Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
h-ashisan
September 30, 2023
Technology
0
1.2k
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた
hiashisan
0
470
まるクラ勉強会#2_CloudTrail管理戦略
hiashisan
2
370
AIOpsを活用してAWS監視を体験してみた 〜EC2も監視できるよ〜
hiashisan
1
1k
JAWS-UG_YOKOHAMA_20231204
hiashisan
0
790
20231025_HibiyaTech#1_SecurityLake
hiashisan
0
530
20231007_JAWS-FESTA-2023-Kyushu_omatsuri_ashisan
hiashisan
0
640
20230829_ccoe_seminar_session_3
hiashisan
0
780
20230825_SecurityLake_freshmen_LT
hiashisan
0
740
dayone-Classmethodcloudguideline-20230411
hiashisan
0
850
Other Decks in Technology
See All in Technology
フロントエンドの Monorepo をやめてリポジトリ分割したワケ / Why did we stop using Monorepo on the frontend and split the repository?
kaminashi
6
2.8k
MySQLのリリースモデルの変更点と最新アップデート / MySQLNewReleaseModel
yoshiakiyamasaki
2
280
スクラムチームの品質戦略 1年の歩み
hacomono
PRO
1
130
みんなで盛り上げ築くリレーション、日経の新卒エンジニア研修 #chiyoda_tech
nishiuma
1
150
2024年のRailsと自由について考える
takahashim
2
740
全社的な生成AI活用プラットフォームとしての Difyの導入事例紹介
tokita_kakaku
9
6.3k
アプリケーションが 正しく動作するということ - 自動テスト編 / Automated Testing
soudai
10
1.6k
まずはパネル「Table」を使い倒してみよう@GrafanaMeetupJapan#2
rinchoku
1
130
Recap: Kotlin Language Features in 2.0 and Beyond (Michail Zarečenskij)
dalinaum
0
160
納得できるテストをつくるアプローチ
mizunori
0
120
私たちはなぜ事業責任者にならないといけないのか ~Webサービスを作る茨の道~
gimupop
7
2.5k
OpenTelemetry Meetup 2024-06 - ABEMA と分散トレーシングのあゆみ
tetsuya28
1
260
Featured
See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
143
43k
A Philosophy of Restraint
colly
198
16k
GraphQLの誤解/rethinking-graphql
sonatard
58
9.5k
Happy Clients
brianwarren
93
6.5k
Fontdeck: Realign not Redesign
paulrobertlloyd
77
5k
How GitHub Uses GitHub to Build GitHub
holman
471
290k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Principles of Awesome APIs and How to Build Them.
keavy
122
16k
The Cost Of JavaScript in 2023
addyosmani
25
4.1k
Visualization
eitanlees
137
14k
Fantastic passwords and where to find them - at NoRuKo
philnash
40
2.6k
The Pragmatic Product Professional
lauravandoore
28
6k
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24