Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
個人検証アカウントでも最低限設定したいプラクティス
Search
t.kizawa
January 30, 2024
Technology
3
1.7k
個人検証アカウントでも最低限設定したいプラクティス
2024/1/30開催
JAWS-UG 東京支部「AWS個人検証アカウントどう運用してる? ランチ共有会」
t.kizawa
January 30, 2024
Tweet
Share
More Decks by t.kizawa
See All by t.kizawa
Introduction of use cases using IoT buttons in Japan
kizawa2020
1
250
IoTボタン開発のススメ
kizawa2020
0
130
re:Inventで発表があったIoT事例の紹介と考察
kizawa2020
0
360
SORACOM User Groupのご紹介
kizawa2020
0
1.6k
SORACOM にて提供されている主なIoTデバイスのご紹介
kizawa2020
0
310
IoTボタン開発のススメ
kizawa2020
0
24
IoTボタンで働き方改革 !(SORACOM Buttonで会議脱出ボタンをつくる)
kizawa2020
1
530
Google HomeとSORACOMサービスで遊んでみた(SORACOM UG #10 LT)
kizawa2020
0
280
Other Decks in Technology
See All in Technology
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
190
大幅アップデートされたRagas v0.2をキャッチアップ
os1ma
2
540
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
270
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
300
非機能品質を作り込むための実践アーキテクチャ
knih
5
1.4k
Turing × atmaCup #18 - 1st Place Solution
hakubishin3
0
480
1等無人航空機操縦士一発試験 合格までの道のり ドローンミートアップ@大阪 2024/12/18
excdinc
0
160
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.3k
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
170
OpenAIの蒸留機能(Model Distillation)を使用して運用中のLLMのコストを削減する取り組み
pharma_x_tech
4
560
社外コミュニティで学び社内に活かす共に学ぶプロジェクトの実践/backlogworld2024
nishiuma
0
260
10個のフィルタをAXI4-Streamでつなげてみた
marsee101
0
170
Featured
See All Featured
Measuring & Analyzing Core Web Vitals
bluesmoon
4
170
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
66k
VelocityConf: Rendering Performance Case Studies
addyosmani
326
24k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Optimizing for Happiness
mojombo
376
70k
How STYLIGHT went responsive
nonsquared
95
5.2k
Optimising Largest Contentful Paint
csswizardry
33
3k
BBQ
matthewcrist
85
9.4k
Designing for Performance
lara
604
68k
Transcript
個人検証アカウントでも最低限設定したいプラクティス ~私の環境のご紹介~ 2024年1月30日 Tomotaka Kizawa ( kizawa2020 ) JAWS-UG東京 【
AWS個人検証アカウントどう運用してる? ランチ共有会 】
▪ 名前 : 木澤 朋隆 (きざわ ともたか) 所属 : とあるSIer
担当業務: ① AWSアーキテクト ② マーケティング施策の企画・運営・登壇 ③ 社内エンジニアへの支援活動(情報提供など) 第4740号 NEW! 自己紹介
▪ 話のいきさつ Page.3 個人検証環境の運用に関するイベント立てたよ! こんな設定してますけど、需要ありますか? ぜひ! 個人の検証アカウントでも行った方が良い設定例として、 私の個人アカウントでの設定内容について紹介します。
▪ 私の個人アカウントの利用用途 Page.4 本番用途 検証用途 • 個人ブログサイト環境 (Amazon CloudFront /
AWS WAF / Amazon EC2 ) • オンプレミスのNAS (Synology) のバックアップ (Amazon S3 Glacier Instant Retrieval) • AWSブログを巡回して、アップデートを通知するスクリプト (AWS Lambda / Amazon Translate / Amazon SNS等 ) • ハンズオン参加時や、ブログ記事執筆向けの検証環境 • 「会議脱出ボタン」 デモ環境 (AWS Lambda / Amazon Connect )
▪ 従来の構成/運用の課題 Page.5 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント us-west-2 (オレゴンリージョン)
本番環境 検証環境 便宜的にリージョンで本番/検証環境を分け運用 東京リージョン : 本番環境 オレゴンリージョン : 検証環境 本運用にて若干の問題が発生 IAM設定が混ざる 一部、リージョン指定があるハンズオンコンテンツの利用 本番環境への影響の懸念のため思い切った検証ができず 構成を見直し、改善を実施
▪ 主な実装内容 Page.6 ① 本番/検証環境のアカウント分離 ② セキュリティ運用の実施 • “おひとりさま AWS
