AWS Control Tower に学ぶ！ IAM Identity Center 権限設計の第一歩 / IAM Identity Center with Control Tower

AWS Control Tower に学ぶ！ IAM Identity Center 権限設計の第一歩 2025年10月11日 JAWS
FESTA 2025 in 金沢 BABY JOB株式会社大谷優多

大谷優多（Otani Yuta) 自己紹介氏名所属 BABY JOB株式会社クラウドインフラの管理やAIツールの整備をしています
経歴 ISP → 製造業 → 現職（2024/11 ~)　　 : : : x 2 x 2 x 2 2

紹介内容 IAM Identity Center の基本運用規模や背景 AWS Control Tower が展開する
IAM Idenity Center 構成 IAM Identity Center 構成の改善 3

弊社の運用規模 AWSアカウント：十数個開発組織の人数：約３０名インフラエンジニアは２名数年前に Control Tower 環境に引っ越し
5

背景 Control Tower 作成当初開発組織の人数やアカウント数も今よりももっと少ない 6

背景 Control Tower 作成当初最低限、管理系アカウントだけ分離しておけばよかった開発組織の人数やアカウント数も今よりももっと少ない 7

背景 Control Tower 作成当初現在最低限、管理系アカウントだけ分離しておけばよかった開発組織の人数やアカウント数も今よりももっと少ない 8

背景 Control Tower 作成当初現在開発組織の人数倍以上に増加アカウントの用途も増加新プロダクトの追加、AI利用開始・・・
最低限、管理系アカウントだけ分離しておけばよかった開発組織の人数やアカウント数も今よりももっと少ない 9

背景 Control Tower 作成当初現在アカウントの用途も増加新プロダクトの追加、AI利用開始・・・最低限、管理系アカウントだけ分離しておけばよかった
事業用のアカウント群の権限体系も考える段階になった開発組織の人数やアカウント数も今よりももっと少ない開発組織の人数倍以上に増加 10

複数のAWSアカウントとビジネスアプリケーションを一元管理できる仕組み IAM Identity Center IAM Identity Center Member Account A
Member Account B Member Account C 専用のポータルから各アカウントに接続 12

IAM Identity Center の登場人物ユーザーグループ許可セット：IAM Identity Center
へアクセスする人　一意なユーザ名とメールアドレスの指定が必要：ユーザーの論理的な組み合わせグループを入れ子形式にはできない：IAM ポリシーをまとめたテンプレートユーザーやグループに割り当て可能な権限 13

ユーザーグループプリンシパル許可セットアカウント IAM Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定
14

ユーザーグループプリンシパル許可セットアカウント誰がどんな権限でどのアカウントにアクセスできるかを制御 IAM
Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定 15

IAM Identity Center の権限割り当ての考え方 - 許可セットの割り当てグループ A 許可セットグループ
B Member Account A Member Account B 許可セット同じ許可セット同じ許可セットを利用してもグループごとにアカウントの接続制限が可能 16

IAM Identity Center の権限割り当ての考え方 - グループ分割ユーザーをグループに所属させるバリエーションもいくつかある 17

IAM Identity Center の権限割り当ての考え方 - グループ分割グループ A 所属別グループ所属
A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加ユーザーをグループに所属させるバリエーションもいくつかある 18

A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加組織構造をそのまま反映するので、ユーザー管理としてはやりやすい一方、一部ユーザーだけ追加の権限を付与するといったことがしづらいユーザーをグループに所属させるバリエーションもいくつかある 19

A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加役割に応じて柔軟な権限管理が可能一方、細かく分割しすぎると、今度はグループの管理が大変になるユーザーをグループに所属させるバリエーションもいくつかある 20

A グループ B 所属 B 所属別の分割グループ A 役割別グループ役割 A, B グループ B 役割 B 原則ユーザーは１グループのみに参加役割別の分割役割に応じてユーザーは複数のグループに参加ユーザーをグループに所属させるバリエーションもいくつかある権限割り当てもいろんなバリエーションがあるけど、どのようにすればよいか？ 21

なぜ AWS Control Tower なのか？ 23

「AWS Control Tower は、何千もの企業と連携することで確立されたベストプラクティスに基づいて、安全で準拠したマルチアカウント AWS 環境を設定および管理するための最も簡単な方法を提供します。」 AWS
Control Tower 24 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/what-is-control-tower.html

