Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー管...
Search
atpons
January 30, 2025
Programming
1
630
AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー管理からの脱却
2025クラウドガバナンスはこう変わる!マルチアカウント運用のre:Invent最新情報と活用例 での発表資料です。
atpons
January 30, 2025
Tweet
Share
More Decks by atpons
See All by atpons
TLSから見るSREの未来
atpons
3
710
Securing Credentials for Package Manager and Bundler
atpons
0
190
コピペでQualys SSL Server Test A+ ゲットだぜ!
atpons
0
170
Other Decks in Programming
See All in Programming
Claude Code の Skill で複雑な既存仕様をすっきり整理しよう
yuichirokato
1
380
RubyとGoでゼロから作る証券システム: 高信頼性が求められるシステムのコードの外側にある設計と運用のリアル
free_world21
0
290
CS教育のDX AIによる育成の効率化
niftycorp
PRO
0
120
Go Conference mini in Sendai 2026 : Goに新機能を提案し実装されるまでのフロー徹底解説
yamatoya
0
590
AIコードレビューの導入・運用と AI駆動開発における「AI4QA」の取り組みについて
hagevvashi
0
490
クライアントワークでSREをするということ。あるいは事業会社におけるSREと同じこと・違うこと
nnaka2992
1
340
grapheme_strrev関数が採択されました(あと雑感)
youkidearitai
PRO
1
220
AWS Infrastructure as Code の新機能 2025 総まとめ 〜SA 4人による怒涛のデモ祭り〜
konokenj
10
3.4k
CSC307 Lecture 15
javiergs
PRO
0
250
社内規程RAGの精度を73.3% → 100%に改善した話
oharu121
13
8.1k
コーディングルールの鮮度を保ちたい / keep-fresh-go-internal-conventions
handlename
0
200
Windows on Ryzen and I
seosoft
0
290
Featured
See All Featured
Tell your own story through comics
letsgokoyo
1
840
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.2k
Paper Plane (Part 1)
katiecoart
PRO
0
5.6k
Crafting Experiences
bethany
1
87
The SEO identity crisis: Don't let AI make you average
varn
0
410
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
150
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.4k
Everyday Curiosity
cassininazir
0
160
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2k
First, design no harm
axbom
PRO
2
1.1k
Transcript
AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー 管理からの脱却 2025クラウドガバナンスはこう変わる!マルチアカウント運用の re:Invent最新情報と活用例 2025/1/30
STORES 株式会社 テクノロジー部門 技術推進本部 浅野 大我
自己紹介 2 浅野 大我 (Taiga Asano) / @atpons STORES 株式会社
テクノロジー部門 技術推進本部 エンジニア 社内で利用するパブリッククラウドや SaaS を管理しています
STORES の事業 お店のデジタルを まるっとサポート。 個人や中小事業の方々に向けて、 お店のデジタル化をまるっと 実現できる価値を提供しています。
本日話すこと - STORES におけるAWS Organizations・IAM Identity Centerの現状 - STORES におけるルートユーザー管理の課題
- ルートユーザーの削除対応にあたって行ったこと - 導入後の変化 4
STORES におけるAWS Organizations・IAM Identity Centerの現状 5 - 10数個の AWS アカウントを運用中
- プロダクト、環境ごとに AWS アカウントが存在 - AWS Organizations による管理と IAM Identity Center によるシングル サインオンを導入済み - アカウントの払い出しが簡単、コスト管理がしやすい、セキュリティ設定が容易などの メリット 管理アカウント メンバーアカウントA メンバーアカウントB メンバーアカウントC SSO
STORES におけるAWS Organizations・IAM Identity Centerの現状 6 - IAM Identity Center
の権限セットやポリシーは、AWS アカウント横断で 技術推進本部が管理 - AWS Organizations / IAM Identity Center の設定は IaC で管理 - 必要に応じて各アカウント利用者にファイルに追記、削除してもらい、自動的に適用するこ とで、追加・削除はセルフサービスで実施 メンバーアカウントA 権限セットα 自動反映 追加/削除 技術推進本部管理
STORES におけるルートユーザー管理の課題 7 - IAM ユーザーは IAM Identity Center で運用出来ている!でも・・・
- ルートユーザーは IAM Identity Center の管理外 - 当然出来ることが多いので GuardDuty などによる監視も必要 - パスワードとMFAデバイスを技術推進本部で管理 - 利用者側での管理は不要な一方、アカウントが増えるにつれて管理が煩雑に 技術推進本部管理 アカウントA ルートユーザー アカウントB ルートユーザー ・・・ なんでも 出来る SSOできない ので管理大変
増えるアカウントとルートユーザーの管理に一筋の光 ルートアクセスの一元管理 が 2024/11/15 にリリース 8 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ ・ルートユーザーの削除(新規作成時にルートユーザーも作成されない) ・ルートユーザーしかできない特権アクションの一部が管理アカウントから可能に うれしい
ルートユーザーの削除対応にあたって行ったこと - テスト用のメンバーアカウントで先にルートユーザーの削除を実施 (公開後 すぐ) - AWS コンソールでルートアクセスの一元管理のページを見ると IAM の
GetAccountSummary API が各アカウントに飛んでしまうことが判明 - 各アカウントで GuardDuty などで検知してしまうことが分かったので、事前に調整 - 削除後に対応できなくなる特権操作をしておく (3 日) - ルートアクセスの一元管理では非対応の特権操作がある - 後でルートユーザーを元に戻すことも可能だが、先に済ませておく - 今回はアカウントエイリアスの変更をしたいアカウントがあったので、先んじて対応した - 各アカウント管理者への連絡 (1-2 週間) - ルートユーザーのアクセスキーなどを利用していないか確認 9 2024/12/2 に AWS コンソールからルートユーザーの削除を実施!
導入後の変化 10 良かったこと - ルートユーザーのパスワード管理、MFA デバイスの管理が不要に! - 新規メンバーアカウントの払い出し時に、ルートユーザーの作成が不要に! 通知の変化 -
Security Hub の各セキュリティ基準の一部コントロール (Hardware MFA should be enabled for the root user) が失敗するようになってしまった - ルートアクセスの一元管理に対応できていなかったことが原因 - すべて削除しているので、コントロールの無効化を実施
まとめ 11 - STORES では AWS Organizations と IAM Identity
Center による効率化し たマルチアカウント管理を行っています - 一方、ルートユーザーは権限の大きさや MFA デバイスの管理が必要となって おり、課題となっていました - ルートアクセスの一元管理の有効化と、ルートユーザーの削除により、大幅に 管理コストを削減することができました AWS Organizations とルートアクセスの一元管理で、より楽な マルチアカウント管理をしていきましょう!
atpons
yuichirokato
free_world21
niftycorp
yamatoya
hagevvashi
nnaka2992
youkidearitai
konokenj
javiergs
oharu121
handlename
seosoft
letsgokoyo
garrettdimon
geoffreycrofte
katiecoart
bethany
varn
rmw
.png){kind=avatar}
helenjbeal
lindahogenes
cassininazir
aleyda
axbom
