Upgrade to Pro — share decks privately, control downloads, hide ads and more …

アジリティと両立する AWS のガバナンスコントロール

はまーん
PRO
July 29, 2024
Technology
4
260

アジリティと両立する AWS のガバナンスコントロール

Presented at AWS Startup Meetup 大阪 ReBoot
2024/07/29(月)
https://aws-startup-community.connpass.com/event/323403/

はまーん
PRO

July 29, 2024
Tweet

More Decks by はまーん

See All by はまーん
もうすぐローンチ 3 周年! AWS App Runner の魅力と進化の歴史
track3jyo
PRO
9
4.6k
スタートアップと re:invent 2023 と THE FRUGAL ARCHITECT
track3jyo
PRO
1
330
AWS App Runner を使う時に押さえておきたい勘所 〜 Web アプリをコンテナに最適化する 〜
track3jyo
PRO
6
6.5k
Hugo で作ったブログに閲覧数ランキングが欲しい!
track3jyo
PRO
2
1k
必要十分な設計をデザインし続けるコト ~ ECS の Blue/Green デプロイを添えて ~
track3jyo
PRO
4
530
\ 祝!/AWS 大阪リージョン 2 周年の歩み
track3jyo
PRO
0
580
AWS re:Invent recap: SA が選ぶ 『スタートアップに嬉しい新サービス・新機能』 #AWSStartupfm
track3jyo
PRO
3
460
あなたと 「|」 したい・・・
track3jyo
PRO
2
2.4k
よくあるケースから学ぶ!AWS で想定外のコスト増につながるような実装や設計
track3jyo
PRO
21
2.7k

Other Decks in Technology

See All in Technology
Application Development WG Intro at AppDeveloperCon
salaboy
0
180
SSMRunbook作成の勘所_20241120
koichiotomo
2
120
TypeScript、上達の瞬間
sadnessojisan
46
13k
オープンソースAIとは何か? --「オープンソースAIの定義 v1.0」詳細解説
shujisado
5
560
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
290
Lambdaと地方とコミュニティ
miu_crescent
2
370
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
330
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
350
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
170
複雑なState管理からの脱却
sansantech
PRO
1
140
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
270

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
A better future with KSS
kneath
238
17k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Embracing the Ebb and Flow
colly
84
4.5k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Making Projects Easy
brettharned
115
5.9k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Happy Clients
brianwarren
98
6.7k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Faster Mobile Websites
deanohume
305
30k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k

Transcript

  1. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. アジリティと両立する AWSのガバナンスコントロール Shinichi Hama(はまーん) アマゾン ウェブ サービス ジャパン合同会社 シニアソリューションアーキテクト

  2. © 2024, Amazon Web Services, Inc. or its affiliates. 2

    Shinichi Hama / はまーん (@track3jyo) Sr. Solutions Architect, Startup Amazon Web Services Japan --- • ⼤阪オフィス勤務(ほぼ家にいますが) • スタートアップ企業の⽀援 • 過去のスライド: https://speakerdeck.com/track3jyo • 趣味は「広く」あーきてくてぃんぐ

  3. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. AWS から⾒たガバナンス 3

  4. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 4 Guardrails Strategy

  5. © 2024, Amazon Web Services, Inc. or its affiliates. 5

    Builder(⼿が動く開発者)に⾃由を与え、 承認なく適切な箇所で適切なツールを使えるようにする それによって柔軟・迅速にビジネス価値を実現できる

  6. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンス 6

  7. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. ガバナンスにまつわるタスク 7 • ロギング • リスクのある設定の防⽌、検出、修正 • アラート通知設定 • ユーザー管理 • セキュリティチェックシート • パッチ適⽤(脆弱性管理) • コスト最適化(予算アラートの設定など) • インフラのコード化、DevOps導⼊ • AWS アカウント管理 ...and more

