Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230215_JAWS-UG_asakai_ControlTower
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
h-ashisan
February 15, 2023
Technology
2
2.8k
20230215_JAWS-UG_asakai_ControlTower
h-ashisan
February 15, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
410
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
340
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
750
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.6k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
760
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
690
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
790
20240724_cm_odyssey_hibiyatech
hiashisan
0
530
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.4k
Other Decks in Technology
See All in Technology
使って学ぼう MCP (と GitHub Codespaces)
tsubakimoto_s
1
160
なぜAIは チーム開発を 速くしないのか
tan_go238
6
3k
生成AIの研究活用_AILab2025研修
cyberagentdevelopers
PRO
10
4.8k
Cloud Runでコロプラが挑む 生成AI×ゲーム『神魔狩りのツクヨミ』の裏側
colopl
0
430
今、求められるデータエンジニア
waiwai2111
2
800
【Claude Code】Plugins作成から始まったファインディの開発フロー改革
starfish719
0
230
フルスタックGoでスコア改ざんを防いだ話
ponyo877
0
450
Azure Copilot Migration Agent / #jazug
koudaiii
1
200
猫でもわかるKiro CLI(セキュリティ編)
kentapapa
1
250
ZOZO.swift #2
zozotech
PRO
0
270
AIで 浮いた時間で 何をする? 2026春 #devsumi
konifar
5
1.4k
1,000 にも届く AWS Organizations 組織のポリシー運用をちゃんとしたい、という話
kazzpapa3
1
260
Featured
See All Featured
Claude Code のすすめ
schroneko
67
210k
So, you think you're a good person
axbom
PRO
2
1.9k
Statistics for Hackers
jakevdp
799
230k
Facilitating Awesome Meetings
lara
57
6.8k
Context Engineering - Making Every Token Count
addyosmani
9
680
Leveraging Curiosity to Care for An Aging Population
cassininazir
1
170
Test your architecture with Archunit
thirion
1
2.2k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
210
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
94
The World Runs on Bad Software
bkeepers
PRO
72
12k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
359
30k
AI Search: Where Are We & What Can We Do About It?
aleyda
0
7k
Transcript
AWSのマルチアカウント戦略と AWS Control Tower クラスメソッド株式会社 芦沢広昭(あしさん) 1
2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属:クラスメソッド株式会社 • 在住:東京 • 業務:AWS設計構築・コンサルティング
• 好きなAWSサービス:AWS Security Hub 自己紹介
3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control
Towerの機能およびアップデート紹介
4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順
5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ
6 1. AWSのマルチアカウント戦略について
7 AWS環境の『分離』 どうやっていますか?
8 大きく分けると... シングルアカウント vs マルチアカウント
9 結局どっちがいいの?
10 結論 From AWS 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf
11 なぜそう言い切れるの? - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限(クオータ)を環境毎に分離できない
- 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、 マルチアカウントアーキテクチャが推奨されている
12 マルチアカウント運用、開始 シングルアカウントの辛みは解消!!!! 完全解決!!!
13 しかし、運用していくにつれて... あれ、結局辛くないか???
14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題
- 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .
15 AWS Organizationsとは? マルチアカウントの一元管理、アカウントの自動作成、一括 請求、AWSの他サービスとの統合など多くの機能でマルチア カウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する
16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 - etc. . .
17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 → 解決できそうなことはわかった! だけど...
18 残っている大きな問題 辛みを解消する各サービスを どのように設計・実装すれば良い?
19 解決策の1つ
20 「マルチアカウント戦略」がよくわかるブログ 参考リンク:https://dev.classmethod.jp/articles/why-aws-multi-accounts/
21 2. AWS Control Towerとは?
22 AWS Control Towerとは? 事前の学習コストなしで、ベストプラクティスに基づくマルチ アカウント環境を数クリック・短時間で構築できるマネージド サービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける!
23 Control Towerが構築するAWS環境(構成図) 参考リンク:https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html
24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory
25 ガードレール?
26 ガードレール ・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できない ように制限(=予防)できる ガードレール
・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した 場合に検知(=発見)できる ガードレール → Control Tower独自のセキュリティ基準に基づいた リソースの集まり(プリセット)が簡単に利用できる
27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard( hooks)で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ
ングを抑止できるガードレール - 参考ブログ: - [アップデート]非準拠リソースのプロビジョニングを抑止できる!AWS Control Towerでプロアクティブなガードレールが利用可能になりまし た #reinvent 🌟re:Invent 2022アップデート
28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展 開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control
Towerカスタマイズソリューション(CfCT) - Account Factory For Terraform(AFT) - Account Factory Customization(AFC)
29 Account Factoryのカスタマイズ(CfCT) ・Control Towerカスタマイズソリューション(CfCT) - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationス タックおよびSCPを展開できるようにする仕組み 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf
30 Account Factoryのカスタマイズ(AFT) ・Account Factory For Terraform(AFT) - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)
で実行できるようになる仕組み 参考リンク:https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/
31 Account Factoryのカスタマイズ(AFC) ・Account Factory Customization(AFC) - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい
- デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート
32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -
Active Directory、Okta、OneLoginなど、オンプレミス環境で利 用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある
33 その他、追加でやるべきこと(参考ブログ) 参考リンク:https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/
34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティ ス - Control Towerによって運用のスタートラインに短時間で到 達できる -
Control Towerは最低限の設定であり追加の設定は必須
35
hiashisan
tsubakimoto_s
tan_go238
cyberagentdevelopers
colopl
waiwai2111
starfish719
ponyo877
koudaiii
kentapapa
zozotech
konifar
kazzpapa3
schroneko
axbom
jakevdp
lara
addyosmani
cassininazir
thirion
tamaranovitovic
kimpetersen
bkeepers
bermonpainter
aleyda