「AWS Control Tower は、何千もの企業と連携することで確立されたベストプラクティスに基づいて、安全で準拠したマルチアカウント AWS 環境を設定および管理するための最も簡単な方法を提供します。」 AWS
Control Tower https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/what-is-control-tower.html AWSのベストプラクティスが実装された「お手本」環境（ランディングゾーン）が設定・管理できる 25

AWS Control Tower AWS Control Tower が展開するランディングゾーン Management AWS CloudFormation
StackSets Service Catalog AWS Organizations AWS IAM Identity Center Identity Center directory Security OU Sandbox OU Audit Log Archive Account Baseline Account Baseline Log Bucket Amazon GuardDuty AWS Security Hub CSPM member Member Account Baseline Network Baseline 26

AWS Control Tower Identity Center directory member AWS Organizations AWS
Control Tower が展開するランディングゾーン Management AWS CloudFormation StackSets Service Catalog AWS IAM Identity Center Security OU Sandbox OU Audit Log Archive Account Baseline Account Baseline Log Bucket Amazon GuardDuty AWS Security Hub CSPM Member Account Baseline Network Baseline IAM Identity Center もランディングゾーンとして含まれている 27

AWS Control Tower が展開するランディングゾーン AWS Control Tower が展開する IAM Identity
Center もベストプラクティスに沿った構成になっているはず！！ AWS Control Tower AWS IAM Identity Center 28

AWS Control Tower が展開するランディングゾーン AWS Control Tower が展開する IAM Identity
Center もベストプラクティスに沿った構成になっているはず！！ AWS Control Tower AWS IAM Identity Center この構成を分析にすれば、権限設計の参考になるのでは？ 29

分析！！ 30

AWS Control Tower による IAM Identity Center の作成 AWS Control
Tower AWS IAM Identity Center ユーザー１グループ 8 許可セット 6 ユーザー、グループ、許可セットがいくつか作成される 31

AWS Control Tower による IAM Identity Center の作成 AWS Control
Tower AWS IAM Identity Center ユーザー１グループ 8 許可セット 6 ユーザー、グループ、許可セットがいくつか作成される管理アカウントのメールアドレスをユーザーとして登録これらを確認割愛 32

作成される IAM Identity Center のリソース詳細 - グループグループ名説明 AWSControlTowerAdmins
管理系アカウントへ管理者権限で接続可能メンバーアカウントへはOrganizationsの管理が可能 AWSSecurityAuditPowerUsers 全アカウントへパワーユーザー権限で接続可能 AWSSecurityAuditors 全アカウントへ読み取り権限で接続可能 AWSAccountFactotory Account Factoryによる新規アカウントの作成が可能 AWSServiceCatalogAdmins Account Factoryの設定や管理が可能 ※アカウント作成は不可 AWSAuditAccountAdmins 監査アカウントへ管理者権限で接続可能 AWSLogArchiveAdmins ログアーカイブアカウントへ管理者権限で接続可能 AWSLogArchiveViewers ログアーカイブアカウントへ読み取り権限で接続可能階層的なグループ分割やアカウント・役割別の分割がされている 33

作成される IAM Identity Center のリソース詳細 - グループグループ名説明 AWSControlTowerAdmins
管理系アカウントへ管理者権限で接続可能メンバーアカウントへはOrganizationsの管理が可能 AWSSecurityAuditPowerUsers 全アカウントへパワーユーザー権限で接続可能 AWSSecurityAuditors 全アカウントへ読み取り権限で接続可能 AWSAccountFactotory Account Factoryによる新規アカウントの作成が可能 AWSServiceCatalogAdmins Account Factoryの設定や管理が可能 ※アカウント作成は不可 AWSAuditAccountAdmins 監査アカウントへ管理者権限で接続可能 AWSLogArchiveAdmins ログアーカイブアカウントへ管理者権限で接続可能 AWSLogArchiveViewers ログアーカイブアカウントへ読み取り権限で接続可能横断なグループ分割やアカウント・役割別の分割がされている横断 34

グループ名説明 AWSControlTowerAdmins 管理系アカウントへ管理者権限で接続可能メンバーアカウントへはOrganizationsの管理が可能 AWSSecurityAuditPowerUsers 全アカウントへパワーユーザー権限で接続可能 AWSSecurityAuditors 全アカウントへ読み取り権限で接続可能 AWSAccountFactotory
Account Factoryによる新規アカウントの作成が可能 AWSServiceCatalogAdmins Account Factoryの設定や管理が可能 ※アカウント作成は不可 AWSAuditAccountAdmins 監査アカウントへ管理者権限で接続可能 AWSLogArchiveAdmins ログアーカイブアカウントへ管理者権限で接続可能 AWSLogArchiveViewers ログアーカイブアカウントへ読み取り権限で接続可能作成される IAM Identity Center のリソース詳細 - グループ階層的なグループ分割やアカウント・役割別の分割がされている役割別 35

