Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
h-ashisan
September 30, 2023
Technology
1.7k
0
Share
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
More Decks by h-ashisan
See All by h-ashisan
regrowth_tokyo_2025_securityagent
hiashisan
0
560
Tokyo_reInforce_2025_recap_iam_access_analyzer
hiashisan
0
390
OpsJAWS34_CloudTrailLake_for_Organizations
hiashisan
0
820
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.6k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
780
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
730
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
820
20240724_cm_odyssey_hibiyatech
hiashisan
0
550
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
1.4k
Other Decks in Technology
See All in Technology
こんなアーキテクチャ図はいやだ / Anti-pattern in AWS Architecture Diagrams
naospon
1
450
All About Sansan – for New Global Engineers
sansan33
PRO
1
1.4k
ハーネスエンジニアリングの概要と設計思想
sergicalsix
9
5k
Pure Intonation on Browser: Building a Sequencer with Ruby
nagachika
0
120
Shipping AI Agents — Lessons from Production
vvatanabe
0
230
[OpsJAWS 40]リリースしたら終わり、じゃなかった。セキュリティ空白期間をAWS Security Agentで埋める
sh_fk2
3
240
目的ファーストのハーネス設計 ~ハーネスの変更容易性を高めるための優先順位~
gotalab555
8
2.2k
Good Enough Types: Heuristic Type Inference for Ruby
riseshia
1
220
MLOps導入のための組織作りの第一歩
akasan
0
330
EBS暗号化に失敗してEC2が動かなくなった話
hamaguchimmm
2
200
マルチプロダクトの信頼性を効率良く保っていくために
kworkdev
PRO
0
160
AI時代における技術的負債への取り組み
codenote
1
1.5k
Featured
See All Featured
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
kimpetersen
PRO
0
310
AI: The stuff that nobody shows you
jnunemaker
PRO
6
570
Abbi's Birthday
coloredviolet
2
7.1k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
128
55k
How to build an LLM SEO readiness audit: a practical framework
nmsamuel
1
710
Six Lessons from altMBA
skipperchong
29
4.2k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
220
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
170
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
2
1.5k
Visualization
eitanlees
150
17k
The Spectacular Lies of Maps
axbom
PRO
1
700
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
210
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24
hiashisan
naospon
sansan33
sergicalsix
nagachika
vvatanabe
sh_fk2
gotalab555
riseshia
akasan
hamaguchimmm
kworkdev
codenote
kimpetersen
jnunemaker
coloredviolet
aki_iinuma
nmsamuel
skipperchong
427marketing
.png){kind=avatar}
helenjbeal
aleyda
eitanlees
axbom
samtorres
