Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSマルチアカウント管理 / ODC2021 Online

AWSマルチアカウント管理 / ODC2021 Online

Open Developers Conference 2021 Online
https://event.ospn.jp/odc2021-online/

生産性向上チームって何をしてるの?〜社内の開発生産性を上げる組織横断の取り組み〜
2021.08.28 15:00-15:45
https://event.ospn.jp/odc2021-online/session/376878

Hideki Igarashi

August 24, 2021
Tweet

More Decks by Hideki Igarashi

Other Decks in Technology

Transcript

  1. 認証⽤AWSアカウントを設ける 10 Azure AD 認証⽤アカウント SSO⽤ロール ログイン SSO Azure ADで認証⽤アカウントに

    SSOできるよう設定 認証⽤アカウント上のリソース操作は 何もできないようにポリシーを定義
  2. 認証⽤アカウントを経由して切り替え 11 Azure AD 認証⽤アカウント SSO⽤ロール Account A AdministratorRole Account

    B AdministratorRole DeveloperRole Switch Roleを使って各AWSアカウ ント上のロールに切り替える
  3. アカウント切替時の権限設定のしくみ 12 Azure AD 認証⽤アカウント SSO⽤ロール Account B AdministratorRole Account

    A AdministratorRole DeveloperRole 誰がどのアカウントのロールに 切り替えてよいかを管理 CircleCI Server レコード取得 定期的にポリシーを更新
  4. CLIでもシングルサインオンするには? 13 Azure ADの ログインフォーム SAMLレスポンス AWS Management Console Azure

    ADの認証を通過するにはWeb のログインフォームの操作が必要 AWS API (sts:AssumeRoleWithSAML) クレデンシャル このクレデンシャルがあれば認証⽤ AWSアカウントにAPIアクセスが可能 通常はこちらにリダイレクトされる
  5. SSO後は公式のしくみでアカウント切替 クレデンシャルを取得してしまえばAWS CLIのIAMロール切り替えの しくみを使って⽬的のAWSアカウントのロールに切り替えればよい https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-con fi gure-role.html 15 [profile account-a]

    role_arn = arn:aws:iam:1234567890:role/ExampleRole source_profile = default ~/.aws/con fi g AWS_PROFILE環境変数にプロファイル名を設定しておくことで 
 ⾃動的にrole_arnに設定したロールに切り替えることができる (AWS SDKの場合はAWS_SDK_LOAD_CONFIG=trueも設定しておく)
  6. 17 • しくみ作りだけでなくもちろんドキュメント整備も • kintoneアプリでAWSアカウント作成申請のフローを作成 • AWSアカウントの作成単位を整理 • グルーピング(Organization Unit)をして管理

    • 作成申請が来たら定形作業ですぐに対応できるように • ルートユーザーの初期設定時に物理セキュリティキーの設定なども しているため完全⾃動化は難しい 運⽤が回るように