作成される IAM Identity Center のリソース詳細 - 許可セット許可セット名説明 AWSAdministratorAccess
管理者権限. AdministratorAccess の IAM ポリシーを付与 AWSPowerUserAccess IAMやOrganizations 以外のリソースへの管理権限 PowerUserAccess のマネージドポリシーを付与 AWSReadOnlyAccess すべてのAWSサービスとリソースに対する読み取り権限 ViewOnlyAccess のマネージドポリシーを付与 AWSOrgainizationsFullAccess Organizations に対する管理者権限 AWSOrganizationsFullAccess のマネージドポリシーを付与 AWSServiceCatalogAdminFullAccess Service Catalog に対する管理者権限 ServiceCatalogAdminFullAccess のマネージドポリシーを付与 AWSServiceCatalogEndUserAccess Service Catalog に対する利用者権限 ServiceCatalogEndUserAccess のマネージドポリシーを付与概ねグループ名に準じたAWSマネージドポリシーが割り当てられている複数のグループで再利用性が高い許可セットが作成されている 36

作成される IAM Identity Center のリソース詳細 - 整理 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors
全アカウントに及ぶ基本グループ役割別グループ Management AWSServiceCatalogAdmins AWSAccountFactory Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins ServiceCatalog 管理管理 ServiceCatalog 利用編集閲覧管理閲覧管理 ※1 メンバーアカウントに対しては、Organizationsの管理が可能 ※ 1 37

全アカウントに及ぶ基本グループ役割別グループ Management AWSServiceCatalogAdmins AWSAccountFactory Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins ※1 メンバーアカウントに対しては、Organizationsの管理が可能 38 管理編集閲覧 ※ 1 ServiceCatalog 管理 ServiceCatalog 利用管理閲覧管理アカウント横断的な権限を許可したい場合等に利用

全アカウントに及ぶ基本グループ Management AWSServiceCatalogAdmins AWSAccountFactory Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins ServiceCatalog 管理管理 ServiceCatalog 利用編集閲覧管理閲覧管理 ※1 メンバーアカウントに対しては、Organizationsの管理が可能 ※ 1 39 役割別グループ個別のアカウントや関心事限った権限が必要な場合に利用

弊社における構成の見直し 41

Control Tower の管理系アカウントとの権限分離は実施済み Before - 見直し前の IAM Identity Center グループ
Control Tower により作成された IAM Identity Center に１つグループを追加グループには事業用アカウントへの接続権限を指定 AWSSecurityAuditors BussinessGroups Product Account A Product Account B Product Account C 参照管理/編集エンジニア 42

Control Tower により作成された IAM Identity Center に１つグループを追加グループには事業用アカウントへの接続権限を指定 AWSSecurityAuditors BussinessGroups Product Account A Product Account B Product Account C 参照管理/編集エンジニアどの事業を担当しているかは、エンジニアそれぞれだけど、グループは一つ 43

Control Tower により作成された IAM Identity Center に１つグループを追加グループには事業用アカウントへの接続権限を指定 AWSSecurityAuditors BussinessGroups Product Account A Product Account B Product Account C 参照管理/編集エンジニア各エンジニアの担当事業以外のアカウントについても、管理者権限を持っている構造 44

After - 見直し後の IAM Identity Center グループ Admins Editors Viewers
役割別グループ AIUsers Bedrock 利用管理閲覧管理全アカウントに及ぶ基本グループ SecurityAdmins SecurityEditors Security OU 編集 AI 編集事業・所属別グループ Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 45

許可セット名説明 AdministratorAccess 管理者権限. AdministratorAccess の IAM ポリシーを付与 PowerUserAccess IAMやOrganizations
以外のリソースへの管理権限 PowerUserAccess のマネージドポリシーを付与 ReadOnlyAccess すべてのAWSサービスとリソースに対する読み取り権限 ViewOnlyAccess ＋ログ等も閲覧できるようにインラインポリシーを定義 AIOnlyAccess Amazon Bedrock の LLM モデルの呼び出し権限モデル呼び出しのみが可能なように、インラインポリシーを定義 After - 見直し後の許可セット基本的な許可セットと一部役割に応じた許可セットを作成現状の規模で権限を細分化しても管理が大変になるだけのため 46

