Upgrade to Pro — share decks privately, control downloads, hide ads and more …

実践: マルチアカウント環境構築

Avatar for Kubo Kubo
May 12, 2025
Technology
310
2

実践: マルチアカウント環境構築

Avatar for Kubo

Kubo

May 12, 2025

More Decks by Kubo

See All by Kubo
Kiro WebとClaude CodeでReactアプリをさくっとデプロイ!
Avatar for Kubo kubomasataka
0
140
コーディングAIエージェントの歴史と関連技術
Avatar for Kubo kubomasataka
1
190
AWS Devops Agent ~ 自動調査とSlack統合をやってみた! ~
Avatar for Kubo kubomasataka
3
1.8k
AWS re:Invent 2025~初参加の成果と学び~
Avatar for Kubo kubomasataka
1
320
AWS re:Invent 2025~成果&アクションアイテム~
Avatar for Kubo kubomasataka
0
230
【入門】AWS Amplify (× Next.js)~AWS上に静的Webサイトを移行する案件を発見!~
Avatar for Kubo kubomasataka
0
160
(続) VPC Lattice vs VPC Endpoint ~Latticeサービスネットワークを使い倒すための序章~
Avatar for Kubo kubomasataka
1
200
VPC Lattice vs VPC Endpoint ~異なる VPC のプライベートリソースにアクセスには?~
Avatar for Kubo kubomasataka
1
190
フロントエンド克服へ~ 生成AIによる伴走で活躍の幅を広げる ~ 2
Avatar for Kubo kubomasataka
0
140

Other Decks in Technology

See All in Technology
失敗を経て、Harness Engineering で 大切にしたいことを考える / Learning from Failure: What Matters in Harness Engineering
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
PRO
1
340
How Timee Delivers Day 1 Production Ready LLM Features
Avatar for tomoyks tomoyks
0
170
社内 AI エージェント Synapse と セマンティックレイヤーの育て方
Avatar for Hiroaki Sano hiroakis
2
1.8k
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
白金鉱業Meetup_Vol.24_「AIエージェントは分けるほど良い」は本当か? / Is it true that “the more you divide AI agents, the better”?
Avatar for BrainPad brainpadpr
1
340
爆速でマルチプロダクトを立ち上げる時 事業・CTO目線で大事にしたい事
Avatar for Koji Miyata miyatakoji
0
110
ルールやカスタム機能、どう活かす?ハンズオンで体感するIBM Bobの出力コントロール
Avatar for mu (Mizuho Uehara) muehara
1
140
2026TECHFRESH畢業分享會 - Lightning Talk - 資料也要 CI/CD? 用 Airbyte 自動化資料同步
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
900
RAG を使わないという選択肢
Avatar for tatsutaka tatsutaka
1
210
データサイエンスを価値につなげるプロジェクト設計 〜 DS一年目が現場で得た気づき 〜
Avatar for Yusei Doi ysd113
1
210
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
Avatar for サイバーセキュリティクラウド cscengineer
PRO
2
110
Chainlitで作るお手軽チャットUI
Avatar for tomo ynt0485
0
220

Featured

See All Featured
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.7k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
Avatar for Christian Goodrich cargoodrich
3
730
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
56k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.7k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.4k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
41
2.6k
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
140
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
250
1.3M
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
220k
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
4k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.6k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
Avatar for Dan Newman danielanewman
231
23k

Transcript

  1. 実践:マルチアカウント環境構築

  2. • 氏名:久保 征敬    (クボ マサタカ) • 今年度の目標: ◦ LT登壇 12回

    ◦ テックブログ執筆 12本 ◦ ハーフマラソン自己ベスト更新(1h29m00s) ◦ フルマラソン完走(北海道マラソン) 自己紹介

  3. 1番に申し込みさせていただきました • 4/25(金)深夜0:30頃、Identity CenterをポチポチしていたところGmailの新着メー ルに気づく • モブエンジニアさんの反応スピードにビビる

  4. 進捗報告 • 3/22 アミノバイタル presents 荒川ハーフマラソン ◦ 1h41m49s • 4/29

    第75回スポーツメイトラン赤羽荒川ハーフマラソン ◦ 1h39m29s • 5/24 第76回スポーツメイトラン赤羽荒川ハーフマラソン ◦ (乞うご期待!!!)

  5. 実践:マルチアカウント環境構築

  6. マルチアカウント環境構築のきっかけ • Organizations, Identity Centerを手を動かして学びたい • クロスアカウントを試す環境がほしい • AIエージェントのハッカソン at

    AWS Summit Japan 2025のチームメンバに環境を 提供したい

  7. やったこと • プライベートのAWSアカウントでControl Towerを用いてマルチアカウント環境を構 築 • AWSアカウント、ユーザ、グループ、許可セットを作成し、特に開発者に必要な権限 について、自分なりに考えた

  8. Control Tower: ランディングゾーンの設定

  9. この通りに実施

  10. Control Towerの成果物:新規2OU, 2アカウント

  11. メールアドレスは新規作成の必要なし 管理アカウント([email protected]) • サブメールアドレスを入力すればOK Gmailの場合は「+」と任意の文字列を「@」の前に付与 • [email protected][email protected]

