Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations 新機能!マルチパーティ承認の紹介

Avatar for yhana yhana
July 02, 2025
Technology
1
350

AWS Organizations 新機能!マルチパーティ承認の紹介

Avatar for yhana

yhana

July 02, 2025
Tweet

More Decks by yhana

See All by yhana
AWS re:Invent 2024 ふりかえり勉強会
Avatar for yhana yhana
0
930
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
Avatar for yhana yhana
1
3.6k
Guard を利用した AWS Config ルール
Avatar for yhana yhana
0
900
組織的なクラウド統制のはじめの一歩_20240529
Avatar for yhana yhana
0
980
Azureの基本的な権限管理の勉強会
Avatar for yhana yhana
1
5.4k
組織的なクラウド統制のはじめの一歩
Avatar for yhana yhana
0
2k
失敗例から学ぶAWSセキュリティサービスの導入
Avatar for yhana yhana
1
13k
AWS Config勉強会
Avatar for yhana yhana
1
4.1k
AWS Security Hub導入と運用の検討ポイント
Avatar for yhana yhana
1
10k

Other Decks in Technology

See All in Technology
Frontier Airlines Customer®️ USA Contact Numbers: Complete 2025 Support Guide
Avatar for melisacriner171 frontierairlineswithflyagent
0
110
AI駆動開発 with MixLeap Study【大阪支部 #3】
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
160
AIコードアシスタントとiOS開発
Avatar for jollyjoester jollyjoester
1
230
地図と生成AI
Avatar for なかしょ nakasho
0
680
Expertise as a Service via MCP
Avatar for Yoda Keisuke yodakeisuke
1
140
Talk to Someone At Delta Airlines™️ USA Contact Numbers
Avatar for seahorse75930 travelcarecenter
0
170
低レイヤソフトウェア技術者が YouTuberとして食っていこうとした話
Avatar for Satoru Takeuchi sat
PRO
7
5.8k
研究開発部メンバーの働き⽅ / Sansan R&D Profile
Avatar for Sansan, Inc. sansan33
PRO
3
18k
QAを早期に巻き込む”って どうやるの? モヤモヤから抜け出す実践知
Avatar for Sammy(MoritaMasami) moritamasami
2
170
AI時代にも変わらぬ価値を発揮したい: インフラ・クラウドを切り口にユーザー価値と非機能要件に向き合ってエンジニアとしての地力を培う
Avatar for Toshiaki Baba netmarkjp
0
220
ObsidianをLLM時代のナレッジベースに! クリッピング→Markdown→CLI連携の実践
Avatar for Reiki Hattori srvhat09
7
8.8k
Bill One 開発エンジニア 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
4
13k

Featured

See All Featured
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
990
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
8
710
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
235
140k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
31
1.3k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
271
21k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
695
190k

Transcript

  1. AWS Organizations 新機能!マルチパーティ承認の紹介 2025.7.2 クラスメソッド クラウド事業本部 yhana

  2. 発表の流れ 2 ⚫ AWS Organizations のマルチパーティ承認とは ⚫ AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ

  3. AWS Organizations のマルチパーティ承認とは

  4. マルチパーティ承認(Multi-party Approval)とは 4 複数のメンバーによる承認プロセスを提供する仕組み 例)3 名のうち、2 名の承認により特定のアクションを許可

  5. マルチパーティ承認(Multi-party Approval)とは 5 AWS IAM Identity Center ユーザーを用いてチームを作成して、最低限必要な承認を定義 チームのメンバーがアクセスできる「マルチパーティ承認ポータル」サイトが提供 マルチパーティ承認チームの作成

    + 最低限必要な承認数の定義 承認は専用のポータルサイトで実施

  6. マルチパーティ承認がサポートする操作 6 マルチパーティ承認機能は他サービスの特定のオペレーションと組み合わせて利用され、 2025年7月2日時点で「AWS Backup の論理エアギャップボールトの操作」のサポートのみ 参照元:What is Multi-party approval?

    - Multi-party approval

  7. 論理エアギャップボールト(Logically air-gapped vault)とは 7 論理エアギャップボールト(Logically air-gapped vault)の特徴 ⚫ ボールトロック(コンプライアンスモード)が自動的に適用 ⚫

    暗号化キーを AWS が管理 ⚫ 標準のボールトからのコピー先として利用 ⚫ RAM で他のアカウントに共有可能 コピー

  8. AWS Backup のマルチパーティ承認 8 AWS Backup のマルチパーティ承認を利用して他の AWS アカウントで復元する場合の例 標準

    ボールト のみ 論理エア ギャップ ボールト + マルチ パーティ 承認 ①承認 ②復元用 ボールト作成 ③アクセス

  9. AWS Backup のマルチパーティ承認 9 ただし、これまでも AWS Resource Access Manager (RAM)

    による共有は可能 論理エア ギャップ ボールト + マルチ パーティ 承認 論理エア ギャップ ボールト + RAM

  10. マルチパーティ承認(Multi-party Approval)の活用シーン 10 マルチパーティ承認が適している場合の例 ⚫ 「Never Trust, Always Verify.」というゼロトラスト原則に従う場合 ⚫

