Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Reintroduction to AWS Multiple Account Management
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
midnight480
January 24, 2025
Technology
370
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Reintroduction to AWS Multiple Account Management
01/25/2024
https://jawsug-kumamoto.connpass.com/event/337992/
midnight480
January 24, 2025
More Decks by midnight480
See All by midnight480
20260228_JAWS-UG_SaGA_Kiro-CLI
midnight480
0
120
Intro SAGA Event Space
midnight480
0
300
JAWS-UG Saga for Beginners
midnight480
0
64
SAGA IT Community Day 2026 Winter 2025.12.20
midnight480
0
460
Kiroで実現する “Spec Driven Development”
midnight480
0
230
Kiro CLI 〜無料でここまでできる!〜
midnight480
0
270
AWS Summit Japan 2025 個人的参加レポート
midnight480
0
420
Amazon Q Developer for CLI の紹介
midnight480
0
440
Postman Flows ✖️ Backlog API で可能性を探る
midnight480
0
420
Other Decks in Technology
See All in Technology
When Platform Engineering Meets GenAI
sucitw
0
180
Deep Data Security 機能解説
oracle4engineer
PRO
2
200
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
1
860
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
900
コミットの「なぜ」を読む
ota1022
0
120
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
4
780
2026-06-23 知らないままで大丈夫?開発品質・効率向上が期待できるIBM Bob便利機能6選
yutanonaka
0
100
2026-06-24_人とAIの責務分離に基づく開発プロセスの提案.pdf
takahiromatsui
0
210
組織における AI-DLC 実践
askul
0
110
From Prompt Engineering to Loop Engineering
shibuiwilliam
1
260
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
nori_shinoda
0
250
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
350
Featured
See All Featured
Evolving SEO for Evolving Search Engines
ryanjones
0
220
The agentic SEO stack - context over prompts
schlessera
0
820
Test your architecture with Archunit
thirion
1
2.3k
HDC tutorial
michielstock
2
720
The Invisible Side of Design
smashingmag
301
52k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
31
3.2k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
400
KATA
mclloyd
PRO
35
15k
How to audit for AI Accessibility on your Front & Back End
davetheseo
0
450
Un-Boring Meetings
codingconduct
0
320
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
870
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
34
2.8k
Transcript
Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 AWS複数アカウントの管理再入門 Reintroduction to
AWS Multiple Account Management
Copyright © Tetsuya Shibao #jawsugkmmt 自己紹介 大分(22年) → 東京(11年) →
福岡(2年)→ 佐賀(現 在) 柴尾 哲也(しばお てつや) Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc…
Copyright © Tetsuya Shibao #jawsugkmmt ・ AWSを複数アカウントは必要なのか ・ AWSの複数アカウントの管理 ・
実際に管理してみる ・ まとめ お話すること
Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか?
Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか? 単一 単一
派 派 複数 複数 派 派 ・複数アカウントを管理する手間やコストを抑えたい ・複数アカウントを管理する手間やコストを抑えたい ・ ・ 社員数が少なく、 社員数が少なく、ITインフラ部門も兼任で行なっているスタートアップ インフラ部門も兼任で行なっているスタートアップ ・小規模の ・小規模のWebサービスを サービスを1本だけ 本だけ ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)
Copyright © Tetsuya Shibao #jawsugkmmt AWSを複数アカウントは必要なのか (ここはあくまでも個人の意見です) ・ 企業はControl Tower導入が最優先だと考えます
・利用できるリージョン制限を施す ・請求書から逆算してリージョンにあるサービスを調査したことはありますか? ・ログアーカイブアカウントと監査アカウントが予めセットアップされる(Control Tower必須) ・CloudTrailにも操作履歴が残らない操作をされたことがありますか? ・AWS Config, Security Hubを導入することで管理対象のアカウントの統制を施す ・ 検証目的であろうとも最低限AWSアカウントは複数に分ける必要があると考えます ・ あなたは初めてAWSにサインインして、「最終ログイン ◯◯◯(365 x n) 日以上」のIAMアカウントを見たことはありますか? ・今見ているAWSアカウントの中で作業が継続しているのかどうかも分からない ・ 「このIAM Userは使っていますか?」と聞いて、「うーん、どこかで使っている気がする」と聞いたことはありますか? ・ 勉強で作ったAWSアカウントであっても可能な限り複数に分けて運用が望ましいと考えます ・クレジット(語弊がないように付け加えるとクーポン)は、支払いの管理アカウントにさえ登録すれば配下のアカウントに適用される ・勉強の過程で作成されたIAM Roleが気づかないうちに出来上がるケースがあり、管理が煩雑になる
Copyright © Tetsuya Shibao #jawsugkmmt ここからは個人で始めてみる ここからは個人で始めてみる AWS Organizations設定を交えての話となります 設定を交えての話となります
Copyright © Tetsuya Shibao #jawsugkmmt AWSの複数アカウントの管理 ・ AWS Organizations x
AWS IAM Identity Center(旧Single-Sign On)で統制を施す ・ SCPs(Service Control Policy)を使って主に制限を施す ・2024年11月にRCPs(Resource Control Policy)、12月のre:InventでDeclarative Policy:宣言的なポリシーが発表 管理アカウント ou1 ou2 メンバアカウント 1−1 メンバアカウント 2−1 メンバアカウント 1−2 users/groups
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・ IdP(ID管理基盤)は、トラストログインに限りません ・企業であればAzure Entra
ID(旧Azure AD)やGoogle Workspaceを利用している場合はそちらをIdPとすることを推奨です ・トラストログインでAWS IAM Identity Centerと連携する手順は公開されています https://support.trustlogin.com/hc/ja/articles/4407845138713 ・AWS Organizationsは、グローバルサービスです ・AWS IAM Identity Centerは、どこかの一つのRegionにインスタンス(無償)を起動する必要があるため指定が必要です ・特に問題がなければ、東京(ap-northeast-1)リージョンで大丈夫です
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・SCIM(System for Cross-domain Identity
Management)対応していないIdPの場合は初回のみユーザ情報を作成する必要がある ・Username = Email Address で作成すること(トラストログインの場合、IdPによるが大抵はEmail Addressがキーになるはず)
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・2024年11月に発表された Centrally manage root
access for member accounts ・2025年01月時点で確認できるのは、S3 バケット、SQSキュー、パスワードリセットの許可 パスワードリセットの許可 に限られる https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-enable-root-access.html
Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・AWS マネジメントコンソールも複数セッションに対応するになった(2025年1月) https://docs.aws.amazon.com/ja_jp/awsconsolehelpdocs/latest/gsg/multisession.html
Copyright © Tetsuya Shibao #jawsugkmmt まとめ ・AWSは複数アカウントで運用することを見越した構成が推奨です ・企業のセキュリティポリシーでも、本番環境と検証環境は分離を求められるケースもあるかと思います ・AWS Organizationsを使うのであれば、AWS
IAM Identity Center + 外部IdPを組み合わせて使うとアカウントの管理が煩雑にならないです ・Azure Entra IDは、オンデマンド or 40分ごとにSCIMで組み合わせて使えるのでとても楽です ・Google Workspaceは、変更検知して順次動くので若干管理の自由は効かないです ・トラストログインは、個人で利用する分にはいい体験になるかと思います ・Azure Entra IDやGoogle Workspaceと比べて設定項目がシステムで隠されているので知識がなくても設定可能です ・メンバアカウントのルートアカウントアクセスを制限できるようになったので、SCPs、RCPs、DPの組み合わせで幅が広がります ・SCPsやRCPs、Decrative Policyについては、次回の福岡(2/8)で話すつもりです
Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 Thanks for your
time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480