Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Tower で マルチアカウント運用を試した話

Avatar for akita akita
March 27, 2024
Programming
0
77

AWS Control Tower で マルチアカウント運用を試した話

Avatar for akita

akita

March 27, 2024
Tweet

More Decks by akita

See All by akita
CDKを活用した 大規模コンテナ移行 プロジェクトの紹介
Avatar for akita yoyoyopg
0
460
AWSやJAWS-UGとの出会いを振り返る
Avatar for akita yoyoyopg
1
390
CDK + ecspressoでお手軽コンテナ3分クッキング
Avatar for akita yoyoyopg
0
930

Other Decks in Programming

See All in Programming
「テストは愚直&&網羅的に書くほどよい」という誤解 / Test Smarter, Not Harder
Avatar for Munetoshi Ishikawa munetoshi
0
190
The Evolution of Enterprise Java with Jakarta EE 11 and Beyond
Avatar for ivargrimstad ivargrimstad
0
180
#QiitaBash MCPのセキュリティ
Avatar for Tommy(sigma) ryosukedtomita
1
1.5k
“いい感じ“な定量評価を求めて - Four Keysとアウトカムの間の探求 -
Avatar for Nealle nealle
2
11k
Advanced Micro Frontends: Multi Version/ Framework Scenarios @WAD 2025, Berlin
Avatar for Manfred Steyer manfredsteyer
PRO
0
370
Railsアプリケーションと パフォーマンスチューニング ー 秒間5万リクエストの モバイルオーダーシステムを支える事例 ー Rubyセミナー 大阪
Avatar for Hayato OKUMOTO falcon8823
5
1.4k
生成AI時代のコンポーネントライブラリの作り方
Avatar for touyou touyou
1
260
AI時代のソフトウェア開発を考える(2025/07版) / Agentic Software Engineering Findy 2025-07 Edition
Avatar for Takuto Wada twada
PRO
97
34k
新メンバーも今日から大活躍!SREが支えるスケールし続ける組織のオンボーディング
Avatar for HonMarkHunt honmarkhunt
5
8.2k
ニーリーにおけるプロダクトエンジニア
Avatar for Nealle nealle
0
890
チームで開発し事業を加速するための"良い"設計の考え方 @ サポーターズCoLab 2025-07-08
Avatar for Agata Naomichi agatan
1
450
Modern Angular with Signals and Signal Store: New Rules for Your Architecture @enterJS Advanced Angular Day 2025
Avatar for Manfred Steyer manfredsteyer
PRO
0
250

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
32
2.4k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
231
18k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
108
19k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.4k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
7
740
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
235
140k
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k

Transcript

  1. 社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話

  2. • あきた(@yoyoyo_pg) • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用

    • 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2

  3. 3 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい

  4. 4 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能

  5. 5 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能

  6. 6 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能

  7. 7 🤔…?

  8. 8 順に解説していきます

  9. 9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control

    Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化

  10. 10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 •

    AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している • これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している

  11. 11 統合サービスの紹介(一部) • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能

    • AWS Service Catalog ◦ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能

  12. 12 コントロール • Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応

    • Control Tower に関する物は必須コントロールとして デフォルトで有効化されている

  13. 13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理

    ◦ ポリシーに非準拠のリソースを検出する ◦ AWS Config ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現

  14. 14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕 組み

    • Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に

  15. 15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる • これにより、ユーザは各アカウントに対するシングル

    サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)

  16. 16 まとめ • 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います • とはいえ、マルチアカウント運用に関する

    AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります