Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20分で分かる!Control Towerが実現できる効率的なマルチアカウント管理
Search
松波 花奈
November 21, 2024
Business
0
130
20分で分かる!Control Towerが実現できる効率的なマルチアカウント管理
2024/11/21に開催された Classmethod Cloud Security Fes.基礎知識から生成AI対策までクラウドセキュリティの最新情報を学ぶ1日の登壇資料
松波 花奈
November 21, 2024
Tweet
Share
More Decks by 松波 花奈
See All by 松波 花奈
どこから始める?AWSセキュリティ成熟度モデルで次のアクションを可視化しよう!
o2mami
2
490
払いすぎていませんか?AWSコスト最適化へのはじめの一歩
o2mami
1
1.7k
JAWS-UG 朝会 #58 登壇資料
o2mami
1
610
第24回クラウド女子会 登壇資料
o2mami
1
1.9k
Hibiya.Tech #1 登壇資料
o2mami
1
2.7k
防衛への一歩!AWSアカウントを不正利用から守るための必須防止対策ナビ
o2mami
1
4.9k
JAWS-UG 朝会 #45 登壇資料
o2mami
2
1.4k
[ウェビナー資料] AWSエンジニア1年目が考える学習エンジンを止めない4つのコツ
o2mami
0
3.3k
JAWS-UG 朝会 #41 登壇資料
o2mami
1
2k
Other Decks in Business
See All in Business
エンジニア向けオープンワーク会社紹介資料 / company profile
openwork
1
17k
TAIAN Company Deck_202411
kushi
0
1.3k
スタートアップのマネージャーに役立つ視座/A useful perspective for startup managers
dskst
6
1.2k
merpay-Overview
mercari_inc
7
160k
ファブリカホールディングス_2025年3月期 第2四半期説明資料
fabrica_com
0
2.7k
株式会社CINC 会社案内/Company introduction
cinchr
6
45k
会計実務研修へのLMS導入~いつでも、どこでも、何度でも~
tokyo_metropolitan_gov_digital_hr
0
150
21.11.2024 Nuevos formatos de comunicación entre distribuidores y comercializadoras de electricidad
neuroenergia
PRO
0
120
MTDDC Meetup TOKYO 2024 Keynote
hirata
1
160
パレットクラウド株式会社 採用ピッチ資料 エンジニア編
palettecloud
0
4.4k
【metimo】「『似合う』を楽しもう。」
hinalin
0
770
akippa株式会社 - 会社紹介資料
akippa
3
58k
Featured
See All Featured
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Building Your Own Lightsaber
phodgson
103
6.1k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
665
120k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
What's new in Ruby 2.0
geeforr
343
31k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
17k
How GitHub (no longer) Works
holman
310
140k
Transcript
2024/11/21 AWS事業本部コンサルティング部 松波花奈 20分で分かる!Control Towerが実現で きる効率的なマルチアカウント管理
⾃⼰紹介 2 • 2018年4⽉ メーカー系Sler⼊社 システムエンジニア ◦ 基幹システムのアプリケーション開発 • 2022年9⽉ クラスメソッド⼊社 ◦ AWS設計‧構築⽀援
