Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20230215_JAWS-UG_asakai_ControlTower

Avatar for h-ashisan h-ashisan
February 15, 2023
Technology
2
2.7k

 20230215_JAWS-UG_asakai_ControlTower

Avatar for h-ashisan

h-ashisan

February 15, 2023
Tweet

More Decks by h-ashisan

See All by h-ashisan
Tokyo_reInforce_2025_recap_iam_access_analyzer
Avatar for h-ashisan hiashisan
0
290
OpsJAWS34_CloudTrailLake_for_Organizations
Avatar for h-ashisan hiashisan
0
610
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
Avatar for h-ashisan hiashisan
0
1.5k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
Avatar for h-ashisan hiashisan
0
720
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
Avatar for h-ashisan hiashisan
0
640
Practical-AWS-Security-measures-you-can-implement-now
Avatar for h-ashisan hiashisan
0
740
20240724_cm_odyssey_hibiyatech
Avatar for h-ashisan hiashisan
0
500
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
Avatar for h-ashisan hiashisan
0
1.3k
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
Avatar for h-ashisan hiashisan
0
790

Other Decks in Technology

See All in Technology
やり方は一つだけじゃない、正解だけを目指さず寄り道やその先まで自分流に楽しむ趣味プログラミングの探求 2025-11-15 YAPC::Fukuoka
Avatar for すぎゃーん sugyan
3
920
[CV勉強会@関東 ICCV2025 読み会] World4Drive: End-to-End Autonomous Driving via Intention-aware Physical Latent World Model (Zheng+, ICCV 2025)
Avatar for abemii_ abemii
0
240
アジャイル社内普及ご近所さんマップを作ろう / Let's create an agile neighborhood map
Avatar for Satoshi Harada psj59129
1
140
pmconf 2025 大阪「生成AI時代に未来を切り開くためのプロダクト戦略:圧倒的生産性を実現するためのプロダクトサイクロン」 / The Product Cyclone for Outstanding Productivity
Avatar for yama@muteki yamamuteki
3
2k
都市スケールAR制作で気をつけること
Avatar for segur segur
0
190
"'TSのAPI型安全”の対価は誰が払う?不公平なスキーマ駆動に終止符を打つハイブリッド戦略
Avatar for Hal hal_spidernight
0
100
その意思決定、まだ続けるんですか? ~痛みを超えて未来を作る、AI時代の撤退とピボットの技術~
Avatar for Michiru Kato applism118
34
21k
ABEMAのCM配信を支えるスケーラブルな分散カウンタの実装
Avatar for Honoka Toda hono0130
4
1.1k
Capitole du Libre 2025 - Keynote - Cloud du Coeur
Avatar for Julien Briault ju_hnny5
0
120
ある編集者のこれまでとこれから —— 開発者コミュニティと歩んだ四半世紀
Avatar for 稲尾尚徳 inao
5
3.5k
LINEギフト・LINEコマース領域の開発
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
350
OSだってコンテナしたい❗Image Modeが切り拓くLinux OS運用の新時代
Avatar for Masataka Tsukamoto tsukaman
0
120

Featured

See All Featured
BBQ
Avatar for Matthew Crist matthewcrist
89
9.9k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
84
9.3k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
303
21k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
514
110k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
280
24k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
76
5.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
15k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
4.9k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.2k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
274
41k

Transcript

  1. AWSのマルチアカウント戦略と
 AWS Control Tower
 クラスメソッド株式会社 芦沢広昭(あしさん)
 1

  2. 2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属:クラスメソッド株式会社 • 在住:東京 • 業務:AWS設計構築・コンサルティング

    • 好きなAWSサービス:AWS Security Hub 自己紹介

  3. 3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control

    Towerの機能およびアップデート紹介

  4. 4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順

  5. 5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ

  6. 6 1. AWSのマルチアカウント戦略について

  7. 7 AWS環境の『分離』 どうやっていますか?

  8. 8 大きく分けると... シングルアカウント vs マルチアカウント

  9. 9 結局どっちがいいの?

  10. 10 結論 From AWS 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

  11. 11 なぜそう言い切れるの? - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限(クオータ)を環境毎に分離できない

    - 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、 マルチアカウントアーキテクチャが推奨されている

  12. 12 マルチアカウント運用、開始 シングルアカウントの辛みは解消!!!! 完全解決!!!

  13. 13 しかし、運用していくにつれて... あれ、結局辛くないか???

  14. 14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題

    - 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .

  15. 15 AWS Organizationsとは? マルチアカウントの一元管理、アカウントの自動作成、一括 請求、AWSの他サービスとの統合など多くの機能でマルチア カウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する

  16. 16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -

    ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 - etc. . .

  17. 17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -

    ガードレール(SCP)によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center(旧 AWS Single Sigh-On)によりAWSアカウントへ のシングルサインオンを実装 → 解決できそうなことはわかった! だけど...

  18. 18 残っている大きな問題 辛みを解消する各サービスを どのように設計・実装すれば良い?

  19. 19 解決策の1つ

  20. 20 「マルチアカウント戦略」がよくわかるブログ 参考リンク:https://dev.classmethod.jp/articles/why-aws-multi-accounts/

  21. 21 2. AWS Control Towerとは?

  22. 22 AWS Control Towerとは? 事前の学習コストなしで、ベストプラクティスに基づくマルチ アカウント環境を数クリック・短時間で構築できるマネージド サービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける!

  23. 23 Control Towerが構築するAWS環境(構成図) 参考リンク:https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html

  24. 24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory

  25. 25 ガードレール?

  26. 26 ガードレール ・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できない ように制限(=予防)できる ガードレール

    ・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した 場合に検知(=発見)できる ガードレール → Control Tower独自のセキュリティ基準に基づいた   リソースの集まり(プリセット)が簡単に利用できる

  27. 27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard( hooks)で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ

    ングを抑止できるガードレール - 参考ブログ: - [アップデート]非準拠リソースのプロビジョニングを抑止できる!AWS Control Towerでプロアクティブなガードレールが利用可能になりまし た #reinvent 🌟re:Invent 2022アップデート

  28. 28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展 開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control

    Towerカスタマイズソリューション(CfCT) - Account Factory For Terraform(AFT) - Account Factory Customization(AFC)

  29. 29 Account Factoryのカスタマイズ(CfCT) ・Control Towerカスタマイズソリューション(CfCT) - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationス タックおよびSCPを展開できるようにする仕組み 参考リンク:https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

  30. 30 Account Factoryのカスタマイズ(AFT) ・Account Factory For Terraform(AFT) - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)

    で実行できるようになる仕組み 参考リンク:https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/

  31. 31 Account Factoryのカスタマイズ(AFC) ・Account Factory Customization(AFC) - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい

    - デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート

  32. 32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -

    Active Directory、Okta、OneLoginなど、オンプレミス環境で利 用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある

  33. 33 その他、追加でやるべきこと(参考ブログ) 参考リンク:https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/

  34. 34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティ ス - Control Towerによって運用のスタートラインに短時間で到 達できる -

    Control Towerは最低限の設定であり追加の設定は必須

  35. 35