  8. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンスの課題

    8 • 事業フェーズや組織構造に起因 • Product Market Fit 優先のため⼈的リソースを割けない • ガバナンスに責任を持つチームが存在しない • フルサイクルエンジニアやテックリードなど、ハイスキルなメンバーが⽚⼿間で対応している • 外部に起因 • SRE/インフラエンジニアを採⽤したくとも転職市場に⼈がおらず採⽤が難しい • 例) そもそも採⽤⾃体ができない。⼈材流出後の補填もうまくいかない • 例) 業務委託で構築だけお願いしているので、継続的にガバナンスを向上させにくい

  9. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンスの課題

    9 ⼈的リソースが限られるなかでどうやって多岐にわたるタスクを実施するか︖ • 巨⼈の肩に⽴つ : AWSの経験によるベストプラクティスを適切なタイミングで活⽤ • 最⼩限のセキュリティ対策 – AWS Startup Security Baseline (AWS SSB) • マルチアカウント管理 – AWS Control Tower/Landing Zone • リファレンスの活⽤ – AWS Well-Archtected Framework – AWS Security Reference Architecure (AWS SRA)

  10. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップのためのガバナンス向上ジャーニー

    10 サービス⽴ち上げ PMF AWS Startup Security Baseline (AWS SSB) サービス数の増加 エンジニアの増加 アクション マルチアカウント管理 AWS Control Tower/BLEA 導⼊ Infra as Code, CI/CD pipeline 整備 Observability 導⼊ IPO 最低限必要な設定 運⽤コストのかからないマネージドサービスの導⼊ 開発速度を向上させる基盤の構築 複雑化するアーキテクチャと組織構造には⾃動化で対応 Platform Engineering とも関連 もちろん、ここで⽰したタイミングより早くアクションできるとGood! 可能であれば、最初期からのマルチアカウント管理が推奨 リファレンス AWS Security Reference Architecture (AWS SRA) AWS Well-Architected Framework

  11. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. ガバナンス向上のためのアプローチ 11

  12. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Startup Security Baseline (AWS SSB) 12 • アジリティを低下させることなく AWS にセキュリティを構築するための 最⼩限で基礎的なベースライン – 初期のスタートアップを念頭に設計 – 単⼀の AWS アカウント環境で利⽤することを想定している⼀⽅、マルチアカウント アーキテクチャへにも移⾏しやすい – AWS Well-Architected Framework セキュリティの柱と⼀致 – 「アカウントの保護」「ワークロードの保護」から構成されている https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/aws-startup-security-baseline/wkld-15.html

  13. © 2024, Amazon Web Services, Inc. or its affiliates. 13

    AWS SSB [Account編] ACCT02. rootユーザーの利⽤を制限する ACCT01. AWSアカウントの設定emailアドレスは個⼈の emailではなく組織のemailアドレスを設定する ACCT04. IAMグループを使⽤して権限を付与する ACCT03. AWSマネージメントへのアクセスを個々のIAM ユーザー毎に設定する ACCT05. ログイン時にMFAを要求する ACCT06. パスワードポリシーを強化する ACCT08. プライベート S3 バケットへのパブリックアクセ スを防ぐ ACCT07. CloudTrail ログを保護された S3 バケットに配 信する ACCT10. AWS Budgesを設定し⽀出を監視する ACCT09. 未使⽤のリソースを削除する(VPC、サブネット、 セキュリティグループ) ACCT11. Amazon GuardDuty を有効化し 通知設定をす る ACCT12. AWS Trusted Advisor を使⽤してリスクの⾼い 問題を監視して解決する

  14. © 2024, Amazon Web Services, Inc. or its affiliates. 14

    AWS SSB [ワークロード編] WKLD02. リソースベースのポリシーを使⽤する WKLD01. アクセス許可に IAM ロールを使⽤する WKLD04. アプリケーションシークレットを保護する WKLD03. エフェメラルシークレットまたはシークレット 管理サービスを使⽤する WKLD05. 公開されたシークレットを検出して修正する WKLD06. SSH または RDP の代わりに Systems Manager を使⽤する WKLD08. Amazon EBS ボリュームを暗号化する WKLD07. 選択した S3 バケットのデータイベントを記録 する WKLD10. プライベートリソースをプライベートサブネッ トにデプロイする WKLD09. Amazon RDS データベースを暗号化する WKLD11. セキュリティグループを使⽤してアクセスを制 限する WKLD12. VPC エンドポイントを使⽤して、サービスにア クセスする WKLD13. すべてのパブリックウェブエンドポイントに HTTPS を要求する WKLD14. パブリックエンドポイントにエッジプロテク ションサービスを使⽤する WKLD15. テンプレートを使⽤してセキュリティコント ロールをデプロイする

