20230215_JAWS-UG_asakai_ControlTower

AWSのマルチアカウント戦略と  AWS Control Tower  クラスメソッド株式会社芦沢広昭（あしさん）  1

2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属：クラスメソッド株式会社 • 在住：東京 • 業務：AWS設計構築・コンサルティング
• 好きなAWSサービス：AWS Security Hub 自己紹介

3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control
Towerの機能およびアップデート紹介

4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順

5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ

6 1. AWSのマルチアカウント戦略について

7 AWS環境の『分離』どうやっていますか？

8 大きく分けると... シングルアカウント vs マルチアカウント

9 結局どっちがいいの？

10 結論 From AWS 参考リンク：https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

11 なぜそう言い切れるの？ - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限（クオータ）を環境毎に分離できない
- 色々と頑張ると環境管理はどんどん複雑になっていく →「単一アカウントだと辛みが多すぎる」ため、マルチアカウントアーキテクチャが推奨されている

12 マルチアカウント運用、開始シングルアカウントの辛みは解消！！！！完全解決！！！

13 しかし、運用していくにつれて... あれ、結局辛くないか？？？

14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題
- 監査対応のためログをまとめたいけど設定の手間がかかる - ログ管理の問題 - アカウントの数だけIAMユーザーがあって管理が大変 - IAM管理の問題 - etc . . .

15 AWS Organizationsとは？マルチアカウントの一元管理、アカウントの自動作成、一括請求、AWSの他サービスとの統合など多くの機能でマルチアカウント運用を支援するサービス → たくさんの機能でマルチアカウント運用の『辛み』を軽減する

16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール（SCP）によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center（旧 AWS Single Sigh-On）によりAWSアカウントへのシングルサインオンを実装 - etc. . .

17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -
ガードレール（SCP）によりOU単位のアクセス制御を実装 - ログ管理 - CloudTrail組織の証跡の有効化で管理アカウントで集中管理 - IAM管理 - IAM Identity Center（旧 AWS Single Sigh-On）によりAWSアカウントへのシングルサインオンを実装 →　解決できそうなことはわかった！　だけど...

18 残っている大きな問題辛みを解消する各サービスをどのように設計・実装すれば良い？

19 解決策の1つ

20 「マルチアカウント戦略」がよくわかるブログ参考リンク：https://dev.classmethod.jp/articles/why-aws-multi-accounts/

21 2. AWS Control Towerとは？

22 AWS Control Towerとは？事前の学習コストなしで、ベストプラクティスに基づくマルチアカウント環境を数クリック・短時間で構築できるマネージドサービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける！

23 Control Towerが構築するAWS環境（構成図）参考リンク：https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html

24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory

25 ガードレール？

26 ガードレール・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できないように制限(=予防)できるガードレール
・発見的ガードレール - Config Rulesで実装 - 望ましくない操作を実施した場合に検知(=発見)できるガードレール → Control Tower独自のセキュリティ基準に基づいた　　リソースの集まり（プリセット）が簡単に利用できる

27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard（ hooks）で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ
ングを抑止できるガードレール - 参考ブログ： - [アップデート]非準拠リソースのプロビジョニングを抑止できる！AWS Control Towerでプロアクティブなガードレールが利用可能になりました #reinvent 🌟re:Invent 2022アップデート

28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control
Towerカスタマイズソリューション（CfCT） - Account Factory For Terraform（AFT） - Account Factory Customization（AFC）

29 Account Factoryのカスタマイズ（CfCT）・Control Towerカスタマイズソリューション（CfCT） - アカウント発行時やCodeCommitかS3のソース更新時にCloudFormationスタックおよびSCPを展開できるようにする仕組み参考リンク：https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

30 Account Factoryのカスタマイズ（AFT）・Account Factory For Terraform（AFT） - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)
で実行できるようになる仕組み参考リンク：https://dev.classmethod.jp/articles/ct-account-factory-for-terraform/

31 Account Factoryのカスタマイズ（AFC）・Account Factory Customization（AFC） - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい
- デプロイ状況がControl Towerコンソールから確認可能 - テンプレートの選択がAccount Factoryのコンソールから可能 - 参考ブログ - [アップデート]アカウントファクトリーからアカウントをカスタマイズできる Account Factory Customization (AFC) が追加されました #reInvent 🌟re:Invent 2022アップデート

32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -
Active Directory、Okta、OneLoginなど、オンプレミス環境で利用しているIDaaSとの連携 - OU設計や追加のガードレールの設定 - Control TowerはベースのOUしか作成しない - リージョン制限など追加すべきガードレールがある

