Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実践: マルチアカウント環境構築

Avatar for Kubo Kubo
May 12, 2025
Technology
0
14

実践: マルチアカウント環境構築

Avatar for Kubo

Kubo

May 12, 2025
Tweet

More Decks by Kubo

See All by Kubo
3月のAWSアップデートを5分間でざっくりと!
Avatar for Kubo kubomasataka
0
190

Other Decks in Technology

See All in Technology
白金鉱業Meetup_Vol.18_生成AIはデータサイエンティストを代替するのか?
Avatar for BrainPad brainpadpr
4
240
AOAI で AI アプリを開発する時にまず考えたいこと
Avatar for Yuji Masaoka | まっぴぃ mappie_kochi
1
480
意思決定を支える検索体験を目指してやってきたこと
Avatar for Taisuke Hinata hinatades
PRO
0
400
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
Avatar for ののし nnstt1
1
290
ビジネスとデザインとエンジニアリングを繋ぐために 一人のエンジニアは何ができるか / What can a single engineer do to connect business, design, and engineering?
Avatar for 株式会社カミナシ kaminashi
2
890
Асинхронная коммуникация в Go: от понятного к душному. Дима Некрасов, Otello, 2ГИС
Avatar for Lamoda Tech lamodatech
0
2k
Part1 GitHubってなんだろう?その2
Avatar for tomokusaba tomokusaba
1
560
雑に疎通確認だけしたい...せや!CloudShell使ったろ!
Avatar for alchemy1115 alchemy1115
0
130
Twelve-Factor-Appから学ぶECS設計プラクティス/ECS practice for Twelve-Factor-App
Avatar for k-ozawa ozawa
3
160
Как мы автоматизировали интеграционное тестирование с Gonkey и не пожалели. Паша Егорычев, Кирилл Поляков
Avatar for Lamoda Tech lamodatech
0
2k
MySQL Indexes and Histograms – How they really speed up your queries
Avatar for lefred lefred
0
150
地味にいろいろあった! 2025春のAmazon Bedrockアップデートおさらい
Avatar for みのるん minorun365
PRO
2
570

Featured

See All Featured
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.7k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
105
19k
Gamification - CAS2011
Avatar for David Bonilla davidbonilla
81
5.3k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
54
5.5k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
91
6k
How to Think Like a Performance Engineer
Avatar for Harry Roberts csswizardry
23
1.6k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
133
9.3k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
30
2.3k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
49k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
780

Transcript

  1. 実践:マルチアカウント環境構築

  2. • 氏名:久保 征敬    (クボ マサタカ) • 今年度の目標: ◦ LT登壇 12回

    ◦ テックブログ執筆 12本 ◦ ハーフマラソン自己ベスト更新(1h29m00s) ◦ フルマラソン完走(北海道マラソン) 自己紹介

  3. 1番に申し込みさせていただきました • 4/25(金)深夜0:30頃、Identity CenterをポチポチしていたところGmailの新着メー ルに気づく • モブエンジニアさんの反応スピードにビビる

  4. 進捗報告 • 3/22 アミノバイタル presents 荒川ハーフマラソン ◦ 1h41m49s • 4/29

    第75回スポーツメイトラン赤羽荒川ハーフマラソン ◦ 1h39m29s • 5/24 第76回スポーツメイトラン赤羽荒川ハーフマラソン ◦ (乞うご期待!!!)

  5. 実践:マルチアカウント環境構築

  6. マルチアカウント環境構築のきっかけ • Organizations, Identity Centerを手を動かして学びたい • クロスアカウントを試す環境がほしい • AIエージェントのハッカソン at

    AWS Summit Japan 2025のチームメンバに環境を 提供したい

  7. やったこと • プライベートのAWSアカウントでControl Towerを用いてマルチアカウント環境を構 築 • AWSアカウント、ユーザ、グループ、許可セットを作成し、特に開発者に必要な権限 について、自分なりに考えた

  8. Control Tower: ランディングゾーンの設定

  9. この通りに実施

  10. Control Towerの成果物:新規2OU, 2アカウント

  11. メールアドレスは新規作成の必要なし 管理アカウント([email protected]) • サブメールアドレスを入力すればOK Gmailの場合は「+」と任意の文字列を「@」の前に付与 • [email protected][email protected]

    [email protected]

  12. Sandbox OUにアカウントを新規作成(1)

  13. Sandbox OUにアカウントを新規作成(2) →メールアドレスの検証,パスワード設定,MFA 設定 [email protected] [email protected]

  14. [email protected] [email protected] [email protected] メンバーアカウントでユーザを作成(1)

  15. メンバーアカウントでユーザを作成(2)