Organizations” の立ち上げ • 検証環境のアカウント分離 • 不要リージョン利用の抑止 • AWS IAM Identity CenterによるSSO環境の構築 AWS Organizations AWS IAM Identity Center • AWS CloudTrailによる証跡保存 • Amazon GuardDutyによる脅威検出 • AWS Configによる設定変更履歴の記録と評価 • AWS Security Hubによる統合管理 • ログイン通知の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS Security Hub
Page.7 ① アカウント分離 AWS Organizations AWS IAM Identity Center
▪ おひとり様 AWS Orgnizationsの立ち上げ Page.8 AWS Cloud ap-northeast-1 (東京リージョン) AWSアカウント
us-west-2 (オレゴンリージョン) 本番環境 検証環境 AWS Cloud AWSアカウント(本番) 本番環境 検証環境 AWSアカウント(検証) AWS Organizations AWS Organizationsを利用したアカウント分離の主なメリット 設定や課金が混ざらない アカウント内がゴチャゴチャになった際は、いつでもアカウント廃止できる 課金は統合されており一括請求 新規アカウント向け無料枠 (12ヶ月間)
▪ 個人検証でのアカウント構成のベストプラクティス Page.9 管理アカウントにはSCP(サービスコントロールポリシー)が適用できず、統制が掛けられない。 (SCPの例 : 不要なリージョンの利用を制限) 管理アカウントはAWS Organizationsや管理サービスに限定すべき。 AWS
Control Towerを利用し、AWSが推奨するベストプラクティスのアカウント構成を適用しても良い (が、個人検証アカウントではオーバースペック?) AWS Organizations 私のアカウント 本来こうあるべき AWS Organizations 本番環境 検証環境 管理アカウント 本番環境アカウント 本番環境 検証環境 検証検証アカウント 管理アカウント(兼 本番環境) 検証環境アカウント
▪ AWS IAM Identity CenterによるSSO Page.10 IAM Identity Centerのメリット 複数AWSアカウントへのSSO
SAML 2.0対応 外部サービスとのSSO統合もできる MFAデバイスとしてOSの生体認証デバイスが使える (Windows Hello / Mac TouchID等) 設定手順(ご参考) AWS Organizations導入後は、合わせてIAM Identity Centerも導入しましょう!! ※ 最近はIAM Identity Center前提のAWSサービスも多い。 AWS Managed Service for Grafana / AWS Supply Chain / Amazon Monitron等
Page.11 ② セキュリティ運用の実施 AWS CloudTrail Amazon GuardDuty AWS Config AWS
Security Hub
▪ AWSアカウントで対応したいセキュリティ設定 Page.12 AWS CloudTrail AWSアカウントの操作ログを記録し継続的に監視 証跡の保存 (AWS Organization全体/マルチリージョン対応) AWS
Config AWSリソースの設定変更履歴の記録と評価 Amazon GuardDuty AWSアカウントやワークロードの保護、脅威検知 AWS Security Hub セキュリティアラートの一元的な表示および管理、チェックの自動化 有効化 (利用するリージョンごとに設定。Config RulesはAWS Security Hub統合で導入される) 脅威検出の有効化 (利用するリージョンごとに設定) セキュリティ標準に則った適合の確認。通知設定
▪ 構成 Page.13 AWS Cloud AWSアカウント(管理/本番) 本番環境 検証環境 AWSアカウント(検証) AWS
Organizations リージョン①(集約リージョン) リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty リージョン① リージョン② AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub AWS CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 検出結果の 集約 AWS Organizations内全アカウント/全(利用)リージョン内の、Amazon GuardDuty/AWS Configの検出結果を 管理アカウント(もしくは委任アカウント)のSecurity Hubにて統合管理する。 ご参考:クラスメソッド臼田さんのブログ https://dev.classmethod.jp/articles/security-hub-cross-region-compliance-aggregation/
▪ 各サービスの設定方法 (AWS CloudTrail / AWS Config / Amazon GuardDuty)
Page.14 AWSハンズオン資料(Hands-on for Beginners)の、 「アカウント作成後すぐやるセキュリティ対策」 がわかりやすく、神動画だと思っているので こちらをオススメします。
▪ AWS Security Hubの運用 Page.15 検出結果の一元管理、可視化ができる セキュリティ標準は一旦 「AWS基礎セキュリティのベストプラクティス」 のみ設定。 必要に応じてCISベンチマークなども有効にできる。(コストに影響するはず…)
▪ 気になるコスト Page.16 デフォルト設定では、大きく気になる料金ではないかなと思います。
▪ 参考) AWSマネジメントドコンソールへの ログイン時やIAM操作時にメール通知する Page.17 AWSコンソールサインイン時や、IAM操作時にメール通知する仕組みについて解説している記事 を参考に、ログイン時にメール通知を行う設定を行いました。 皆様もご活用ください。 (CloudFormationテンプレートつき)
Page.18 まとめ/その他
▪ 最後に、AWS Budgetsは有効にしましょう! Page.19
▪ ▪ Page.20 ありがとうございました。 正しい設定を行って、快適な AWS検証ライフをお過ごしください!