Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Reintroduction to AWS Multiple Account Management

Avatar for midnight480 midnight480
January 24, 2025
Technology
0
59

Reintroduction to AWS Multiple Account Management

01/25/2024
https://jawsug-kumamoto.connpass.com/event/337992/
Avatar for midnight480

midnight480

January 24, 2025
Tweet

More Decks by midnight480

See All by midnight480
Control policies for AWS Organizations
Avatar for midnight480 midnight480
0
84
20240201_JAWS-UG_SAGA
Avatar for midnight480 midnight480
0
48
Try Dify self-hosted on AWS
Avatar for midnight480 midnight480
0
39
20241123_SAGA IT Community DayのLP裏側
Avatar for midnight480 midnight480
0
22
20241004_JAWSPANKRATION2024-re_Trospective-sending-swags
Avatar for midnight480 midnight480
1
73
20240626_SAGASmartCommunity_JAWS-UG佐賀紹介資料
Avatar for midnight480 midnight480
1
19
20240601_Cloudflare Accessで簡単にプライベートの資源にアクセス
Avatar for midnight480 midnight480
1
44
20240322_SAGASmartCommunity_JAWS-UG佐賀紹介資料
Avatar for midnight480 midnight480
0
44
20240607_IT/Webエンジニアの『ゾッ』とする話
Avatar for midnight480 midnight480
0
56

Other Decks in Technology

See All in Technology
MCPを理解する
Avatar for Yudai Hayashi yudai00
14
9.8k
大規模サーバーレスプロジェクトのリアルな零れ話
Avatar for mai miya maimyyym
3
150
Gateway H2 モジュールで
スマートホーム入門
Avatar for MinoruInachi minoruinachi
0
130
今日からはじめるプラットフォームエンジニアリング
Avatar for Kazuto Kusama jacopen
8
2k
DjangoCon Europe 2025 Keynote - Django for Data Science
Avatar for William S. Vincent wsvincent
0
500
Как мы автоматизировали интеграционное тестирование с Gonkey и не пожалели. Паша Егорычев, Кирилл Поляков
Avatar for Lamoda Tech lamodatech
0
2k
DynamoDB のデータを QuickSight で可視化する際につまづいたこと/stumbling-blocks-when-visualising-dynamodb-with-quicksight
Avatar for emi emiki
0
130
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
Avatar for ののし nnstt1
1
260
AOAI で AI アプリを開発する時にまず考えたいこと
Avatar for Yuji Masaoka | まっぴぃ mappie_kochi
1
450
Computer Use〜OpenAIとAnthropicの比較と将来の展望〜
Avatar for PharmaX(旧YOJO Technologies)開発チーム pharma_x_tech
6
990
ビジネスとデザインとエンジニアリングを繋ぐために 一人のエンジニアは何ができるか / What can a single engineer do to connect business, design, and engineering?
Avatar for 株式会社カミナシ kaminashi
2
880
ここはMCPの夜明けまえ
Avatar for nwiizo nwiizo
32
13k

Featured

See All Featured
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
BBQ
Avatar for Matthew Crist matthewcrist
88
9.6k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
6.5k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.7k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
667
120k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
33
6.6k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
46
14k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
179
53k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.1k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
133
9.3k

Transcript

  1. Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 AWS複数アカウントの管理再入門 Reintroduction to

    AWS Multiple Account Management

  2. Copyright © Tetsuya Shibao #jawsugkmmt 自己紹介 大分(22年) → 東京(11年) →

    福岡(2年)→ 佐賀(現 在)  柴尾 哲也(しばお てつや) Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc…

  3. Copyright © Tetsuya Shibao #jawsugkmmt ・ AWSを複数アカウントは必要なのか ・ AWSの複数アカウントの管理 ・

    実際に管理してみる ・ まとめ お話すること

  4. Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか?

  5. Copyright © Tetsuya Shibao #jawsugkmmt AWS アカウントを複数管理していますか? アカウントを複数管理していますか? 単一 単一

    派 派 複数 複数 派 派 ・複数アカウントを管理する手間やコストを抑えたい ・複数アカウントを管理する手間やコストを抑えたい  ・  ・ 社員数が少なく、 社員数が少なく、ITインフラ部門も兼任で行なっているスタートアップ インフラ部門も兼任で行なっているスタートアップ   ・小規模の   ・小規模のWebサービスを サービスを1本だけ 本だけ ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・個人が趣味や学習のために ・個人が趣味や学習のためにAWSを利用している を利用している  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)  ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し)

  6. Copyright © Tetsuya Shibao #jawsugkmmt AWSを複数アカウントは必要なのか (ここはあくまでも個人の意見です) ・ 企業はControl Tower導入が最優先だと考えます

     ・利用できるリージョン制限を施す   ・請求書から逆算してリージョンにあるサービスを調査したことはありますか?  ・ログアーカイブアカウントと監査アカウントが予めセットアップされる(Control Tower必須)   ・CloudTrailにも操作履歴が残らない操作をされたことがありますか?  ・AWS Config, Security Hubを導入することで管理対象のアカウントの統制を施す ・ 検証目的であろうとも最低限AWSアカウントは複数に分ける必要があると考えます  ・ あなたは初めてAWSにサインインして、「最終ログイン ◯◯◯(365 x n) 日以上」のIAMアカウントを見たことはありますか?   ・今見ているAWSアカウントの中で作業が継続しているのかどうかも分からない  ・ 「このIAM Userは使っていますか?」と聞いて、「うーん、どこかで使っている気がする」と聞いたことはありますか? ・ 勉強で作ったAWSアカウントであっても可能な限り複数に分けて運用が望ましいと考えます  ・クレジット(語弊がないように付け加えるとクーポン)は、支払いの管理アカウントにさえ登録すれば配下のアカウントに適用される  ・勉強の過程で作成されたIAM Roleが気づかないうちに出来上がるケースがあり、管理が煩雑になる

  7. Copyright © Tetsuya Shibao #jawsugkmmt ここからは個人で始めてみる ここからは個人で始めてみる AWS Organizations設定を交えての話となります 設定を交えての話となります

  8. Copyright © Tetsuya Shibao #jawsugkmmt AWSの複数アカウントの管理 ・ AWS Organizations x

    AWS IAM Identity Center(旧Single-Sign On)で統制を施す​ ・ SCPs(Service Control Policy)を使って主に制限を施す  ・2024年11月にRCPs(Resource Control Policy)、12月のre:InventでDeclarative Policy:宣言的なポリシーが発表 管理アカウント ou1 ou2 メンバアカウント 1−1 メンバアカウント 2−1 メンバアカウント 1−2 users/groups

  9. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・ IdP(ID管理基盤)は、トラストログインに限りません  ・企業であればAzure Entra

    ID(旧Azure AD)やGoogle Workspaceを利用している場合はそちらをIdPとすることを推奨です  ・トラストログインでAWS IAM Identity Centerと連携する手順は公開されています   https://support.trustlogin.com/hc/ja/articles/4407845138713 ・AWS Organizationsは、グローバルサービスです ・AWS IAM Identity Centerは、どこかの一つのRegionにインスタンス(無償)を起動する必要があるため指定が必要です  ・特に問題がなければ、東京(ap-northeast-1)リージョンで大丈夫です

  10. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・SCIM(System for Cross-domain Identity

    Management)対応していないIdPの場合は初回のみユーザ情報を作成する必要がある ・Username = Email Address で作成すること(トラストログインの場合、IdPによるが大抵はEmail Addressがキーになるはず)

  11. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・2024年11月に発表された Centrally manage root

    access for member accounts ・2025年01月時点で確認できるのは、S3 バケット、SQSキュー、パスワードリセットの許可 パスワードリセットの許可 に限られる https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-enable-root-access.html

  12. Copyright © Tetsuya Shibao #jawsugkmmt 実際に管理してみる ・AWS マネジメントコンソールも複数セッションに対応するになった(2025年1月) https://docs.aws.amazon.com/ja_jp/awsconsolehelpdocs/latest/gsg/multisession.html

  13. Copyright © Tetsuya Shibao #jawsugkmmt まとめ ・AWSは複数アカウントで運用することを見越した構成が推奨です  ・企業のセキュリティポリシーでも、本番環境と検証環境は分離を求められるケースもあるかと思います ・AWS Organizationsを使うのであれば、AWS

    IAM Identity Center + 外部IdPを組み合わせて使うとアカウントの管理が煩雑にならないです  ・Azure Entra IDは、オンデマンド or 40分ごとにSCIMで組み合わせて使えるのでとても楽です  ・Google Workspaceは、変更検知して順次動くので若干管理の自由は効かないです  ・トラストログインは、個人で利用する分にはいい体験になるかと思います   ・Azure Entra IDやGoogle Workspaceと比べて設定項目がシステムで隠されているので知識がなくても設定可能です ・メンバアカウントのルートアカウントアクセスを制限できるようになったので、SCPs、RCPs、DPの組み合わせで幅が広がります ・SCPsやRCPs、Decrative Policyについては、次回の福岡(2/8)で話すつもりです

  14. Copyright © Tetsuya Shibao #jawsugkmmt 2025-01-25 JAWS-UG熊本 Thanks for your

    time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480