld-15.html

  13. © 2024, Amazon Web Services, Inc. or its affiliates. 13

    AWS SSB [Account編] ACCT02. rootユーザーの利⽤を制限する ACCT01. AWSアカウントの設定emailアドレスは個⼈の emailではなく組織のemailアドレスを設定する ACCT04. IAMグループを使⽤して権限を付与する ACCT03. AWSマネージメントへのアクセスを個々のIAM ユーザー毎に設定する ACCT05. ログイン時にMFAを要求する ACCT06. パスワードポリシーを強化する ACCT08. プライベート S3 バケットへのパブリックアクセ スを防ぐ ACCT07. CloudTrail ログを保護された S3 バケットに配 信する ACCT10. AWS Budgesを設定し⽀出を監視する ACCT09. 未使⽤のリソースを削除する(VPC、サブネット、 セキュリティグループ) ACCT11. Amazon GuardDuty を有効化し 通知設定をす る ACCT12. AWS Trusted Advisor を使⽤してリスクの⾼い 問題を監視して解決する

  14. © 2024, Amazon Web Services, Inc. or its affiliates. 14

    AWS SSB [ワークロード編] WKLD02. リソースベースのポリシーを使⽤する WKLD01. アクセス許可に IAM ロールを使⽤する WKLD04. アプリケーションシークレットを保護する WKLD03. エフェメラルシークレットまたはシークレット 管理サービスを使⽤する WKLD05. 公開されたシークレットを検出して修正する WKLD06. SSH または RDP の代わりに Systems Manager を使⽤する WKLD08. Amazon EBS ボリュームを暗号化する WKLD07. 選択した S3 バケットのデータイベントを記録 する WKLD10. プライベートリソースをプライベートサブネッ トにデプロイする WKLD09. Amazon RDS データベースを暗号化する WKLD11. セキュリティグループを使⽤してアクセスを制 限する WKLD12. VPC エンドポイントを使⽤して、サービスにア クセスする WKLD13. すべてのパブリックウェブエンドポイントに HTTPS を要求する WKLD14. パブリックエンドポイントにエッジプロテク ションサービスを使⽤する WKLD15. テンプレートを使⽤してセキュリティコント ロールをデプロイする

  15. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. とりあえず SSB やっとき!! 15

  16. © 2024, Amazon Web Services, Inc. or its affiliates. マルチアカウント管理

    16 • なぜマルチアカウント管理が必要か 請求の分離 セキュリティ境界 リソースの分離

  17. © 2024, Amazon Web Services, Inc. or its affiliates. マルチアカウント管理

    17 • シングルアカウント管理のデメリット • 「グレーな」境界 • 時間経過に伴って複雑で管理が⾯倒 • リソースのトラッキングが困難 • 責任の範囲が不明確 Everything

  18. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower 18 マネージド サービス 追加料⾦なし ベストプラクティス に基づく環境 マルチアカウント環境のセットアップを⾃動化するマネージドサービス 注意) AWS Control Tower を通じてセットアップするように設定されたサービスは費⽤が発⽣する可能性があります

  19. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower = コンフィグジェネレータ 19 AWS セキュリティサービス群にベストプラクティスに則った設定を投⼊し、 統制を利かせたマルチアカウント環境 (Landing Zone) を構成、運⽤するサービス User Landing Zone AWS Control Tower IAM Identity Center Service Catalog CloudFormation Organizations CloudTrail AWS Config etc アカウントを効率よく 管理する仕組み

  20. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower でできること 20 • ①シングルサインオン • 複数のAWSアカウントへのログインを共通ログイン画⾯で提供 • ②ログ集約 • AWSの操作ログ(監査ログ)の⾃動収集と、専⽤アカウントへの集約 • ③ガードレール • リスクのある操作の予防(禁⽌)と監視(通知) • ④アカウント作成 • 新規AWSアカウントの⾃動セットアップ(連絡先、⽀払い情報設定や上記設定の適⽤) ※なお、既存のワークロードへの副作⽤はありません。

  21. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップこそマルチアカウント運⽤に備えるべき

    21 https://aws.amazon.com/jp/blogs/startup/multi-accounts-and-control-tower/

  22. © 2024, Amazon Web Services, Inc. or its affiliates. 22

    スタートアップの⽅から聞く声 Control Tower を使っているけど、正直アカウント発⾏の 仕組み以上には使えていないんだよなー。 ⼭ほどガードレールがあって、推奨と⾔われても⾃分達は 何を有効にしたらいいのかピンとこない・・・

  23. © 2024, Amazon Web Services, Inc. or its affiliates. 23

    Control Tower - 包括的なコントロール管理機能 - Ø コントロールにフレームワーク、統制⽬標、 サービスなどのメタデータが付与され、 管理者が⽤途に応じて選択して適⽤しやすく なった • 例1. SageMaker を使いたい → SageMaker を対象とするコントロールを確認&有効化 • 例2. PCI DSS を準拠したい → PCI DSS を対象とするコントロールを確認&有効化 Ø 362 のコントロールをプリセットで提供 (2023 年 2 ⽉現在) https://aws.amazon.com/jp/blogs/news/new-for-aws-control-tower-comprehensive-controls-management-preview/

  24. © 2024, Amazon Web Services, Inc. or its affiliates. まとめ

    24 • AWSのガバナンスはビジネスを成功に導く戦略的な取り組み • スタートアップにおける課題と、ガバナンス向上ジャーニーを確認 • AWS Startup Security Baseline で必要最⼩限のタスクからスタートできる • マルチアカウント管理(AWS Control Tower)の導⼊によりガバナンス強化と ⾃動化を両⽴し、アジリティを落とさない

  25. これから始めるコンテナワークロード © 2024, Amazon Web Services, Inc. or its affiliates.

    © 2024, Amazon Web Services, Inc. or its affiliates. Thank you! :track3jyo Shinichi Hama(はまーん)