許可セット名説明 AdministratorAccess 管理者権限. AdministratorAccess の IAM ポリシーを付与 PowerUserAccess IAMやOrganizations
以外のリソースへの管理権限 PowerUserAccess のマネージドポリシーを付与 ReadOnlyAccess すべてのAWSサービスとリソースに対する読み取り権限 ViewOnlyAccess ＋ログ等も閲覧できるようにインラインポリシーを定義 AIOnlyAccess Amazon Bedrock の LLM モデルの呼び出し権限モデル呼び出しのみが可能なように、インラインポリシーを定義 After - 見直し後の許可セット基本的な許可セットと一部役割に応じた許可セットを作成現状の規模で権限を細分化しても管理が大変になるだけのためカスタマー管理ポリシーの場合は、あらかじめ対象アカウントにポリシーを巻く必要があるため 47

AIUsers Bedrock 利用管理閲覧管理 SecurityAdmins SecurityEditors Security OU 編集 AI 編集事業・所属別グループ Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 48 役割別グループ全アカウントに及ぶ基本グループ

Control Tower から参考にした点 - 基本グループの構成 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors 編集閲覧
※1 メンバーアカウントに対しては、Organizationsの管理が可能管理 ※ 1 グループの構造は踏襲して、割り当てる許可セットを一部変更 Control Tower によるグループ Admins Editors Viewers 編集閲覧管理作成したグループ 49

Control Tower から参考にした点 - 基本グループの構成 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors ※1 メンバーアカウントに対しては、Organizationsの管理が可能
グループの構造は踏襲して、割り当てる許可セットを一部変更 Control Tower によるグループ Admins Editors Viewers 作成したグループ全アカウントの管理権限を付与理由 Control Towerの管理と組織横断のインフラ管理で役割を分離していないため 50 編集閲覧管理 ※ 1 編集閲覧管理

Control Tower から参考にした点 - 基本グループの構成 AWSControlTowerAdmins AWSSecurityAuditPowerUsers AWSSecurityAuditors ※1 メンバーアカウントに対しては、Organizationsの管理が可能
グループの構造は踏襲して、割り当てる許可セットを一部変更 Control Tower によるグループ Admins Editors Viewers 作成したグループ ViweOnlyAccess + α のポリシーを付与理由セキュリティ設定等は、他のプロダクトでも参考となるので、広く参照を許可したい Log Archive 内のログもグループを分割せずに参照できるようにしたい 51 編集閲覧管理編集閲覧管理 ※ 1

管理 Bedrock 利用 Management AWSServiceCatalogAdmins AWSAccountFactory ServiceCatalog 管理 ServiceCatalog 利用
Security OU SecurityAdmins SecurityEditors AI AIUsers 管理編集 Control Tower から参考にした点 - 役割別グループの構成実際の管理体系に合わせてグループ構造を集約 Control Towerによるグループ Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins 管理閲覧管理作成したグループ 52

管理 Management AWSServiceCatalogAdmins AWSAccountFactory Security OU SecurityAdmins SecurityEditors AI AIUsers
Control Tower から参考にした点 - 役割別グループの構成実際の管理体系に合わせてグループ構造を集約 Control Towerによるグループ Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins 作成したグループ集約 53 ServiceCatalog 管理 ServiceCatalog 利用管理閲覧管理未採用 Bedrock 利用管理編集

管理 Management AWSServiceCatalogAdmins AWSAccountFactory Security OU SecurityAdmins SecurityEditors AI AIUsers
Control Tower から参考にした点 - 役割別グループの構成実際の管理体系に合わせてグループ構造を集約 Control Towerによるグループ Log Archive AWSLogArchiveAdmins AWSLogArchiveViewers Audit AWSAuditAccountAdmins 作成したグループ集約 54 ServiceCatalog 管理 ServiceCatalog 利用管理閲覧管理未採用 Bedrock 利用管理編集開発支援系AI（Claude Code, Cline...）で利用する Bedrockは専用の役割を持つグループとして構成

役割別グループ AIUsers Bedrock 利用管理閲覧管理全アカウントに及ぶ基本グループ SecurityAdmins SecurityEditors Security OU 編集 AI 編集 Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 55 事業・所属別グループ

役割別グループ AIUsers Bedrock 利用管理閲覧管理全アカウントに及ぶ基本グループ SecurityAdmins SecurityEditors Security OU 編集 AI 編集 Group N ・・・ Group 1 Group1Engineers GroupNEngineers 管理 /編集管理 /編集 56 事業・所属別グループ同一アカウントでも階層的に権限を付与するという点を参考