    分散型の意思決定が必要な場合 ⚫ 意図しない操作から保護する必要 ⚫ 監査やコンプライアンスの理由から承認とレビューが必要な場合 マルチパーティ承認が最良の選択肢ではない場合の例 ⚫ AWS Organizations, AWS IAM Identity Center が利用できない場合 ⚫ 即時実行が必要な場合 ⚫ 承認ワークフローの管理稼働がリスクに見合わない場合 参照元:What is Multi-party approval? - Multi-party approval

  11. 【参考】標準ボールトと論理エアギャップボールトの比較表 11 標準ボールトと論理エアギャップボールトとの違いはユーザーガイドに比較表が掲載されている 参照元:Logically air-gapped vault - AWS Backup

  12. 【参考】承認履歴 12 マルチパーティ承認ポータルで確認できる承認履歴では、オペレーション毎の履歴を閲覧でき、 リクエストの最終的な結果と自身の承認履歴などを確認可能

  13. AWS Backup 論理エアギャップボールト操作の マルチパーティ承認設定の流れ

  14. マルチパーティ承認による AWS Backup 利用の流れ 14 設定の流れ ① 管理アカウントの AWS Organizations

    で、マルチパーティ承認のチームを作成 ② 管理アカウントの RAM で、マルチパーティ承認のチームを共有 ③ 管理アカウントの AWS Backup で、複数当事者による承認の統合をオン ④ ワークロードアカウントの AWS Backup で、論理エアギャップボールトを作成 ⑤ ワークロードアカウントの AWS Backup で、論理エアギャップボールトとマルチパーティ承認のチームを 関連付け 復元の流れ ⑥ 復旧アカウントの AWS Backup で、マルチパーティ承認のチームに復元アクセスバックアップボールトの 作成をリクエスト ⑦ マルチパーティ承認のチームがリクエストを承認 ⑧ 復旧アカウントの AWS Backup で、復元アクセスバックアップボールトから復元

  15. AWS Backup 操作のマルチパーティ承認利用の設定イメージ図 15

  16. ① マルチパーティ承認のチームを作成 16

  17. ① マルチパーティ承認のチームを作成 17 AWS IAM Identity Center のユーザーを承認者として指定し、最小限必要な承認人数を設定する

  18. ① マルチパーティ承認のチームを作成 18 承認者として指定されたユーザーは、マルチパーティ承認ポータルにアクセスして招待を承諾 マルチパーティ承認のリソースはバージニア北部に自動作成 AWS IAM Identity Center で利用する

    AWS Access Portal とは異なるポータル

  19. ② マルチパーティ承認のチームを共有 19

  20. ② マルチパーティ承認のチームを共有 20 マルチパーティ承認のリソースがあるバージニア北部リージョンの Resource Access Manager (RAM) で、 「Multi-Party

    Approval Team」を指定してリソースを共有

  21. ② マルチパーティ承認のチームを共有 21 論理エアギャップボールトのあるアカウントと復旧アカウントに対して共有 下図は AWS Organizations 組織内の共有例だが、組織外のアカウントにも共有可能

  22. ③ AWS Backup の複数当事者による承認の統合をオン 22

  23. ③ AWS Backup の複数当事者による承認の統合をオン 23 管理アカウントの AWS Backup の「設定」において、 「クロスアカウント管理」の「複数当事者による承認の統合」設定をオンにする

  24. ④ AWS Backup の論理エアギャップボールトを作成 24

  25. ④ AWS Backup の論理エアギャップボールトを作成 25 論理エアギャップボールトを作成して、標準ボールトのバックアップルールのコピー先として指定 論理エアギャップボールトを作成 標準ボールト内のバックアップルールのコピー先として 論理エアギャップボールトを指定

  26. ⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 26

  27. ⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 27 作成した論理エアギャップボールトにおいて、「承認チームを割り当て」からマルチパーティ承認 チームを関連付ける。RAM で共有されているチームを選択できる

  28. ⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 28 【参考情報】関連付けたマルチパーティ承認チームを変更・削除するときもチームの承認が必要

  29. 29 ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認

  30. ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 30 バックアップから復元したいアカウントの AWS Backup において、「ボールトアクセスをリクエスト」 で論理エアギャップボールトの ARN を指定して承認依頼をリクエスト

  31. ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 31 マルチパーティ承認チームのメンバーは、リクエストを確認して「承認」か「拒否」を判断 事前定義した必要最小数の承認があれば、復元できるボールトがアクティブ化 マルチパーティ承認ポータルのリクエスト確認画面 最低限必要の承認により復元可能状態に 承認後

  32. ⑧ 復元アクセスバックアップボールトから復元 32

  33. ⑧ 復元アクセスバックアップボールトから復元 33 「複数当事者の承認により保管後にアクセス可能」タブのボールドにおいて、復旧ポイントを指 定して「復元」

  34. ⑧ 復元アクセスバックアップボールトから復元 34 【参考情報】復元するときに EBS の暗号化を有効化していない場合は復元が失敗しました KMS キーを作成して EBS 暗号化のキーとして指定することで復元できました

  35. さいごに改めて、 AWS Organizations のマルチパーティ承認について

  36. マルチパーティ承認(Multi-party Approval)について 36 ⚫ 分散型の承認プロセスを提供する機能 ⚫ 現在のサポートは AWS Backup 論理エアギャップボールトの操作のみサポート

    ⚫ 月次レポート機能も提供 ⚫ 今後の統合サービスの拡充に期待! 月次チームレポート 図の引用元:Team health for Multi-party approval - Multi-party approval
  37. None