rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = C tag: product = A tag: product = C 9
rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ 10
rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 ︕ 11
rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 複雑な権限管理 ︕ ︕ 12
rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 ︕ ︕ セキュリティイベント波及 ︕ 複雑な権限管理 13
rights reserved. 開発環境 検証環境 本番環境 シングルアカウントで構成した場合… プロダクト A 開発環境 検証環境 本番環境 プロダクト B 開発環境 検証環境 本番環境 プロダクト C tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = A tag: product = B tag: product = A tag: product =B tag: product = A tag: product = B tag: product = A tag: product = C tag: product = A tag: product = B tag: product = A tag: product = C オペレーションミス ︕ クォータ浪費 ︕ ︕ セキュリティイベント波及 ︕ 複雑な権限管理 14 いつか運⽤・管理がツラくなる
rights reserved. 25 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには
rights reserved. 28 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには ✅
rights reserved. 32 ⽬指すべき状態 1. AWS アカウント作成時に、⾃動的に以下の状態を満たす A. ルートユーザが保護されている B. 「誰が」「いつ」「何を」したのかを追跡できる C. AWS リソースが、望ましくない設定になっていることに気付ける D. 共通の設定が漏れなく適⽤されている 2. 複数の AWS アカウントに適切な権限で簡単にログイン・利⽤できる 3. 管理アカウントを常⽤しない マルチアカウント管理をビジネス成⻑の阻害なく⾏うためには 管理アカウントもメンバーアカウントも ✅
rights reserved. 41 フェデレーションユーザの利⽤ • 認証情報の記憶、ログイン・ログアウトが⼿間 • IAM ユーザ作成も管理⼯数が発⽣ • IAM ユーザのクレデンシャルは有効期限がなく 漏洩時のリスクがある IAM ロール(Admin) ユーザ ログイン Why • IAM Identity Center の利⽤ • または SAML 準拠の IdP と IAM の連携 What to Do 共 通 ロ グ イ ン 画 ⾯ IAM ロール(Admin) IAM ロール(Admin) IAM ロール(ReadOnly) IAM ロール(ReadOnly) IAM ロール(ReadOnly) メンバーアカウント メンバーアカウント メンバーアカウント 状態 2 AWS Organizations