事業・所属別グループの構成管理 Group N ・・・ GroupNEngineers 管理 /編集基本的にはグループと担当事業が１対１となるように構成 Group
1 Group1Engineers 管理 /編集担当事業外のアカウントに対しては管理・編集権限を持たない本番検証・・・事業 1 本番検証事業 N 57

参照管理/編集管理/編集参照 IAM Identity Center グループ構成の Before /
After AWSSecurityAuditors BussinessGroups XXXXEngineers Viewers AIUsers Before 管理系アカウントのみ権限分離 After 担当事業ごとに権限分離＋不足分は役割ベースのグループで権限付与 XXX は担当事業のもの管理系アカウントグループ＋ Bedrock 利用全アカウントの管理・編集グループ＋ 58

CloudFormation による実装 59

CloudFormation 化の範囲グループ、許可セットと権限割り当て部分を IaC 化グループ許可セットユーザーグループメンバーシップ
アサインメント AWSアカウント IaC化範囲 60

アサインメント AWSアカウントグループや許可セットより変更頻度が多いので、IaCからは除外 IaC化範囲 61

アサインメント AWSアカウントグループや許可セットより変更頻度が多いので、IaCからは除外 group-assignment permission-set CloudFormationは許可セットとその他の２つにテンプレートを分割一度許可セットを作成したら早々中身を変更しないので別テンプレートとして管理 62

アサインメント AWSアカウントグループや許可セットより変更頻度が多いので、IaCからは除外 group-assignment permission-set CloudFormationは許可セットとその他の２つにテンプレートを分割一度許可セットを作成したら早々中身を変更しないので別テンプレートとして管理これの IaC 化が厄介 63

Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定再掲 64

Identity Center の権限割り当ての考え方アクセス権限はプリンシパル、許可セット、アカウントの組み合わせで決定再掲組み合わせ数分のアサインメントを作成する必要がある 65

CloudFormation でのアサインメントの定義 https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-sso-assignment.html 許可セットのARNを指定ユーザーIDやグループIDを指定 AWSアカウントIDを指定 CloudFormationの定義からもまとめて指定はできないことがわかる数が多いとたいへん！！ 66

アサインメントを楽に作成するために AWS::LanguageExtensions を有効にしてFn::ForEach で記述量減らす 3重ループを回せばよい（グループ x 許可セット x アカウント） 67

アサインメントを楽に作成するために AWS::LanguageExtensions を有効にしてFn::ForEach で記述量減らす 3重ループを回せばよい（グループ x 許可セット x アカウント）グループ
許可セットアカウント許可セットはスタック分割するので、値をインポートそれ以外は基本的に、 Mappingsから取得 68

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用 69

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用視認性を向上させるために、アカウント名とアカウントID の対応関係を記述 TargetId
はアカウントIDでの指定が必要なので、 FindInMapでアカウント名から取得関連するテンプレート記述 70

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用グループ作成および、アサインメントのループ用関連するテンプレート記述 71

アサインメントを楽に作成するために - Mappings アカウント管理用グループ管理用アサインメント管理用実際のアサインメントのグループ x 許可セット
x アカウントの対応関係を記述関連するテンプレート記述 72

考慮事項 - CloudFormation のリソース上限ユーザーグループプリンシパル許可セットアカウントアサインメントは増加しやすいので、テンプレートあたりのリソース数上限を
より意識する必要がある１テンプレートあたり５００が上限（以前は２００） 73

より意識する必要がある１テンプレートあたり５００が上限（以前は２００）例）５グループ３許可セット１０アカウント 74

より意識する必要がある１テンプレートあたり５００が上限（以前は２００）例）５グループ３許可セット１０アカウントアサインメントだけで１５０リソース必要！！！ 75

より意識する必要がある１テンプレートあたり５００が上限（以前は２００）例）５グループ３許可セット１０アカウントアサインメントだけで１５０リソース必要！！！規模が大きくなってきたら、分割なりが必要 76

AWS Control Tower が展開する構成は「お手本」 IAM Identity Center の権限設計においても参考になるまとめ運用の実態に合わせシンプルな構成から始める
数個の許可セットと役割や事業・所属で分割したグループからスタート組織拡大に応じて段階的に改善していくアプローチが重要 77

AWS Control Tower に学ぶ！ IAM Identity Center 権限設計...

AWS Control Tower に学ぶ！ IAM Identity Center 権限設計の第一歩 / IAM Identity Center with Control Tower

Other Decks in Technology

Featured

Transcript