  15. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. とりあえず SSB やっとき!! 15

  16. © 2024, Amazon Web Services, Inc. or its affiliates. マルチアカウント管理

    16 • なぜマルチアカウント管理が必要か 請求の分離 セキュリティ境界 リソースの分離

  17. © 2024, Amazon Web Services, Inc. or its affiliates. マルチアカウント管理

    17 • シングルアカウント管理のデメリット • 「グレーな」境界 • 時間経過に伴って複雑で管理が⾯倒 • リソースのトラッキングが困難 • 責任の範囲が不明確 Everything

  18. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower 18 マネージド サービス 追加料⾦なし ベストプラクティス に基づく環境 マルチアカウント環境のセットアップを⾃動化するマネージドサービス 注意) AWS Control Tower を通じてセットアップするように設定されたサービスは費⽤が発⽣する可能性があります

  19. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower = コンフィグジェネレータ 19 AWS セキュリティサービス群にベストプラクティスに則った設定を投⼊し、 統制を利かせたマルチアカウント環境 (Landing Zone) を構成、運⽤するサービス User Landing Zone AWS Control Tower IAM Identity Center Service Catalog CloudFormation Organizations CloudTrail AWS Config etc アカウントを効率よく 管理する仕組み

  20. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower でできること 20 • ①シングルサインオン • 複数のAWSアカウントへのログインを共通ログイン画⾯で提供 • ②ログ集約 • AWSの操作ログ(監査ログ)の⾃動収集と、専⽤アカウントへの集約 • ③ガードレール • リスクのある操作の予防(禁⽌)と監視(通知) • ④アカウント作成 • 新規AWSアカウントの⾃動セットアップ(連絡先、⽀払い情報設定や上記設定の適⽤) ※なお、既存のワークロードへの副作⽤はありません。

  21. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップこそマルチアカウント運⽤に備えるべき

    21 https://aws.amazon.com/jp/blogs/startup/multi-accounts-and-control-tower/

  22. © 2024, Amazon Web Services, Inc. or its affiliates. 22

    スタートアップの⽅から聞く声 Control Tower を使っているけど、正直アカウント発⾏の 仕組み以上には使えていないんだよなー。 ⼭ほどガードレールがあって、推奨と⾔われても⾃分達は 何を有効にしたらいいのかピンとこない・・・

  23. © 2024, Amazon Web Services, Inc. or its affiliates. 23

    Control Tower - 包括的なコントロール管理機能 - Ø コントロールにフレームワーク、統制⽬標、 サービスなどのメタデータが付与され、 管理者が⽤途に応じて選択して適⽤しやすく なった • 例1. SageMaker を使いたい → SageMaker を対象とするコントロールを確認&有効化 • 例2. PCI DSS を準拠したい → PCI DSS を対象とするコントロールを確認&有効化 Ø 362 のコントロールをプリセットで提供 (2023 年 2 ⽉現在) https://aws.amazon.com/jp/blogs/news/new-for-aws-control-tower-comprehensive-controls-management-preview/

  24. © 2024, Amazon Web Services, Inc. or its affiliates. まとめ

    24 • AWSのガバナンスはビジネスを成功に導く戦略的な取り組み • スタートアップにおける課題と、ガバナンス向上ジャーニーを確認 • AWS Startup Security Baseline で必要最⼩限のタスクからスタートできる • マルチアカウント管理(AWS Control Tower)の導⼊によりガバナンス強化と ⾃動化を両⽴し、アジリティを落とさない

  25. これから始めるコンテナワークロード © 2024, Amazon Web Services, Inc. or its affiliates.

    © 2024, Amazon Web Services, Inc. or its affiliates. Thank you! :track3jyo Shinichi Hama(はまーん)