AWS Organizations 新機能！マルチパーティ承認の紹介

AWS Organizations 新機能！マルチパーティ承認の紹介 2025.7.2 クラスメソッドクラウド事業本部 yhana

発表の流れ 2 ⚫ AWS Organizations のマルチパーティ承認とは ⚫ AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ

AWS Organizations のマルチパーティ承認とは

マルチパーティ承認（Multi-party Approval）とは 4 複数のメンバーによる承認プロセスを提供する仕組み例）3 名のうち、2 名の承認により特定のアクションを許可

マルチパーティ承認（Multi-party Approval）とは 5 AWS IAM Identity Center ユーザーを用いてチームを作成して、最低限必要な承認を定義チームのメンバーがアクセスできる「マルチパーティ承認ポータル」サイトが提供マルチパーティ承認チームの作成
＋最低限必要な承認数の定義承認は専用のポータルサイトで実施

マルチパーティ承認がサポートする操作 6 マルチパーティ承認機能は他サービスの特定のオペレーションと組み合わせて利用され、 2025年7月2日時点で「AWS Backup の論理エアギャップボールトの操作」のサポートのみ参照元：What is Multi-party approval?
- Multi-party approval

論理エアギャップボールト（Logically air-gapped vault）とは 7 論理エアギャップボールト（Logically air-gapped vault）の特徴 ⚫ ボールトロック（コンプライアンスモード）が自動的に適用 ⚫
暗号化キーを AWS が管理 ⚫ 標準のボールトからのコピー先として利用 ⚫ RAM で他のアカウントに共有可能コピー

AWS Backup のマルチパーティ承認 8 AWS Backup のマルチパーティ承認を利用して他の AWS アカウントで復元する場合の例標準
ボールトのみ論理エアギャップボールト＋マルチパーティ承認 ①承認 ②復元用ボールト作成 ③アクセス

AWS Backup のマルチパーティ承認 9 ただし、これまでも AWS Resource Access Manager (RAM)
による共有は可能論理エアギャップボールト＋マルチパーティ承認論理エアギャップボールト＋ RAM

マルチパーティ承認（Multi-party Approval）の活用シーン 10 マルチパーティ承認が適している場合の例 ⚫ 「Never Trust, Always Verify.」というゼロトラスト原則に従う場合 ⚫
分散型の意思決定が必要な場合 ⚫ 意図しない操作から保護する必要 ⚫ 監査やコンプライアンスの理由から承認とレビューが必要な場合マルチパーティ承認が最良の選択肢ではない場合の例 ⚫ AWS Organizations, AWS IAM Identity Center が利用できない場合 ⚫ 即時実行が必要な場合 ⚫ 承認ワークフローの管理稼働がリスクに見合わない場合参照元：What is Multi-party approval? - Multi-party approval

【参考】標準ボールトと論理エアギャップボールトの比較表 11 標準ボールトと論理エアギャップボールトとの違いはユーザーガイドに比較表が掲載されている参照元：Logically air-gapped vault - AWS Backup

【参考】承認履歴 12 マルチパーティ承認ポータルで確認できる承認履歴では、オペレーション毎の履歴を閲覧でき、リクエストの最終的な結果と自身の承認履歴などを確認可能

AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ

マルチパーティ承認による AWS Backup 利用の流れ 14 設定の流れ ① 管理アカウントの AWS Organizations
で、マルチパーティ承認のチームを作成 ② 管理アカウントの RAM で、マルチパーティ承認のチームを共有 ③ 管理アカウントの AWS Backup で、複数当事者による承認の統合をオン ④ ワークロードアカウントの AWS Backup で、論理エアギャップボールトを作成 ⑤ ワークロードアカウントの AWS Backup で、論理エアギャップボールトとマルチパーティ承認のチームを関連付け復元の流れ ⑥ 復旧アカウントの AWS Backup で、マルチパーティ承認のチームに復元アクセスバックアップボールトの作成をリクエスト ⑦ マルチパーティ承認のチームがリクエストを承認 ⑧ 復旧アカウントの AWS Backup で、復元アクセスバックアップボールトから復元

AWS Backup 操作のマルチパーティ承認利用の設定イメージ図 15

① マルチパーティ承認のチームを作成 16

① マルチパーティ承認のチームを作成 17 AWS IAM Identity Center のユーザーを承認者として指定し、最小限必要な承認人数を設定する

① マルチパーティ承認のチームを作成 18 承認者として指定されたユーザーは、マルチパーティ承認ポータルにアクセスして招待を承諾マルチパーティ承認のリソースはバージニア北部に自動作成 AWS IAM Identity Center で利用する
AWS Access Portal とは異なるポータル

② マルチパーティ承認のチームを共有 19

② マルチパーティ承認のチームを共有 20 マルチパーティ承認のリソースがあるバージニア北部リージョンの Resource Access Manager (RAM) で、「Multi-Party
Approval Team」を指定してリソースを共有

② マルチパーティ承認のチームを共有 21 論理エアギャップボールトのあるアカウントと復旧アカウントに対して共有下図は AWS Organizations 組織内の共有例だが、組織外のアカウントにも共有可能

③ AWS Backup の複数当事者による承認の統合をオン 22

③ AWS Backup の複数当事者による承認の統合をオン 23 管理アカウントの AWS Backup の「設定」において、「クロスアカウント管理」の「複数当事者による承認の統合」設定をオンにする

④ AWS Backup の論理エアギャップボールトを作成 24

④ AWS Backup の論理エアギャップボールトを作成 25 論理エアギャップボールトを作成して、標準ボールトのバックアップルールのコピー先として指定論理エアギャップボールトを作成標準ボールト内のバックアップルールのコピー先として論理エアギャップボールトを指定

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 26

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 27 作成した論理エアギャップボールトにおいて、「承認チームを割り当て」からマルチパーティ承認チームを関連付ける。RAM で共有されているチームを選択できる

⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 28 【参考情報】関連付けたマルチパーティ承認チームを変更・削除するときもチームの承認が必要

29 ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認

⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 30 バックアップから復元したいアカウントの AWS Backup において、「ボールトアクセスをリクエスト」で論理エアギャップボールトの ARN を指定して承認依頼をリクエスト

⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 31 マルチパーティ承認チームのメンバーは、リクエストを確認して「承認」か「拒否」を判断事前定義した必要最小数の承認があれば、復元できるボールトがアクティブ化マルチパーティ承認ポータルのリクエスト確認画面最低限必要の承認により復元可能状態に承認後

⑧ 復元アクセスバックアップボールトから復元 32

⑧ 復元アクセスバックアップボールトから復元 33 「複数当事者の承認により保管後にアクセス可能」タブのボールドにおいて、復旧ポイントを指定して「復元」

⑧ 復元アクセスバックアップボールトから復元 34 【参考情報】復元するときに EBS の暗号化を有効化していない場合は復元が失敗しました KMS キーを作成して EBS 暗号化のキーとして指定することで復元できました

さいごに改めて、 AWS Organizations のマルチパーティ承認について

マルチパーティ承認（Multi-party Approval）について 36 ⚫ 分散型の承認プロセスを提供する機能 ⚫ 現在のサポートは AWS Backup 論理エアギャップボールトの操作のみサポート
⚫ 月次レポート機能も提供 ⚫ 今後の統合サービスの拡充に期待！月次チームレポート図の引用元：Team health for Multi-party approval - Multi-party approval

AWS Organizations 新機能！マルチパーティ承認の紹介

AWS Organizations 新機能！マルチパーティ承認の紹介

yhana

More Decks by yhana

Other Decks in Technology

Featured

Transcript