Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "T...

Yuji Oshima
March 01, 2025
Technology
1
81

"TEAM"を導入したら最高のエンジニア"Team"を実現できた / Deploying "TEAM" and Building the Best Engineering "Team"

「JAWS DAYS 2025」で発表した資料
https://jawsdays2025.jaws-ug.jp/

Yuji Oshima

March 01, 2025
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
yuj1osm
0
100
re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り / Check the Answers to re:Invent 2024 Update Predictions and Review CloudWatch Updates
yuj1osm
0
71
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
350
re:Invent をおうちで楽しんでみた ~CloudWatch のオブザーバビリティ機能がスゴい!/ Enjoyed AWS re:Invent from Home and CloudWatch Observability Feature is Amazing!
yuj1osm
0
180
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
210
Google Cloud 全冠になってみた ~AI時代を生き残るための自己研鑽 ~/Obtained all Google Cloud Certifications Self-Improvement to Survive in the AI ​​Era
yuj1osm
1
140
生成AI時代のセキュリティはAWSでどう進化する? ~AWSセキュリティの3つのポイントからアップデートを予測する~ / How will Security Evolve on AWS in the Era of Generative AI and Predicting Updates from 3 Points of AWS Security
yuj1osm
0
150
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
yuj1osm
1
1.2k
AWS re:Inforce 2024をおうちで楽しんでみた / Enjoyed AWS re:Inforce 2024 from home
yuj1osm
1
260

Other Decks in Technology

See All in Technology
偏光画像処理ライブラリを作った話
elerac
1
160
組織におけるCCoEの役割とAWS活用事例
nrinetcom
PRO
4
120
いまからでも遅くない!コンテナでWebアプリを動かしてみよう!コンテナハンズオン編
nomu
0
130
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
120
役員・マネージャー・著者・エンジニアそれぞれの立場から見たAWS認定資格
nrinetcom
PRO
3
5.5k
プロダクトエンジニア構想を立ち上げ、プロダクト志向な組織への成長を続けている話 / grow into a product-oriented organization
hiro_torii
1
350
手を動かしてレベルアップしよう!
maruto
0
180
データエンジニアリング領域におけるDuckDBのユースケース
chanyou0311
8
2.1k
Goで作って学ぶWebSocket
ryuichi1208
3
2.7k
2/18 Making Security Scale: メルカリが考えるセキュリティ戦略 - Coincheck x LayerX x Mercari
jsonf
0
110
CDKのコードを書く環境を作りました with Amazon Q
nobuhitomorioka
1
160
サイト信頼性エンジニアリングとAmazon Web Services / SRE and AWS
ymotongpoo
7
1.3k

Featured

See All Featured
4 Signs Your Business is Dying
shpigford
182
22k
Gamification - CAS2011
davidbonilla
80
5.2k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.1k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.3k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.3k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Navigating Team Friction
lara
183
15k
Building Your Own Lightsaber
phodgson
104
6.2k
How to Ace a Technical Interview
jacobian
276
23k
Designing on Purpose - Digital PM Summit 2013
jponch
117
7.1k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k

Transcript

  1. "TEAM"を導入したら 最高のエンジニア"Team"を実現できた 大島 悠司 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  2. 大島 悠司 (Yuji Oshima) • 株式会社野村総合研究所 / NRIセキュアテクノロジーズ株式会社 • AWS

    Community Builders (Security & Identity) • 2023-2024 Japan AWS Top Engineers (Security) • 2022-2024 Japan AWS All Certifications Engineers • JAWS-UG横浜支部 運営メンバー • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 自己紹介 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a @yuj1osm

  3. はじめに ◼ アジェンダ • マルチアカウントとIAM設計 • Change Manageによるアクセス統制 • TEAMによる統制

    • TEAMの設計と導入 • TEAMの導入効果 • まとめ ◼ お話しすること • AWS基盤を構築・運用する際に、どのような課題に取り組み、 どのように構成を変更していったかを順序立ててお話しします ◼ お話ししないこと • 詳細な実装方法まではお話ししません

  4. マルチアカウントとIAM設計 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  5. ◼ シングルアカウント構成 • 権限管理が複雑になりセキュリティの確保が困難 • ワークロードごとのコストの把握が困難 • オペミスやクォータ値に引っかかりやすく運用が困難 ◼ マルチアカウント構成

    • 権限を分離することでセキュリティの向上 • ワークロードごとのコストの把握が容易 • 作業の影響を最小限に抑えて運用の効率化 なぜマルチアカウントがよいのか ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a AWS Cloud VPC(開発) VPC(ステージング) VPC(本番) AWS Cloud(開発) AWS Cloud(ステージング) AWS Cloud(本番)

  6. ◼ Jumpアカウントを用意し、IAMユーザを集約 ◼ ユーザはJumpアカウントにログインし、各アカウントへスイッチロール ◼ 各アカウントの権限はスイッチ先ロールに付与 Jumpアカウント方式 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

