Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20230930_JAWS-FESTA_REJECT-CON_ControlTower
Search
h-ashisan
September 30, 2023
Technology
0
1.4k
20230930_JAWS-FESTA_REJECT-CON_ControlTower
h-ashisan
September 30, 2023
Tweet
Share
More Decks by h-ashisan
See All by h-ashisan
Classmethod_regrowth_2024_tokyo_security_identity_governance_summary
hiashisan
0
1.1k
2024/11/29_失敗談から学ぶ! エンジニア向けre:Invent攻略アンチパターン集
hiashisan
0
490
20241015 Toranomon Tech Hub#1 Service Catalog使ってみた
hiashisan
0
340
Practical-AWS-Security-measures-you-can-implement-now
hiashisan
0
470
20240724_cm_odyssey_hibiyatech
hiashisan
0
310
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
750
クラウド利用者の「責任」をどう果たす?AWSセキュリティ対策のススメ #AWSSummit
hiashisan
0
510
20240617_IAM MFAのパスキー対応を理解したい_今更多要素認証とパスキーについてキャッチアップしてみた
hiashisan
0
730
まるクラ勉強会#2_CloudTrail管理戦略
hiashisan
2
600
Other Decks in Technology
See All in Technology
多様なメトリックとシステムの健全性維持
masaaki_k
0
130
PHPerのための計算量入門/Complexity101 for PHPer
hanhan1978
6
1.4k
React Routerで実現する型安全なSPAルーティング
sansantech
PRO
2
370
いまからでも遅くないコンテナ座学
nomu
0
170
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.6k
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
760
Qiita埋め込み用スライド
naoki_0531
0
5.4k
Duckiedrone - 基於 Raspberry Pi 與 Python 的小型無人機專案介紹
piepie_tw
PRO
0
110
「完全に理解したTalk」完全に理解した
segavvy
1
240
AIエージェントに脈アリかどうかを分析させてみた
sonoda_mj
2
120
ハイテク休憩
sat
PRO
2
190
最近のSfM手法まとめ - COLMAP / GLOMAPを中心に -
kwchrk
8
1.6k
Featured
See All Featured
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Building Your Own Lightsaber
phodgson
104
6.1k
Documentation Writing (for coders)
carmenintech
67
4.5k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Product Roadmaps are Hard
iamctodd
PRO
50
11k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Optimizing for Happiness
mojombo
376
70k
Unsuck your backbone
ammeep
669
57k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.1k
For a Future-Friendly Web
brad_frost
176
9.5k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
What's in a price? How to price your products and services
michaelherold
244
12k
Transcript
AWS Control Towerでセキュアでスケーラブルな AWS環境を作るとき 困るポイントn選 1
2 自己紹介 • 名前 ◦ 芦沢広昭 / あしざわひろあき • 所属
◦ クラスメソッド株式会社 ◦ AWS事業本部コンサルティング部 • 普段の業務 ◦ AWS技術支援 (設計構築 / コンサルティング)
3 アジェンダ • 前置き 【2〜3分】 • AWS Control TowerでセキュアでスケーラブルなAWS環境 を作るとき
困るポイント n選 【時間の余す限り】 • まとめ
4 話すこと • AWS Control Towerを設計・構築する上でこれまで 出会ったハマりどころの紹介 (n連発!) ◦ ケースごとに簡易なアーキテクチャ図
1枚 ◦ 回避方法や代替の実装例もフォロー
5 話さないこと • AWSマルチアカウント運用に関する基礎的なこと • 各AWSサービスの詳細な説明 • 具体的な実装方法
6 挨拶です みなさん、AWSのマルチアカウント運用 していますか???
7 AWS Control Tower AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス
8 AWS Control Towerで実装されるアーキテクチャ
9 私のイメージ =
10 強い子に育てたい →
11 では、どう育てていったらいいのか? →
12 マルチアカウントなAWSの育成方針はいっぱい
13 ただ... こんなケースで困ってしまいがち
14 主題の「困るポイント」とは 複数の機能を同じ環境に設定したときに 機能同士が「喧嘩」して 期待した結果とならないこと
15 それでは... ここから本題がスタート!
16 組織のCloudTrailとメンバー側でのログ利用
17 オプトインリージョンとガードレール
18 Identity Centerの委任管理者とアクセス許可セット
19 Identity Centerの外部IDソース指定
20 リージョン拒否SCP と Org統合Security Hub
21 Org統合したDetectiveとメンバーアカウント
22 その他紹介できなかった困りごと • IAM Identity Centerの許可セットの管理と最小権限の 原則の徹底 • 検出のコントロールは Security
Hub を使うべきか Control Tower 管理のセキュリティ基準を使うべきか? など...
23 まとめ AWSマルチアカウント環境を育てていくと 想定していない問題も起きうる! うまいことやってこう! (答え) n = 6
24
hiashisan
masaaki_k
hanhan1978
sansantech
nomu
syoshie
shoota
naoki_0531
piepie_tw
segavvy
sonoda_mj
sat
kwchrk
geoffreycrofte
phodgson
carmenintech
philnash
iamctodd
denniskardys
mojombo
ammeep
palkan
brad_frost
bermonpainter
michaelherold
