20230930_JAWS-FESTA_REJECT-CON_ControlTower

Transcript

1. AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1

2. 2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属

   ◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)

3. 3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき

   困るポイント n選 【時間の余す限り】 • まとめ

4. 4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発！) ◦ ケースごとに簡易なアーキテクチャ図

   1枚 ◦ 回避方法や代替の実装例もフォロー

5. 5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法

6. 6 挨拶です みなさん、AWSのマルチアカウント運用 していますか？？？

7. 7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス

8. 8 AWS Control Towerで実装されるアーキテクチャ

9. 9 私のイメージ ＝

10. 10 強い子に育てたい →

11. 11 では、どう育てていったらいいのか？ →

12. 12 マルチアカウントなAWSの育成方針はいっぱい

13. 13 ただ... こんなケースで困ってしまいがち

14. 14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと

15. 15 それでは... ここから本題がスタート！

16. 16 組織のCloudTrailとメンバー側でのログ利用

17. 17 オプトインリージョンとガードレール

18. 18 Identity Centerの委任管理者とアクセス許可セット

19. 19 Identity Centerの外部IDソース指定

20. 20 リージョン拒否SCP と Org統合Security Hub

21. 21 Org統合したDetectiveとメンバーアカウント

22. 22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security

    Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか？ など...

23. 23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる！ うまいことやってこう！ (答え) n = 6

24. 24