個人検証アカウントの管理どんな感じでやってますか_JAWSUGランチ共有会発表資料

Transcript

1. ©MNTSQ, Ltd. 2024/1/30 個人検証アカウントの管理、 どんな感じでやってますか？ @ JAWS-UG東京 ランチ共有会 MNTSQ株式会社 藤原涼馬

2. ©MNTSQ, Ltd. 2 自己紹介 藤原 涼馬 2023.11 〜 MNTSQ株式会社 SRE

   好きなAWSサービス 　Amazon S3 　Amazon ECS

3. ©MNTSQ, Ltd. 3 AWSの個人検証アカウントの管理どうしてますか？

4. ©MNTSQ, Ltd. 4 AWSの個人検証アカウントの管理どうしてますか？ 事例を紹介

5. ©MNTSQ, Ltd. 5 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには

   3. アカウントの中身は？

6. ©MNTSQ, Ltd. 6 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには

   3. アカウントの中身は？

7. ©MNTSQ, Ltd. 7 個人利用であってもマルチアカウント運用が望ましい (個人の意見です) 1. アカウント単位でしか設定できないものがある 2. そもそもマルチアカウントじゃないと検証できないものもある 3.

   消し忘れリソースによる微課金 マルチアカウント or シングルアカウント

8. ©MNTSQ, Ltd. 8 アカウント単位でしか設定できないものがある場合は、 比較検証のために複数アカウント必要になります 1.アカウント単位でしか設定できないものがある

9. ©MNTSQ, Ltd. 9 アカウント単位でしか設定できないものがある場合は、 比較検証のために複数アカウント必要になります e.g. Amazon S3のアカウント単位でのパブリックアクセスブロック 1.アカウント単位でしか設定できないものがある

10. ©MNTSQ, Ltd. 10 マルチアカウントでないと検証できないものがある 1. 各種リソースのリソースポリシーを使った クロスアカウントアクセス検証 2. マルチアカウントでないと検証できないものがある

11. ©MNTSQ, Ltd. 11 マルチアカウントでないと検証できないものがある 1. 各種リソースのリソースポリシーを使った クロスアカウントアクセス検証 2. AWS Organization,

    IAM Identity Center (AWS Control Towerなども) 2. マルチアカウントでないと検証できないものがある

12. ©MNTSQ, Ltd. 12 長くアカウントを使っていると微妙に消し忘れたリソース 起因で料金が発生。 いわゆるチリツモ 3. 消し忘れリソースによる微課金

13. ©MNTSQ, Ltd. 13 長くアカウントを使っていると微妙に消し忘れたリソース 起因で料金が発生。 いわゆるチリツモ 3. 消し忘れリソースによる微課金

14. ©MNTSQ, Ltd. 14 長くアカウントを使っていると微妙に消し忘れたリソース 起因で料金が発生。 いわゆるチリツモ 3. 消し忘れリソースによる微課金 乱暴ですがアカウントごと片付けましょう

15. ©MNTSQ, Ltd. 15 マルチアカウントで運用しましょう 結論

16. ©MNTSQ, Ltd. 16 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには

    3. アカウントの中身は？

17. ©MNTSQ, Ltd. 17 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS

    IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

18. ©MNTSQ, Ltd. 18 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS

    IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

19. ©MNTSQ, Ltd. 19 rootアカウント用メールアドレスには、 Google Workspaceで別名アドレスを利用しています aws+${用途}@example.com rootアカウント用メールアドレス

20. ©MNTSQ, Ltd. 20 rootアカウント用メールアドレスには、 Google Workspaceで別名アドレスを利用しています aws+${用途}@example.com rootアカウント用メールアドレス rootアカウント用メールアドレスがこれで確保できました

21. ©MNTSQ, Ltd. 21 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS

    IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

22. ©MNTSQ, Ltd. 22 1. 一括請求 2. アカウント作成の容易化 3. AWS IAM

    Identity Center AWS Organizaitions

23. ©MNTSQ, Ltd. 23 複数アカウントの請求をまとめて支払う 一括請求

24. ©MNTSQ, Ltd. 24 複数アカウントの請求をまとめて支払う 一括請求 https://docs.aws.amazon.com/ja_jp/awsaccountbilling/latest/aboutv2/consolidated-billing.html

25. ©MNTSQ, Ltd. 25 AWS Organizationsを使うことで... • 組織ルートアカウントから子アカウントをどんどん作れる • AWS OrganizationのAPIを使って大量にアカウントを作ることも可能

    ◦ Terraform などを利用して作ることもできる アカウント作成の容易化 https://speakerdeck.com/fufuhu/aws-organizationstoiam-identity-center-terraformwolian-xi-sitaquan-xian-guan-li

26. ©MNTSQ, Ltd. 26 AWS Organizationは 個人にとっても必須 AWS Organization利用についての結論

27. ©MNTSQ, Ltd. 27 1. rootアカウント用メールアドレス 2. AWS Organizations 3. AWS

    IAM Identity Center マルチアカウントを利用する上で必要 or 推奨なもの

28. ©MNTSQ, Ltd. 28 MFAのOTP管理地獄にならないようにするために必須 IAM Identity Center こんなに管理できない アカウント1の OTPです

    アカウント2の OTPです アカウント32の OTPです どのアカウントの ものかもはやわからな いOTPです IAM Identity Centerなしの場合 IAM Identity Centerありの場合 1つなら頑張れる

29. ©MNTSQ, Ltd. 29 AWS IAM Identity Center

30. ©MNTSQ, Ltd. 30 AWS IAM Identity Center 1つのID/PASS+MFAで複数のアカウントにアクセスできるように

31. ©MNTSQ, Ltd. 31 AWS IAM Identity Center 1つのID/PASS+MFAで複数のアカウントにアクセスできるように (新規AWSアカウントを作ってもID/PASS+MFAには変更がない)

32. ©MNTSQ, Ltd. 32 個人利用の場合も IAM Identity Centerは使いましょう AWS IAM Identity

    Centerについての結論

33. ©MNTSQ, Ltd. 33 話す内容 1. マルチアカウント or シングルアカウント 2. マルチアカウントを利用するには

    3. アカウントの中身は？

34. ©MNTSQ, Ltd. 34 よく使うものはIaCテンプレート化して使い回す 検証環境を短時間で構築、片付けできるようにする アカウントの中身は?

35. ©MNTSQ, Ltd. 35 • 個人であってもマルチアカウントで運用しましょう • AWS Organizationで一括請求を活用しましょう • AWS

    IAM Identity CenterでID/PASS+MFAの手間を下げつつ、セ キュアに使いましょう • よく使う構成はテンプレートにしておいて迅速に立ち上げられる ようにしましょう まとめ

36. ©MNTSQ, Ltd. 36 登壇の準備をする中で考えてみました 今後やりたいこと

37. ©MNTSQ, Ltd. 37 登壇の準備をする中で考えてみました 今後やりたいこと 会計ソフトとインボイスの自動連携って実現できるのでは...? （やってる人、やったことのある人いれば教えてください）

38. None