◦ プリセールス ◦ セキュリティ‧コスト最適化アセスメント • 実績 ◦ Japan AWS Top Engineers 2023 Security • 部署 ◦ AWS事業本部コンサルティング部 • ロール ◦ ソリューションアーキテクト • 名前(ニックネーム) ◦ 松波 花奈(おつまみ) • 所属オフィス ◦ ⽇⽐⾕ • 最近気になっていること ◦ AWS re:Invent前のアップデート情報
3 • 対象者 ◦ マルチアカウント管理に興味のある⽅ ◦ マルチアカウント管理に課題を感じている⽅ ◦ AWS Control
Towerというワードに惹かれた⽅ • レベル ◦ 100 ~ 200 ※レベルの説明 • Level 100 : AWS サービスの概要を解説するレベル • Level 200 : トピックの⼊⾨知識を持っていることを前提に、ベストプラクティス、サービス機能を解説するレベル • Level 300 : 対象のトピックの詳細を解説するレベル • Level 400 : 複数のサービス、アーキテクチャによる実装でテクノロジーがどのように機能するかを解説するレベル セッションの対象者とレベル
4 • AWS Control Towerで実現できることを知っていただくこと • マルチアカウント管理ってなんか難しそう‧‧という概念をなくして いただくこと セッションのゴール
5 1. マルチアカウント管理が必要な理由 2. AWS Control Towerとは 3. AWS Control
Towerで実現できること 4. まとめ お話しすること
6 1. AWS Control Towerの設定‧有効化⼿順 2. AWS Control Tower有効化後のマルチアカウント運⽤ お話ししないこと
2つ質問します! 当てはまる⽅はZoomで挙⼿をお願いします! 7 セッションに⼊る前に‧‧
①現在マルチアカウント管理をしている⽅🖐 8
②現在Control Towerを使っている⽅🖐 9
1. マルチアカウント管理が必要な理由
11 そもそもマルチアカウント管理とは? • マルチアカウント管理はAWSにおける統制⽅法の1つ • 『特定の単位や基準でAWSアカウントを分けて運⽤する』こと
AWSアカウントの特性を上⼿く活⽤して、 アジリティとガバナンスの両⽴を維持させる 12 なぜマルチアカウント管理が必要なのか? 迅速な開発能⼒ 統制された管理
シングルアカウント運⽤で このようなお悩みありませんか? 13
• 意図せず本番環境のリソースを削除‧停⽌してしまう 14 IAM権限管理が難しい
• アカウント内でコスト分類するには 「タグ(コスト配分タグ)」 が必要 • タグの設定を忘れると、想定通りに記録されない 15 請求分割が難しい
16 • サービスクォータ※により、「新規リソースが作成できない」「API実⾏ に失敗する」などの影響を受ける可能性がある サービス制限が回避できない ※サービスクォータ‧‧AWSのサービス毎に定められた制限
17 • セキュリティ ◦ IAM権限管理が難しい • コスト最適化 ◦ 請求分割が難しい •
開発スピードの抑制 ◦ サービスクォータの上限 シングルアカウント運⽤のお悩み
18 • セキュリティ ◦ 完全なIAM権限分離を簡単に実現 • コスト最適化 ◦ どの環境がどれだけ使ったかを簡単 に、厳密なコスト把握が可能
• 開発スピードの促進 ◦ 他アカウントのリソース影響を受けず に、開発を進められる マルチアカウント運⽤だと明確な境界が⽣まれる
19 【まとめ】1. マルチアカウント管理が必要な理由 • マルチアカウント管理とは『特定の単位や基準でAWSアカウントを分けて 運⽤する』こと • AWSアカウントの特性から、マルチアカウント管理をやる必要が出てくる • 以下をマルチアカウント管理で達成できる
◦ セキュリティ:完全なIAM権限分離を簡単に実現 ◦ コスト最適化 :どの環境がどれだけ使ったかを簡単に、厳密なコスト把握が可能 ◦ 開発スピードの促進:他アカウントのリソース影響を受けずに、開発を進められる
マルチアカウント運⽤ならではの お悩みも⽣まれる 20 とはいえ、、
21 マルチアカウント運⽤のお悩み • アカウント管理とアクセス制御 ◦ 複数アカウントへのログインと権限管理が煩雑になる ◦ アカウント作成と設定に⼿間がかかる • セキュリティ、コンプライアンス、ガバナンス
◦ 全アカウントで統⼀したセキュリティ対策を維持するのが難しい ◦ 複数アカウントのコンプライアンス状況を把握し監査するのが⼤変 • コスト管理 ◦ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる
22 マルチアカウント運⽤のお悩み • アカウント管理とアクセス制御 ◦ 複数アカウントへのログインと権限管理が煩雑になる ◦ アカウント作成と設定に⼿間がかかる • セキュリティ、コンプライアンス、ガバナンス