33 その他、追加でやるべきこと（参考ブログ）参考リンク：https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/

34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティス - Control Towerによって運用のスタートラインに短時間で到達できる -
Control Towerは最低限の設定であり追加の設定は必須

20230215_JAWS-UG_asakai_ControlTower

20230215_JAWS-UG_asakai_ControlTower

h-ashisan

More Decks by h-ashisan

Other Decks in Technology

Featured

Transcript

AWSのマルチアカウント戦略と  AWS Control Tower  クラスメソッド株式会社芦沢広昭（あしさん）  1

2 芦沢広昭 (あしざわひろあき) /@ashi_ssan • 所属：クラスメソッド株式会社 • 在住：東京 • 業務：AWS設計構築・コンサルティング

3 話すこと - AWSマルチアカウント戦略の導入 - AWS Organizationsの機能 - AWS Control

4 話さないこと - マルチアカウント戦略の詳細 - OrganizationsやControl Towerの具体的な設定手順

5 アジェンダ 1. AWSのマルチアカウント戦略について 2. AWS Control Towerについて 3. まとめ

6 1. AWSのマルチアカウント戦略について

7 AWS環境の『分離』どうやっていますか？

8 大きく分けると... シングルアカウント vs マルチアカウント

9 結局どっちがいいの？

10 結論 From AWS 参考リンク：https://pages.awscloud.com/rs/112-TZM-766/images/20220428_17th_ISV_DiveDeepSeminar_Control_Tower.pdf

11 なぜそう言い切れるの？ - シングルアカウントでの運用はとても辛い - 利用費の請求を明確に分離できない - 本番・開発などの環境毎の権限分離が難しい - サービス上限（クオータ）を環境毎に分離できない

12 マルチアカウント運用、開始シングルアカウントの辛みは解消！！！！完全解決！！！

13 しかし、運用していくにつれて... あれ、結局辛くないか？？？

14 マルチアカウント運用の辛みの例 - アカウント単位で請求書が別れてしまう - 請求の問題 - 特定のグループ毎のアクセス制御が難しい - アクセス制御の問題

16 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -

17 Organizationsが解決できる『辛み』 - 請求 - AWS Budgets設定で請求情報を管理アカウントに集約 - アクセス制御 -

18 残っている大きな問題辛みを解消する各サービスをどのように設計・実装すれば良い？

19 解決策の1つ

20 「マルチアカウント戦略」がよくわかるブログ参考リンク：https://dev.classmethod.jp/articles/why-aws-multi-accounts/

21 2. AWS Control Towerとは？

22 AWS Control Towerとは？事前の学習コストなしで、ベストプラクティスに基づくマルチアカウント環境を数クリック・短時間で構築できるマネージドサービス →マルチアカウント運用のスタートラインへ迅速にたどり着ける！

23 Control Towerが構築するAWS環境（構成図）参考リンク：https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html

24 Control Towerの特徴的な機能 2選 - ガードレール - Account Factory

25 ガードレール？

26 ガードレール・予防的ガードレール - Organizations SCPで実装 - 特定の操作を実施できないように制限(=予防)できるガードレール

27 直近のガードレールのアップデート - プロアクティブなガードレール - CloudFormation Guard（ hooks）で実装 - CFnを実行した際に望ましくない設定だった場合、プロビジョニ

28 Account Factory - 新規アカウントの作成およびベースライン設定を自動で展開できるテンプレート機能 - AWSマネージドな機能だが、カスタマイズも可能 - Control

30 Account Factoryのカスタマイズ（AFT）・Account Factory For Terraform（AFT） - Account FactoryによるAWSアカウント発行がTerraformのコードベース(IaC)

31 Account Factoryのカスタマイズ（AFC）・Account Factory Customization（AFC） - CfCTやAFTと基本的な機能は同様 - 以下、他のカスタマイズと比べ直感的に利用しやすい

32 その他、追加でやるべきこと - 追加のセキュリティ管理 - Security Hub、GuardDuty、Detectiveなど - オンプレミスのID管理とSSOの連携 -

33 その他、追加でやるべきこと（参考ブログ）参考リンク：https://dev.classmethod.jp/articles/aws-control-tower-allin-2021/

34 まとめ - AWSはマルチアカウントアーキテクチャがベストプラクティス - Control Towerによって運用のスタートラインに短時間で到達できる -

35