Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations 新機能!マルチパーティ承認の紹介

Avatar for yhana yhana
July 02, 2025
Technology
1
90

AWS Organizations 新機能!マルチパーティ承認の紹介

Avatar for yhana

yhana

July 02, 2025
Tweet

More Decks by yhana

See All by yhana
AWS re:Invent 2024 ふりかえり勉強会
Avatar for yhana yhana
0
910
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
Avatar for yhana yhana
1
3.5k
Guard を利用した AWS Config ルール
Avatar for yhana yhana
0
870
組織的なクラウド統制のはじめの一歩_20240529
Avatar for yhana yhana
0
960
Azureの基本的な権限管理の勉強会
Avatar for yhana yhana
1
5.3k
組織的なクラウド統制のはじめの一歩
Avatar for yhana yhana
0
2k
失敗例から学ぶAWSセキュリティサービスの導入
Avatar for yhana yhana
1
13k
AWS Config勉強会
Avatar for yhana yhana
1
4.1k
AWS Security Hub導入と運用の検討ポイント
Avatar for yhana yhana
1
9.9k

Other Decks in Technology

See All in Technology
Snowflake Summit 2025全体振り返り / Snowflake Summit 2025 Overall Review
Avatar for k.muguruma mtpooh
2
410
Understanding_Thread_Tuning_for_Inference_Servers_of_Deep_Models.pdf
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
140
Github Copilot エージェントモードで試してみた
Avatar for Ochtum ochtum
0
110
Tech-Verse 2025 Global CTO Session
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
300
PostgreSQL 18 cancel request key長の変更とRailsへの関連
Avatar for Yasuo Honda yahonda
0
120
PHPでWebブラウザのレンダリングエンジンを実装する
Avatar for ディップ株式会社 dip_tech
PRO
0
210
AWS テクニカルサポートとエンドカスタマーの中間地点から見えるより良いサポートの活用方法
Avatar for kazzpapa3 kazzpapa3
2
560
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
Avatar for みずのり mizunori
1
230
MySQL5.6から8.4へ 戦いの記録
Avatar for Koji Yoshida kyoshidaxx
1
260
TechLION vol.41~MySQLユーザ会のほうから来ました / techlion41_mysql
Avatar for sakaik sakaik
0
190
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
Avatar for HASEGAWA Tomoki tomzoh
4
3.3k
CI/CD/IaC 久々に0から環境を作ったらこうなりました
Avatar for Kaz Watanabe kaz29
1
190

Featured

See All Featured
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Designing for Performance
Avatar for Lara Hogan lara
609
69k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
51
8.5k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
490
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
39
1.9k
Done Done
Avatar for chrislema chrislema
184
16k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.5k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k

Transcript

  1. AWS Organizations 新機能!マルチパーティ承認の紹介 2025.7.2 クラスメソッド クラウド事業本部 yhana

  2. 発表の流れ 2 ⚫ AWS Organizations のマルチパーティ承認とは ⚫ AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ

  3. AWS Organizations のマルチパーティ承認とは

  4. マルチパーティ承認(Multi-party Approval)とは 4 複数のメンバーによる承認プロセスを提供する仕組み 例)3 名のうち、2 名の承認により特定のアクションを許可

  5. マルチパーティ承認(Multi-party Approval)とは 5 AWS IAM Identity Center ユーザーを用いてチームを作成して、最低限必要な承認を定義 チームのメンバーがアクセスできる「マルチパーティ承認ポータル」サイトが提供 マルチパーティ承認チームの作成

    + 最低限必要な承認数の定義 承認は専用のポータルサイトで実施

  6. マルチパーティ承認がサポートする操作 6 マルチパーティ承認機能は他サービスの特定のオペレーションと組み合わせて利用され、 2025年7月2日時点で「AWS Backup の論理エアギャップボールトの操作」のサポートのみ 参照元:What is Multi-party approval?

    - Multi-party approval

  7. 論理エアギャップボールト(Logically air-gapped vault)とは 7 論理エアギャップボールト(Logically air-gapped vault)の特徴 ⚫ ボールトロック(コンプライアンスモード)が自動的に適用 ⚫

    暗号化キーを AWS が管理 ⚫ 標準のボールトからのコピー先として利用 ⚫ RAM で他のアカウントに共有可能 コピー

  8. AWS Backup のマルチパーティ承認 8 AWS Backup のマルチパーティ承認を利用して他の AWS アカウントで復元する場合の例 標準

    ボールト のみ 論理エア ギャップ ボールト + マルチ パーティ 承認 ①承認 ②復元用 ボールト作成 ③アクセス

  9. AWS Backup のマルチパーティ承認 9 ただし、これまでも AWS Resource Access Manager (RAM)

    による共有は可能 論理エア ギャップ ボールト + マルチ パーティ 承認 論理エア ギャップ ボールト + RAM

  10. マルチパーティ承認(Multi-party Approval)の活用シーン 10 マルチパーティ承認が適している場合の例 ⚫ 「Never Trust, Always Verify.」というゼロトラスト原則に従う場合 ⚫

    分散型の意思決定が必要な場合 ⚫ 意図しない操作から保護する必要 ⚫ 監査やコンプライアンスの理由から承認とレビューが必要な場合 マルチパーティ承認が最良の選択肢ではない場合の例 ⚫ AWS Organizations, AWS IAM Identity Center が利用できない場合 ⚫ 即時実行が必要な場合 ⚫ 承認ワークフローの管理稼働がリスクに見合わない場合 参照元:What is Multi-party approval? - Multi-party approval

