AWS Control TowerでセキュアでスケーラブルなAWS環境を作るとき 困るポイントn選1
View Slide
2自己紹介● 名前○ 芦沢広昭 / あしざわひろあき● 所属○ クラスメソッド株式会社○ AWS事業本部コンサルティング部● 普段の業務○ AWS技術支援(設計構築 / コンサルティング)
3アジェンダ● 前置き 【2〜3分】● AWS Control TowerでセキュアでスケーラブルなAWS環境を作るとき 困るポイント n選 【時間の余す限り】● まとめ
4話すこと● AWS Control Towerを設計・構築する上でこれまで出会ったハマりどころの紹介 (n連発!)○ ケースごとに簡易なアーキテクチャ図 1枚○ 回避方法や代替の実装例もフォロー
5話さないこと● AWSマルチアカウント運用に関する基礎的なこと● 各AWSサービスの詳細な説明● 具体的な実装方法
6挨拶ですみなさん、AWSのマルチアカウント運用していますか???
7AWS Control TowerAWSのベストプラクティスに基づいたセキュアでスケーラブルなマルチアカウント環境を自動でセットアップできるサービス
8AWS Control Towerで実装されるアーキテクチャ
9私のイメージ=
10強い子に育てたい→
11では、どう育てていったらいいのか?→
12マルチアカウントなAWSの育成方針はいっぱい
13ただ... こんなケースで困ってしまいがち
14主題の「困るポイント」とは複数の機能を同じ環境に設定したときに機能同士が「喧嘩」して期待した結果とならないこと
15それでは...ここから本題がスタート!
16組織のCloudTrailとメンバー側でのログ利用
17オプトインリージョンとガードレール
18Identity Centerの委任管理者とアクセス許可セット
19Identity Centerの外部IDソース指定
20リージョン拒否SCP と Org統合Security Hub
21Org統合したDetectiveとメンバーアカウント
22その他紹介できなかった困りごと● IAM Identity Centerの許可セットの管理と最小権限の原則の徹底● 検出のコントロールは Security Hub を使うべきか ControlTower 管理のセキュリティ基準を使うべきか?など...
23まとめAWSマルチアカウント環境を育てていくと想定していない問題も起きうる!うまいことやってこう!(答え) n = 6
24
hiashisan
niftycorp
sekido
masasuzu
cybozuinsideout
comucal
coconala_engineer
akiroom
masa5555
wakamatsu_takumu
murachiakira
oracle4engineer
akkie76
jensimmons
pauljervisheath
cherdarchuk
bermonpainter
geeforr
keithpitt
addyosmani
jacobian
aarron
nonsquared
danielanewman