    AWS Cloud(開発) AWS Cloud(ステージング) AWS Cloud(本番) User1 User2 User3 Jumpアカウントへ ログイン AWS Cloud(Jump) User1 User2 User3 Role Permissions Role Permissions Role Permissions AWS STS 各アカウントへ スイッチロール Permissions

  7. ◼ 役割ごとにグループを作成 ◼ 各アカウントに役割ごとのロールを作成 ◼ 各グループに対して、スイッチできるアカウントとロールを定義 Jumpアカウント方式でのIAM設計のコツ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

    AWS Cloud(開発) AWS Cloud(ステージング) AWS Cloud(本番) AWS Cloud(Jump) admin01 member01 AWS Cloud AWS Cloud JumpAdminGroup LeaderGroup AWS Cloud MemberGroup Jump_AdminRole Dev_LeaderRole Dev_MemberRole Dev_ReadOnlyRole Stg_LeaderRole Stg_MemberRole Stg_ReadOnlyRole Prod_LeaderRole Prod_MemberRole Prod_ReadOnlyRole leader01

  8. ◼ 変更管理:いつ、誰が、変更作業のために本番環境にアクセスしたか? ◼ 本番アクセス統制:本番環境にいつでもアクセス可能になっていないか? 本番環境へのアクセス統制どうする? ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a AWS Cloud(開発)

    AWS Cloud(ステージング) AWS Cloud(本番) AWS Cloud(Jump) admin01 member01 AWS Cloud AWS Cloud JumpAdminGroup LeaderGroup AWS Cloud MemberGroup Jump_AdminRole Dev_LeaderRole Dev_MemberRole Dev_ReadOnlyRole Stg_LeaderRole Stg_MemberRole Stg_ReadOnlyRole Prod_LeaderRole Prod_MemberRole Prod_ReadOnlyRole leader01 ここをどうやって 管理・統制する?

  9. Change Manageによるアクセス統制 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  10. ◼ Change Managerとは? • AWS Systems Managerの1機能であり、アプリやインフラの変更管理を提供 • 申請と承認によって起動するといったワークフローを組める AWS

    Systems Manager Change Manager ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  11. どのように変更管理と本番アクセス統制をするか ◼ 本番アクセス用グループを新たに作成 ◼ このグループからのみ本番環境の作業ロールにスイッチ可能 ◼ Change Managerの承認でこのグループに追加するテンプレートを作成 AWS Cloud(開発)

    AWS Cloud(ステージング) AWS Cloud(本番) AWS Cloud(Jump) admin01 member01 AWS Cloud AWS Cloud JumpAdminGroup LeaderGroup AWS Cloud MemberGroup Jump_AdminRole Dev_LeaderRole Dev_MemberRole Dev_ReadOnlyRole Stg_LeaderRole Stg_MemberRole Stg_ReadOnlyRole Prod_LeaderRole Prod_MemberRole Prod_ReadOnlyRole leader01 AWS Cloud ProdLeaderWorkGroup AWS Cloud ProdMemberWorkGroup

  12. Change Managerによる本番アクセス統制の流れ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a member01 leader01 リクエストを作成 本番アクセス用 グループを入力

    コメントを入力して承認 本番アカウント へスイッチロール

  13. ◼ 当時、AWS SSO (現 AWS IAM Identity Center) は管理アカウントに 作成される仕様だった

    ※現在はメンバーアカウントに委任可能 ◼ Change Managerはメンバーアカウントへの委任が必須 ◼ Change Managerは管理アカウントへの操作が不可 SSO方式でなくJumpアカウント方式にした理由 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a AWS Cloud(Jump) AWS Cloud(組織管理) Change Manager AWS Cloud(開発) 委任 Change Manager AWS IAM Identity Center 許可セット ユーザ or グループ アカウント × × AWS Cloud(ステージング) 変更 変更 本番アクセス統制を優先してSSOは見送り

  14. ◼ JumpアカウントのIAMユーザを利用 ◼ メンバーアカウントへは手入力でスイッチロール ◼ 本番アカウントへはChange Managerで申請し、承認後にスイッチロール [AWS基盤 Ver.1] Jumpアカウント

    × Change Manager ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a Jump ・・・ Group A ・・・ Group B Role X1 Role X2 ・・・ Role Y1 Role Y2 Role X1 Role Y1 XXX YYY Group A Group B XXX YYY Change Manager 約2年間で 1479件 も利用いただいた

  15. ◼ 利用者目線 • スイッチロールの入力作業が面倒 ※履歴が5件しか残らない • Change Managerで申請するまでの導線が長い ◼ 管理者目線

    • IAMの管理負荷が高い • Change Managerのテンプレート管理負荷が高い [AWS基盤 Ver.1] 課題点 • AWS IAM Identity Centerの管理をメンバーアカウントに委任できるようになった • AWSからアクセス管理ができるソリューションが公開された ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  16. TEAMによる統制 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  17. ◼ TEAMとは? • Temporary Elevated Access Managementの略称 • AWSアカウントへのアクセスを管理するための承認ベースのワークフロー •