  11. 【参考】標準ボールトと論理エアギャップボールトの比較表 11 標準ボールトと論理エアギャップボールトとの違いはユーザーガイドに比較表が掲載されている 参照元:Logically air-gapped vault - AWS Backup

  12. 【参考】承認履歴 12 マルチパーティ承認ポータルで確認できる承認履歴では、オペレーション毎の履歴を閲覧でき、 リクエストの最終的な結果と自身の承認履歴などを確認可能

  13. AWS Backup 論理エアギャップボールト操作の マルチパーティ承認設定の流れ

  14. マルチパーティ承認による AWS Backup 利用の流れ 14 設定の流れ ① 管理アカウントの AWS Organizations

    で、マルチパーティ承認のチームを作成 ② 管理アカウントの RAM で、マルチパーティ承認のチームを共有 ③ 管理アカウントの AWS Backup で、複数当事者による承認の統合をオン ④ ワークロードアカウントの AWS Backup で、論理エアギャップボールトを作成 ⑤ ワークロードアカウントの AWS Backup で、論理エアギャップボールトとマルチパーティ承認のチームを 関連付け 復元の流れ ⑥ 復旧アカウントの AWS Backup で、マルチパーティ承認のチームに復元アクセスバックアップボールトの 作成をリクエスト ⑦ マルチパーティ承認のチームがリクエストを承認 ⑧ 復旧アカウントの AWS Backup で、復元アクセスバックアップボールトから復元

  15. AWS Backup 操作のマルチパーティ承認利用の設定イメージ図 15

  16. ① マルチパーティ承認のチームを作成 16

  17. ① マルチパーティ承認のチームを作成 17 AWS IAM Identity Center のユーザーを承認者として指定し、最小限必要な承認人数を設定する

  18. ① マルチパーティ承認のチームを作成 18 承認者として指定されたユーザーは、マルチパーティ承認ポータルにアクセスして招待を承諾 マルチパーティ承認のリソースはバージニア北部に自動作成 AWS IAM Identity Center で利用する

    AWS Access Portal とは異なるポータル

  19. ② マルチパーティ承認のチームを共有 19

  20. ② マルチパーティ承認のチームを共有 20 マルチパーティ承認のリソースがあるバージニア北部リージョンの Resource Access Manager (RAM) で、 「Multi-Party

    Approval Team」を指定してリソースを共有

  21. ② マルチパーティ承認のチームを共有 21 論理エアギャップボールトのあるアカウントと復旧アカウントに対して共有 下図は AWS Organizations 組織内の共有例だが、組織外のアカウントにも共有可能

  22. ③ AWS Backup の複数当事者による承認の統合をオン 22

  23. ③ AWS Backup の複数当事者による承認の統合をオン 23 管理アカウントの AWS Backup の「設定」において、 「クロスアカウント管理」の「複数当事者による承認の統合」設定をオンにする

  24. ④ AWS Backup の論理エアギャップボールトを作成 24

  25. ④ AWS Backup の論理エアギャップボールトを作成 25 論理エアギャップボールトを作成して、標準ボールトのバックアップルールのコピー先として指定 論理エアギャップボールトを作成 標準ボールト内のバックアップルールのコピー先として 論理エアギャップボールトを指定

  26. ⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 26

  27. ⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 27 作成した論理エアギャップボールトにおいて、「承認チームを割り当て」からマルチパーティ承認 チームを関連付ける。RAM で共有されているチームを選択できる

  28. ⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 28 【参考情報】関連付けたマルチパーティ承認チームを変更・削除するときもチームの承認が必要

  29. 29 ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認

  30. ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 30 バックアップから復元したいアカウントの AWS Backup において、「ボールトアクセスをリクエスト」 で論理エアギャップボールトの ARN を指定して承認依頼をリクエスト

  31. ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 31 マルチパーティ承認チームのメンバーは、リクエストを確認して「承認」か「拒否」を判断 事前定義した必要最小数の承認があれば、復元できるボールトがアクティブ化 マルチパーティ承認ポータルのリクエスト確認画面 最低限必要の承認により復元可能状態に 承認後

  32. ⑧ 復元アクセスバックアップボールトから復元 32

  33. ⑧ 復元アクセスバックアップボールトから復元 33 「複数当事者の承認により保管後にアクセス可能」タブのボールドにおいて、復旧ポイントを指 定して「復元」

  34. ⑧ 復元アクセスバックアップボールトから復元 34 【参考情報】復元するときに EBS の暗号化を有効化していない場合は復元が失敗しました KMS キーを作成して EBS 暗号化のキーとして指定することで復元できました

  35. さいごに改めて、 AWS Organizations のマルチパーティ承認について

  36. マルチパーティ承認(Multi-party Approval)について 36 ⚫ 分散型の承認プロセスを提供する機能 ⚫ 現在のサポートは AWS Backup 論理エアギャップボールトの操作のみサポート

    ⚫ 月次レポート機能も提供 ⚫ 今後の統合サービスの拡充に期待! 月次チームレポート 図の引用元:Team health for Multi-party approval - Multi-party approval
  37. None