Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー管...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for atpons atpons
January 30, 2025
Programming
660
1

AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー管理からの脱却

2025クラウドガバナンスはこう変わる!マルチアカウント運用のre:Invent最新情報と活用例 での発表資料です。

Avatar for atpons

atpons

January 30, 2025

More Decks by atpons

See All by atpons
食べログのサーキットブレーカー導入を振り返って
Avatar for atpons atpons
1
150
TLSから見るSREの未来
Avatar for atpons atpons
3
770
Securing Credentials for Package Manager and Bundler
Avatar for atpons atpons
0
240
コピペでQualys SSL Server Test A+ ゲットだぜ!
Avatar for atpons atpons
0
180

Other Decks in Programming

See All in Programming
Modding RubyKaigi for Myself
Avatar for yui-knk yui_knk
0
810
新規プロダクトを高速で生み出すハーネスエンジニアリング
Avatar for Ryohei Ikegami seanchas116
16
7.5k
横断組織出身のQAEがインプロセスQAEでつまずいたこと・活かせたこと
Avatar for Taiki Yamashita ty89
0
460
技術記事、AIに書かせるか、自分で書くか? 〜それでも私が自分の手で書く理由〜 / #QiitaConference
Avatar for Junichi Ito jnchito
2
1.2k
Inspired By RubyKaigi (EN)
Avatar for Atsushi Kawamura (atzz/a2c) atzzcokek
0
440
Make SRE Operations Easier with Azure SRE Agent
Avatar for KAMEGAWA Kazushi kkamegawa
0
2k
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
Avatar for akio akiomatic
0
100
AI駆動開発で崩れていくコードベースを立て直す
Avatar for Kyoko NR kyoko_nr_nr
1
400
CLIであることを活かしたGitHub Copilot CLI活用術 / GitHub Copilot CLI Pro Tips & Tricks
Avatar for Naoya.i nao_mk2
1
1.1k
今さら聞けないCancellationToken
Avatar for tkym htkym
0
200
Stage 3 Decorators でできること / できないこと / TSKaigi 2026
Avatar for Susisu susisu
1
1.3k
AIエージェントと協働するCLI開発 — BunとOpenClawで学んだこと
Avatar for よしこ yoshikouki
1
220

Featured

See All Featured
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
220
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
Avatar for Sophie Logan marketingsoph
0
160
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
54k
SEO in 2025: How to Prepare for the Future of Search
Avatar for Michael King ipullrank
3
3.5k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
76
5.2k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k
Are puppies a ranking factor?
Avatar for Jono Alderson jonoalderson
1
3.4k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
520
16th Malabo Montpellier Forum Presentation
Avatar for AKADEMIYA2063 akademiya2063
PRO
0
130
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
25
1.9k

Transcript

  1. AWS Organizations で実現する、 マルチ AWS アカウントのルートユーザー 管理からの脱却 2025クラウドガバナンスはこう変わる!マルチアカウント運用の re:Invent最新情報と活用例 2025/1/30

    STORES 株式会社 テクノロジー部門 技術推進本部 浅野 大我

  2. 自己紹介 2 浅野 大我 (Taiga Asano) / @atpons STORES 株式会社

    テクノロジー部門 技術推進本部 エンジニア 社内で利用するパブリッククラウドや SaaS を管理しています

  3. STORES の事業 お店のデジタルを まるっとサポート。 個人や中小事業の方々に向けて、 お店のデジタル化をまるっと 実現できる価値を提供しています。

  4. 本日話すこと - STORES におけるAWS Organizations・IAM Identity Centerの現状 - STORES におけるルートユーザー管理の課題

    - ルートユーザーの削除対応にあたって行ったこと - 導入後の変化 4

  5. STORES におけるAWS Organizations・IAM Identity Centerの現状 5 - 10数個の AWS アカウントを運用中

    - プロダクト、環境ごとに AWS アカウントが存在 - AWS Organizations による管理と IAM Identity Center によるシングル サインオンを導入済み - アカウントの払い出しが簡単、コスト管理がしやすい、セキュリティ設定が容易などの メリット 管理アカウント メンバーアカウントA メンバーアカウントB メンバーアカウントC SSO

  6. STORES におけるAWS Organizations・IAM Identity Centerの現状 6 - IAM Identity Center

    の権限セットやポリシーは、AWS アカウント横断で 技術推進本部が管理 - AWS Organizations / IAM Identity Center の設定は IaC で管理 - 必要に応じて各アカウント利用者にファイルに追記、削除してもらい、自動的に適用するこ とで、追加・削除はセルフサービスで実施 メンバーアカウントA 権限セットα 自動反映 追加/削除 技術推進本部管理

  7. STORES におけるルートユーザー管理の課題 7 - IAM ユーザーは IAM Identity Center で運用出来ている!でも・・・

    - ルートユーザーは IAM Identity Center の管理外 - 当然出来ることが多いので GuardDuty などによる監視も必要 - パスワードとMFAデバイスを技術推進本部で管理 - 利用者側での管理は不要な一方、アカウントが増えるにつれて管理が煩雑に 技術推進本部管理 アカウントA ルートユーザー アカウントB ルートユーザー ・・・ なんでも 出来る SSOできない ので管理大変

  8. 増えるアカウントとルートユーザーの管理に一筋の光 ルートアクセスの一元管理 が 2024/11/15 にリリース 8 https://aws.amazon.com/jp/about-aws/whats-new/2024/11/manage-root-access-aws-identity-access-management/ ・ルートユーザーの削除(新規作成時にルートユーザーも作成されない) ・ルートユーザーしかできない特権アクションの一部が管理アカウントから可能に うれしい

  9. ルートユーザーの削除対応にあたって行ったこと - テスト用のメンバーアカウントで先にルートユーザーの削除を実施 (公開後 すぐ) - AWS コンソールでルートアクセスの一元管理のページを見ると IAM の

    GetAccountSummary API が各アカウントに飛んでしまうことが判明 - 各アカウントで GuardDuty などで検知してしまうことが分かったので、事前に調整 - 削除後に対応できなくなる特権操作をしておく (3 日) - ルートアクセスの一元管理では非対応の特権操作がある - 後でルートユーザーを元に戻すことも可能だが、先に済ませておく - 今回はアカウントエイリアスの変更をしたいアカウントがあったので、先んじて対応した - 各アカウント管理者への連絡 (1-2 週間) - ルートユーザーのアクセスキーなどを利用していないか確認 9 2024/12/2 に AWS コンソールからルートユーザーの削除を実施!

  10. 導入後の変化 10 良かったこと - ルートユーザーのパスワード管理、MFA デバイスの管理が不要に! - 新規メンバーアカウントの払い出し時に、ルートユーザーの作成が不要に! 通知の変化 -

    Security Hub の各セキュリティ基準の一部コントロール (Hardware MFA should be enabled for the root user) が失敗するようになってしまった - ルートアクセスの一元管理に対応できていなかったことが原因 - すべて削除しているので、コントロールの無効化を実施

  11. まとめ 11 - STORES では AWS Organizations と IAM Identity

    Center による効率化し たマルチアカウント管理を行っています - 一方、ルートユーザーは権限の大きさや MFA デバイスの管理が必要となって おり、課題となっていました - ルートアクセスの一元管理の有効化と、ルートユーザーの削除により、大幅に 管理コストを削減することができました AWS Organizations とルートアクセスの一元管理で、より楽な マルチアカウント管理をしていきましょう!