    IAM Identity Centerのアクセスポータルから利用するアプリケーションとして提供 ※IAM Identity Centerが必須 TEAM (Temporary Elevated Access Management) ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  18. TEAMによる本番アクセス統制の流れ (申請) [1/3] ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 本番アカウントへは RO権限しかない アプリケーションから TEAMを選択

  19. TEAMによる本番アクセス統制の流れ (申請) [2/3] リクエストを作成

  20. TEAMによる本番アクセス統制の流れ (申請) [3/3] ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a アカウントとロールを入力 承認前なのでステータスはpending

  21. TEAMによる本番アクセス統制の流れ (承認) ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 承認者は「Approve request」から 該当するリクエストを選択し、 コメントを記入して承認する

  22. TEAMによる本番アクセス統制の流れ (権限付与) 承認後なのでステータスはapproved 本番アカウントへのアクセス権限が 追加されている

  23. アーキテクチャ。仕組み ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a ① IAM Identity Centerの アクセスポータルにアクセス ②

    TEAMアプリケーションにアクセス ③ リクエスト申請 ④ リクエスト承認 ⑤ Step Function で許可セット追加 ⑥ 承認された権限で スイッチロール ⑦ CloudTrailでロギング ⑧ Step Function で許可セット削除 ⑨ ログの閲覧

  24. TEAMの設計と導入 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  25. IAM Identity Centerに移行するため権限を整理 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a Jump AWS IAM Identity

    Center × ・・・ Group A ・・・ Jump Group B Role X1 Role X2 ・・・ Role Y1 Role Y2 Microsoft Entra ID ・・・ ユーザ / グループ 許可セット アカウント × SCIM ・・・ user01 user02 ② Jumpアカウントの グループとポリシーを整理 グループをEntra IDに登録 ① 各アカウントのロールとポリシーを整理 許可セットを作成 ユーザ/グループの 自動プロビジョニング Role X1 Role Y1 XXX YYY Group A Group B Group A Group B XXX YYY Group A Group B ③ 割り当てを作成 CloudFormationを活用 Jumpアカウント SSO スイッチロール

  26. ◼ TEAMには4つのペルソナが存在 ◼ ペルソナ割り当てと承認ルールの設計 • ペルソナの割り当て設計 • 何を申請させるか? • 誰に許可/却下させるか?

    • 許可を与える最大時間 • 通知先(Mail, Chat・・・) ペルソナの割り当てや承認フローのルールを設計 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 申請者 承認者 監査人 管理者 アクセス申請を要求 アクセス申請を承認 全ての申請のログを監査 申請ルールの管理 申請 承認 承認された 申請リスト 全履歴 ペルソナ 割り当て 全員が 閲覧可能 監査人のみ 閲覧可能 管理者のみ 閲覧可能

  27. ◼ 小規模なチームでテスト運用し、徐々に適応範囲を拡大 ◼ 既存の仕組み(弊社の場合はChange Manager)と並行運用 • 業務への影響を最小限にする ◼ フィードバックを元に設定や運用を適宜見直し •

    ペルソナの割り当ては十分か? 想定外の権限が付与されていないか? など 小規模なチームでテスト運用をして徐々に適応範囲を拡大 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a 自チーム 個人 部全体

  28. ◼ Entra IDからプロビジョニングされたSSOユーザを利用 ◼ メンバーアカウントへはIAM Identity Centerのアクセスポータル経由で スイッチロール ◼ 本番アカウントへはTEAMで申請し、承認後にアクセスポータル経由で

    スイッチロール [AWS基盤 Ver.2] IAM Identity Center × TEAM ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a Jump ・・・ Group A ・・・ Group B Role X1 Role X2 ・・・ Role Y1 Role Y2 XXX YYY Group A XXX YYY Microsoft Entra ID スイッチロール Group A Group B SCIM 約1年間で 216件 も利用いただいた

  29. TEAMの導入効果 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  30. ◼ 利用者目線 • 各アカウントへのスイッチロールが簡単に • 申請への導線が短く、シンプルで分かりやすいUIになった ◼ 管理者目線 • IAMの管理から解放

    • ペルソナの割り当てや申請ルールなどの設定管理が簡単に [AWS基盤 Ver.1] 導入効果 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a TEAMを通して、Team全員が運用とセキュリティの意識が向上 開発効率UP 運用効率UP 利用者 管理者 One Team

  31. まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a

  32. ◼ マルチアカウント構成では本番アカウントへのアクセス管理を考えること ◼ 「Jumpアカウント × Change Manager」で頑張って実装すれば制御可能 ただし、UXは低く管理負荷は高い ◼ 「IAM

    Identity Center × TEAM」で手軽に制御可能 UXは高く管理工数は低い ◼ TEAMの導入でTeamの生産性とセキュリティ・コンプライアンスが向上 まとめ ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_a
  33. None