  16. ちなみに • アカウントと同時に作成されたIdentity Centerユーザのためadmin権限をもつ(メンバー アカウントのrootに相当する) • 「組織に新しいメンバーアカウントを作成すると、デフォルトでは、そのアカウントにルート ユーザー認証情報はありません。」 [email protected] 発表内容に一部誤情報が

    含まれているため、 後日修正しました。 修正版は次スライドです。

  17. 修正版 • Account Factoryで作成したAWSアカウントにはrootユーザが存在しないと認識してい ましたが、誤りでした。メンバーアカウントにもrootユーザは存在します。 • メンバーアカウントにrootユーザとしてログインするには、パスワードリセットを行う必要 があります(パスワードが発行されていないため)。詳しい手順は下記を参照ください。 ◦ ルートユーザーとしてサインインする場合

    • メンバーアカウントのrootユーザメールアドレス、rootユーザ名はスライド「Sandbox OU にアカウントを新規作成(2)」>「アカウントの詳細」で入力した値になります。 • 管理アカウントから各メンバーアカウントに対してroot権限が必要な操作を行うために 「Root access management」という機能があります。rootユーザの使用を禁止すること もできるようです(次のネタができた)。

  18. Identity Centerユーザに権限付与 1. Identity Center > マルチアカウント許可 > 許可セット >

    許可セットの作成 2. Identity Center > マルチアカウント許可 > {アカウント表示名} > 割り当て [email protected]

  19. ポリシーを作成(メンバーアカウント) • JSONはAWS管理ポリシー「PowerUserAccess」と同じ

  20. 許可セットの作成 メンバーアカウントのポリシー名と同じにする

  21. メンバーアカウントを確認

  22. 割り当て

  23. 権限付与完了 [email protected]

  24. 問題点:PowerUserAccessが不便 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction":

    [ "iam:*", "organizations:*", "account:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "account:GetAccountInformation", "account:GetPrimaryEmail", "account:ListRegions", "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole", "iam:ListRoles", "organizations:DescribeOrganization" ], "Resource": "*" } ] }

  25. 解決策:開発者が自身のポリシーを更新できないよう設定 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction":

    [ "organizations:*", "account:*", "controltower:*", "sso:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "account:GetAccountInformation", "account:GetPrimaryEmail", "account:ListRegions", "organizations:DescribeOrganization", "iam:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreatePolicyVersion", "Resource": "arn:aws:iam::${AccountId}:policy/CustomPowerUserAccess" } ] }

  26. Identity Centerマネージドなリソースのため削除不可 adminでも削除不可 adminでも変更不可 adminでも削除不可 ※SCPが効いているわけではない

  27. Identity Centerのサービスリンクロール 「Identity CenterはAWSServiceRoleForSSOというサービスにリンクされたロールを使用して、 IAM ロール、ポリ シー、SAML IdPなどのAWSリソースを管理するための権限を Identity Centerに付与。」

    「AWSSSOServiceRolePolicyにより、Identity Centerは、パス「/aws-reserved/sso.amazonaws.com/」、名前プレ フィックス「AWSReservedSSO_」であるロールに対して次の操作を実行できます。」

  28. マルチアカウント環境完成版 CodePipeline CodePipeline CodePipeline Git

  29. マルチアカウント環境のメリット • 使い終わった環境(アカウント)を即座に削除できるため、リソースの消し忘れを防げ る • リソースが削除できなくなった場合はアカウントごと消してしまえばいい • ハンズオン、検証の幅が増える ◦ SCP、RCP、宣言型ポリシー

    ◦ クロスアカウント

  30. 所感 • Control Tower, IAM Identity Centerは意外と簡単に構築できた(Organizationsは 今回出番なし) • Control

    TowerによってデプロイされたConfig,SNS,SCPの詳細は追えていない • ポリシーを考えているときが一番楽しかった • 許可セット,ポリシーの穴を発見して改善していきたい

  31. 参考 • AWS Control Tower 基礎編【AWS Black Belt】 • AWS

    Control Tower 機能紹介編【AWS Black Belt】 • AWS Control Tower 手順編 AWS Control Tower の有効化【AWS Black Belt】 • IAM Identity Center管理下のユーザにメンバーアカウントの操作権限を与える • アカウントの E メールアドレス • IAM アイデンティティ センターのサービスにリンクされたロールの使用 • IAM ロールを変更するときに「保護されたロールに対して操作を実行できません」と いうエラーが表示されます

  32. さいごに • Zenn https://zenn.dev/kubo_gene • X https://x.com/kubo_gene

  33. 本日もLT登壇の機会をいただき 誠にありがとうございました

  34. End