    [email protected]

  12. Sandbox OUにアカウントを新規作成(1)

  13. Sandbox OUにアカウントを新規作成(2) →メールアドレスの検証,パスワード設定,MFA 設定 [email protected] [email protected]

  14. [email protected] [email protected] [email protected] メンバーアカウントでユーザを作成(1)

  15. メンバーアカウントでユーザを作成(2)

  16. ちなみに • アカウントと同時に作成されたIdentity Centerユーザのためadmin権限をもつ(メンバー アカウントのrootに相当する) • 「組織に新しいメンバーアカウントを作成すると、デフォルトでは、そのアカウントにルート ユーザー認証情報はありません。」 [email protected] 発表内容に一部誤情報が

    含まれているため、 後日修正しました。 修正版は次スライドです。

  17. 修正版 • Account Factoryで作成したAWSアカウントにはrootユーザが存在しないと認識してい ましたが、誤りでした。メンバーアカウントにもrootユーザは存在します。 • メンバーアカウントにrootユーザとしてログインするには、パスワードリセットを行う必要 があります(パスワードが発行されていないため)。詳しい手順は下記を参照ください。 ◦ ルートユーザーとしてサインインする場合

    • メンバーアカウントのrootユーザメールアドレス、rootユーザ名はスライド「Sandbox OU にアカウントを新規作成(2)」>「アカウントの詳細」で入力した値になります。 • 管理アカウントから各メンバーアカウントに対してroot権限が必要な操作を行うために 「Root access management」という機能があります。rootユーザの使用を禁止すること もできるようです(次のネタができた)。

  18. Identity Centerユーザに権限付与 1. Identity Center > マルチアカウント許可 > 許可セット >

    許可セットの作成 2. Identity Center > マルチアカウント許可 > {アカウント表示名} > 割り当て [email protected]

  19. ポリシーを作成(メンバーアカウント) • JSONはAWS管理ポリシー「PowerUserAccess」と同じ

  20. 許可セットの作成 メンバーアカウントのポリシー名と同じにする

  21. メンバーアカウントを確認

  22. 割り当て

  23. 権限付与完了 [email protected]

  24. 問題点:PowerUserAccessが不便 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction":

    [ "iam:*", "organizations:*", "account:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "account:GetAccountInformation", "account:GetPrimaryEmail", "account:ListRegions", "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole", "iam:ListRoles", "organizations:DescribeOrganization" ], "Resource": "*" } ] }

  25. 解決策:開発者が自身のポリシーを更新できないよう設定 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction":

    [ "organizations:*", "account:*", "controltower:*", "sso:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "account:GetAccountInformation", "account:GetPrimaryEmail", "account:ListRegions", "organizations:DescribeOrganization", "iam:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreatePolicyVersion", "Resource": "arn:aws:iam::${AccountId}:policy/CustomPowerUserAccess" } ] }

  26. Identity Centerマネージドなリソースのため削除不可 adminでも削除不可 adminでも変更不可 adminでも削除不可 ※SCPが効いているわけではない

  27. Identity Centerのサービスリンクロール 「Identity CenterはAWSServiceRoleForSSOというサービスにリンクされたロールを使用して、 IAM ロール、ポリ シー、SAML IdPなどのAWSリソースを管理するための権限を Identity Centerに付与。」

    「AWSSSOServiceRolePolicyにより、Identity Centerは、パス「/aws-reserved/sso.amazonaws.com/」、名前プレ フィックス「AWSReservedSSO_」であるロールに対して次の操作を実行できます。」

  28. マルチアカウント環境完成版 CodePipeline CodePipeline CodePipeline Git

  29. マルチアカウント環境のメリット • 使い終わった環境(アカウント)を即座に削除できるため、リソースの消し忘れを防げ る • リソースが削除できなくなった場合はアカウントごと消してしまえばいい • ハンズオン、検証の幅が増える ◦ SCP、RCP、宣言型ポリシー

    ◦ クロスアカウント

  30. 所感 • Control Tower, IAM Identity Centerは意外と簡単に構築できた(Organizationsは 今回出番なし) • Control

    TowerによってデプロイされたConfig,SNS,SCPの詳細は追えていない • ポリシーを考えているときが一番楽しかった • 許可セット,ポリシーの穴を発見して改善していきたい

  31. 参考 • AWS Control Tower 基礎編【AWS Black Belt】 • AWS

    Control Tower 機能紹介編【AWS Black Belt】 • AWS Control Tower 手順編 AWS Control Tower の有効化【AWS Black Belt】 • IAM Identity Center管理下のユーザにメンバーアカウントの操作権限を与える • アカウントの E メールアドレス • IAM アイデンティティ センターのサービスにリンクされたロールの使用 • IAM ロールを変更するときに「保護されたロールに対して操作を実行できません」と いうエラーが表示されます

  32. さいごに • Zenn https://zenn.dev/kubo_gene • X https://x.com/kubo_gene

  33. 本日もLT登壇の機会をいただき 誠にありがとうございました

  34. End