ビジネス成長を阻害しないために新しく AWS アカウントを作成した人がやるべきこと

Transcript

1. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. ビジネス成⻑を阻害しないために 新しく AWS アカウントを作成した⼈が やるべきこと 北川 友稀 Solutions Architect 2025/01/30 2025 クラウドガバナンスはこう変わる︕ マルチアカウント運⽤のre:Invent最新情報と活⽤例

2. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 2 ⾃⼰紹介 北川 友稀 アマゾンウェブサービスジャパン ソリューションアーキテクト ISV/SaaS ビジネスを展開されているお客様を中⼼に ご⽀援しています。 好きな AWS サービス AWS Control Tower AWS Config AWS Lambda

3. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 3 本セッションについて お伝えする内容 1. マルチアカウント管理の重要性とやるべきこと 2. 管理アカウントは使わない お願いしたいこと 1. ご⾃⾝の AWS 環境の状態との差分を確認（チェックリスト） 2. 聞いていただく姿勢 • NG: マルチアカウント管理は⼤変... OK: マルチアカウント管理で楽になる︕ （＝ビジネス成⻑を阻害しない）

4. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. 1. なぜマルチアカウント管理を⾏うべきか︖ 2. AWS アカウントを作成した際にやるべきこと for マルチアカウント管理 3. まとめ 4 アジェンダ

5. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. なぜマルチアカウント管理 を⾏うべきか︖ 5

6. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 6 • 様々なサービスを利⽤するための区画 • 複数ユーザで利⽤できる • 複数所有し環境を分離できる AWS アカウント AWS アカウントとは

7. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 7 課⾦の分離 セキュリティ境界 リソースの分離 (※クォータを含む） AWS アカウントが実現すること

8. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 8 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C

9. © 2025, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = C tag: product = A tag: product = C 9

10. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ 10

11. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 ︕ 11

12. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 複雑な権限管理 ︕ ︕ 12

13. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 ︕ ︕ セキュリティイベント波及 ︕ 複雑な権限管理 13

14. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 ︕ ︕ セキュリティイベント波及 ︕ 複雑な権限管理 14 いつか運⽤・管理がツラくなる

15. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. • 開発環境の設定ミスにより、強い権限が奪取され本番環境に意図しないアクセス 15 シングルアカウント構成のビジネス阻害例 ➡ セキュリティイベントの対応、レピュテーションリスク • オペレーションミスにより、他プロダクトの本番環境を変更 ➡ 障害発⽣による SLA 未達、個⼈情報漏洩 • 開発環境の負荷試験でクォータを消費し、本番環境で Rate Limit Exceed エラーが頻発 ➡ クレーム対応、機会損失 • タグの付け間違いにより、タグ付替や配賦のやり直し ➡ ⼯数消費 ※ 原因によるため、必ずしもシングルアカウント構成起因とは限りません

16. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ※ VPC = Amazon Virtual Private Cloud VPC VPC VPC VPC VPC VPC VPC VPC 従来はネットワーク単位で環境を区切っていたが・・・ AWSアカウント単位で区切ることを推奨 ＝ AWSのベストプラクティス⾃体が変遷してきた だから、マルチアカウント構成 プロダクト A 開発環境 プロダクト A 検証環境 プロダクト A 本番環境 プロダクト B 開発環境 プロダクト A 開発環境 プロダクト A 検証環境 プロダクト A 本番環境 プロダクト B 開発環境 16

17. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ベストプラクティスに基づく AWS 環境を 数クリックでセットアップ • ベストプラクティスに基づく AWS 環境 • 数クリックで利⽤開始 • 無償で利⽤可能 17

18. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. AWS Control Tower に興味を持った⽅へ 以下のセッションタイトルで検索︕ (※ 各タイトルにリンクあり） • AWS Builders Online シリーズ • 『AWS Control Tower で始めるはじめての AWSアカウント管理』（初⼼者向け） • AWS Blackbeltシリーズ • 『AWS Control Tower 基礎編』 • 『AWS Control Tower 機能紹介編』 • 『AWS Control Tower ⼿順編 AWS Control Tower の有効化』 18

19. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS アカウントを作成した 際にやるべきこと for マルチアカウント管理 19

20. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 20 資料に登場する AWS サービスの概要 AWS IAM Identity Center • 複数の AWS アカウントに対するシングルサインオンを提供 AWS Config • AWS リソースの設定を記録し、評価および監査 AWS CloudTrail • 「誰が」「いつ」「どこから」「何を」したのか（監査ログ）を記録 AWS Cloudformation • AWS リソースの Infrastructure as Code を実現 AWS Organizations • マルチアカウントを⼀元管理

21. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 21 資料に登場する AWS サービスの概要 AWS Security Hub • セキュリティ検出結果の集約 Amazon GuardDuty • AWS アカウントとワークロードの継続的モニタリングによる脅威検出

22. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 22 AWS Organizations 関連の⽤語 管理アカウント (Payer アカウント） root 開発環境 OU 本番環境 OU メンバーアカウント 1 ルートユーザ メンバーアカウント 2 AWS Organizations ルートユーザ ルートユーザ AWS Organizations ・マルチアカウントを⼀元管理 ・アカウント作成 ・OU によるグループ化 ・ポリシーの適⽤ ・⼀括請求 管理アカウント ・Organizations を管理 する AWS アカウント ・メンバーアカウントの 作成・閉鎖等が可能 メンバーアカウント ・管理アカウント以外の AWS アカウント Organizational Unit (OU) ・AWS アカウントをグルーピング ・統制の単位 ※ 上記の OU 構成を推奨している訳ではない ※ 管理アカウントも root や OU 配下に配置されるが、便宜上これらの外に記載 プロダクト A OU ルートユーザ ・メールアドレスとパスワードでログイン ・基本的にすべてのリソースにアクセス可

23. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ※ VPC = Amazon Virtual Private Cloud VPC VPC VPC VPC VPC VPC VPC VPC 従来はネットワーク単位で環境を区切っていたが・・・ AWSアカウント単位で区切ることを推奨 ＝ AWSのベストプラクティス⾃体が変遷してきた マルチアカウント構成 プロダクト A 開発環境 プロダクト A 検証環境 プロダクト A 本番環境 プロダクト B 開発環境 プロダクト A 開発環境 プロダクト A 検証環境 プロダクト A 本番環境 プロダクト B 開発環境 23

24. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. ※ VPC = Amazon Virtual Private Cloud VPC VPC VPC VPC VPC VPC VPC VPC 従来はネットワーク単位で環境を区切っていたが・・・ AWSアカウント単位で区切ることを推奨 ＝ AWSのベストプラクティス⾃体が変遷してきた マルチアカウント構成 プロダクト A 開発環境 プロダクト A 検証環境 プロダクト A 本番環境 プロダクト B 開発環境 プロダクト A 開発環境 プロダクト A 検証環境 プロダクト A 本番環境 プロダクト B 開発環境 24 それぞれ IAM ユーザ発⾏する︖ パスワード覚える︖ セキュリティ等の 共通設定を個別に⾏う︖ 設定漏れや オペレーションミスによる 設定削除の可能性は︖ ※ IAM = AWS Identity and Access Management

25. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 25 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには

26. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 26 実装例 IAM ロール ルートユーザ 共通 ログイン 画⾯ 既存メンバーアカウント IAM ロール ルートユーザ 特権ユーザ (CCoE など） 新規メンバーアカウント IAM ロール ルートユーザ 管理アカウント セキュリティ アカウント ログアーカイブ アカウント ⼀般ユーザ (開発者など） 管理アカウントが 必要なタスク ※セキュリティ、ログアーカイブアカウント 内の IAM ロール等は省略 AWS Config GuardDuty Security Hub CloudTrail AWS Config GuardDuty Security Hub CloudTrail AWS Config GuardDuty Security Hub CloudTrail Security Hub AWS Config Amazon S3 IAM Identity Center CloudFormation AWS Organizations

27. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 27 ルートユーザの保護 • ⾮常にリスクの⾼い操作を⾏える • ex. AWS アカウントの閉鎖 • ex. E メールアドレス・パスワードの変更 • 意図しないログインやオペレーションミス防⽌ AWS アカウント IAM ユーザ ユーザ (開発者 など） ルートユーザ ログイン Why What to Do • 強度の⾼いパスワード、MFA を設定 など • ルートユーザのベストプラクティスを参照 • IAM ユーザの利⽤ • ルートユーザは権限的に必要な時のみ利⽤ • 暫定的なユーザとして扱い、恒久的には フェデレーションユーザ（後述）を利⽤ 状態 1 - A

28. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 28 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには ✅

29. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 29 AWS Organizations の利⽤ • マルチアカウント管理を効率的に • さまざまな AWS サービスがマルチアカウント 向け機能を提供 Why • 「組織」を作成 • 「すべての機能」を有効化 • 作成した AWS アカウントが管理アカウント （それ以外はメンバーアカウント） • Organizational Unit（OU）の作成 • AWS Organizations における組織単位の ベストプラクティス ブログ参照 What to Do 状態 1 - A

30. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 30 メンバーアカウントのルートユーザの保護 • ⾮常にリスクの⾼い操作を⾏える • ex. AWS アカウントの閉鎖 • ex. E メールアドレス・パスワードの変更 • 意図しないログインやオペレーションミス防⽌ 管理アカウント （もしくは委任されたアカウント） IAM プリンシパル Why • Root access management を有効化 • 新規メンバーアカウントのルートユーザは 利⽤不可となる • 既存アカウントの認証情報も削除可能 • 従来ルートユーザのみ実施できたタスクの ⼀部は AssumeRoot により管理アカウント より実施可能 • ex. アクセス不可リソースのポリシー削除 What to Do メンバーアカウント ルートユーザ AssumeRoot リソースポリシー削除 状態 1 - A AWS Organizations Amazon S3 Amazon SQS 2025 年変わるポイント①

31. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. （参考）2025 年春より「Root access management」 or「メンバーアカウントのルートユーザに MFA 設定」 が必須になります︕ https://aws.amazon.com/jp/blogs/news/secure-by-design-aws-enhances-centralized-security-controls-as-mfa-requirements-expand/ 31 2025 年変わるポイント②

32. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 32 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅

33. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 33 監査ログの取得・集約 • 「誰が」「いつ」「何を」したのか追跡する • 監査や有事の際に備える Why • CloudTrail の組織証跡作成 • マルチリージョンの証跡、整合性検証 ON • AWS Config の有効化 • すべてのリージョンで有効化 • 設定スナップショットを Amazon S3 に保存 • 保全専⽤の AWS アカウントに保存 • 必要最低限の⼈のみがアクセスする What to Do ログアーカイブアカウント Amazon S3 管理アカウント メンバーアカウント メンバーアカウント ※ Amazon Athena や AWS CloudTrail Lake 等を利⽤して調査 できる状態にするのが望ましい 状態 1 - B AWS Config CloudTrail AWS Config CloudTrail AWS Config CloudTrail AWS Organizations

34. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 34 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅ ✅

35. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 35 発⾒的統制の適⽤ • 望ましい設定であることをチェック • ex. 企業のポリシーへの準拠 • ”チェック”のみで強制しない • 開発者の作業を妨げず、アジリティは低下しない Why • チェックルールの選定・適⽤ • AWS Config ルール • AWS Control Tower のコントロール • SecurityHub のセキュリティ基準 • AWS Config Aggregator への結果集約 • ⾮準拠の通知があると Better What to Do Aggregator メンバーアカウント AWS Config パブリックアクセス ⾮許可 評価: 準拠 メンバーアカウント パブリックアクセス 許可 評価: ⾮準拠 AWS Config 管理アカウント （もしくは委任されたアカウント） 状態 1 - C AWS Organizations

36. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 36 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅ ✅ ✅

37. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 37 予防的統制の適⽤ • 望ましくない操作を禁⽌ • 望ましい設定を強制 ※開発者のアジリティ低下を避けるため必要最低限に Why • サービスコントロールポリシー (SCPs) の利⽤ • 組織全体の IAM プリンシパルに対する ⼀元的なアクセス許可の制御 • リソースコントロールポリシー (RCPs) の利⽤ • 組織全体のリソースに対する ⼀元的なアクセス許可の制御 • 宣⾔型ポリシーの利⽤ • 組織全体の特定の AWS サービスに設定を強制 What to Do root OU 1 OU 2 アカウント 1 アカウント 2 Polices Polices Polices 状態 1 - D AWS Organizations 2025 年変わるポイント③ 2025 年変わるポイント④

38. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 38 （参考）各ポリシーのユースケース例 • サービスコントロールポリシー • 東京リージョン以外での操作を禁⽌（バージニア北部は除く） • 無効化操作禁⽌による設定の強制 （AWS Config の無効化禁⽌、AWS Organizations の組織からの脱退禁⽌など） • リソースコントロールポリシー （New!） • 組織に属するプリンシパルのみにアクセスを限定 • HTTPS 接続のアクセスに限定 • 宣⾔型ポリシー （New! at re:Invent 2024） • VPC のパブリックアクセスブロック • AMI、EBS スナップショットのパブリックアクセスブロック 2025 年変わるポイント③ 2025 年変わるポイント④

39. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. • AWS Organizations と統合している機能を利⽤ • Amazon GuardDuty、Amazon Security Hub など • 全 AWS アカウント、全リージョンで有効化 • Cloudformation StackSets による設定の⼀元適⽤ • AWS Config など • 企業のベースラインとして定めているリソース・設定 • AWS Control Tower を利⽤している場合は、 カスタマイズソリューションも候補 39 ベースラインの適⽤ • 設定のばらつき、作業漏れやミスを防⽌ Why What to Do 管理アカウント （もしくは委任されたアカウント） メンバーアカウント メンバーアカウント 状態 1 - D AWS Organizations GuardDuty Security Hub GuardDuty GuardDuty Security Hub AWS Config AWS Config Security Hub CloudFormation

40. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 40 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅ ✅ ✅ ✅ ✅

41. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 41 フェデレーションユーザの利⽤ • 認証情報の記憶、ログイン・ログアウトが⼿間 • IAM ユーザ作成も管理⼯数が発⽣ • IAM ユーザのクレデンシャルは有効期限がなく 漏洩時のリスクがある IAM ロール(Admin) ユーザ ログイン Why • IAM Identity Center の利⽤ • または SAML 準拠の IdP と IAM の連携 What to Do 共 通 ロ グ イ ン 画 ⾯ IAM ロール(Admin) IAM ロール(Admin) IAM ロール(ReadOnly) IAM ロール(ReadOnly) IAM ロール(ReadOnly) メンバーアカウント メンバーアカウント メンバーアカウント 状態 2 AWS Organizations

42. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 共通ログイン画⾯ 権限のあるアカウント⼀覧 （参考）AWS IAM Identity Center の利⽤ 42

43. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 43 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅ ✅ ✅ ✅ ✅ ✅

44. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 44 管理アカウントを常⽤しない • メンバーアカウントの閉鎖等の特権操作が可能 • サービスコントロールポリシー等が適⽤されない • 請求や AWS アカウントの管理に特化した利⽤が ベストプラクティス Why • 新しく AWS アカウントを作成する • 管理アカウントにワークロードを構築しない • すでにワークロードがある場合は、新しい AWS アカウントで組織を作成・移⾏を検討 • 委任可能な機能はメンバーアカウントへ委任 What to Do 管理アカウント メンバーアカウント 特権ユーザ (CCoE など） ⼀般ユーザ (開発者など） 特権操作 状態 3 AWS Organizations

45. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 45 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅ ✅ ✅ ✅ ✅ ✅ ✅

46. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 46 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅ ✅ ✅ ✅ ✅ ✅ ✅ ビジネス成⻑の阻害なし︕

47. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 47 実装例 （再掲） IAM ロール ルートユーザ 共通 ログイン 画⾯ 既存メンバーアカウント IAM ロール ルートユーザ 特権ユーザ (CCoE など） 新規メンバーアカウント IAM ロール ルートユーザ 管理アカウント セキュリティ アカウント ログアーカイブ アカウント ⼀般ユーザ (開発者など） 管理アカウントが 必要なタスク ※セキュリティ、ログアーカイブアカウント 内の IAM ロール等は省略 AWS Config GuardDuty Security Hub CloudTrail AWS Config GuardDuty Security Hub CloudTrail AWS Config GuardDuty Security Hub CloudTrail Security Hub AWS Config Amazon S3 IAM Identity Center CloudFormation

48. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 48 まとめ • マルチアカウント管理は重要 • セキュリティ、リソース、請求が分離 • 2025 年こう変わる • Root Access Management を利⽤しない場合、メンバーアカウントの MFA 設定必須 • 予防的統制の選択肢追加（リソースコントロールポリシー、宣⾔的ポリシー） • AWS Control Tower の利⽤がマルチアカウント管理への近道であることは変わらない • AWS アカウントを作成した後にやるべきこと • ルートユーザを保護 • AWS Organizations で組織作成 • ガバナンスが効いた AWS アカウントを払い出す整備

49. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 49 まとめ 管理アカウントを常⽤しない

50. © 2025, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Thank you! © 2025, Amazon Web Services, Inc. or its affiliates. All rights reserved.