◦ 全アカウントで統⼀したセキュリティ対策を維持するのが難しい ◦ 複数アカウントのコンプライアンス状況を把握し監査するのが⼤変 • コスト管理 ◦ 各アカウントのコスト管理が複雑になり全体のコスト最適化が難しくなる これらのお悩みを解決するのが
AWS Control Tower マルチアカウント環境のセットアッ プと統制を⾃動化するサービス 23 AWS Organizations 複数のAWSアカウントを⼀元管理 AWS
OrganizationsとAWS Control Tower
AWS Control Tower マルチアカウント環境のセットアッ プと統制を⾃動化するサービス 24 AWS Organizations 複数のAWSアカウントを⼀元管理 本セッション対象
AWS OrganizationsとAWS Control Tower
2. AWS Control Towerとは
26 AWS Control Towerとは AWS Control Tower • マルチアカウント環境のセットアッ プと統制を⾃動化するサービス
◦ AWSのベストプラクティスに基づいて構 成したアカウントをセキュアかつスケー ラブルに展開できる • 数クリックで利⽤開始 • 1~2時間程度で構築完了
27 AWS Control Towerの仕組み 出典: AWS Control Towerを基本から理解する。具体的な活⽤法を交えて解説 | クラスメソッド
• AWS Organizations ◦ Security OU ▪ Log Archive アカウント (+ ログ集約⽤S3バケット) ▪ Audit アカウント (+ Configアグリゲーター) ◦ Sandbox OU • CloudTrail ◦ 組織のアカウント全体を対象に有効化 • Account Factory(Service Catalog) • IAM Identity Center • SCPによる予防的ガードレール • AWS Config Rulesによる発⾒的ガード など
28 AWS Control Towerのメリット • AWSセキュリティサービス群に対し、 ベストプラクティスに則った設定を適⽤ • 複数のAWSアカウントを統制するよう な基盤
(= ランディングゾーン )を簡単に 構成してくれる → Control Tower が作成した統制基盤を ベースに、負担少なくマルチアカウント管 理をスタート可能に! 出典: AWS Control Towerを基本から理解する。具体的な活⽤法を交えて解説 | クラスメソッド
29 (補⾜)ランディングゾーンとは? • 着陸帯(LZ)とは、軍事用語で航空機が着陸できる区域のこと
30 (補⾜)AWSにおけるランディングゾーンとは? • 安全にアカウントを追加・開始できる環境を構築するための設計、仕組み (つまり複数の AWSアカウントを統制するような基盤) ◦ 新規アカウント払い出しと同時にセキュアな状態で安全に アカウントの利用が開始できる状態にできる •
⾶⾏機 = アカウント • 着陸 = アカウントを追加‧開始すること • 着陸帯 = ランディングゾーン
31 【まとめ】2. AWS Control Towerとは • マルチアカウント環境のセットアップと統制を⾃動化するサービス • 様々なAWSセキュリティサービス群に対し、ベストプラクティスに則っ た設定を適⽤
• セキュアなAWS環境を作り始めるためのスタートラインに最速でたどり 着ける
3. AWS Control Towerで実現できること
33 AWS Control Towerで実現できること 1. ログ集約 2. コントロール適⽤ 3. ID
⼀元管理 4. AWS アカウント作成
34 AWS Control Towerで実現できること ①ログ集約 ②コントロール適⽤ ③ID ⼀元管理 ④AWS アカウント作成
①ログ集約 AWS操作ログの⾃動収集
36 AWS Control Towerで実現できること ①ログ集約
37 • AWS操作ログとは、「誰が、いつ、何をしたのか」を記録するログ • AWS CloudTrail‧AWS Configが該当するサービス → AWSの業務監査‧リスク監査の実現、ガバナンスの基本となる AWS操作ログの管理が重要
AWS CloudTrail 出典: AWS CloudTrail - [AWS Black Belt Online Seminar] AWS Config
38 アカウントごとに個別に設定しないといけない AWS Control Tower なし
39 Control Towerで⼀括設定 AWS Control Tower あり • ログの⼀元管理と調査の集約が可能
②コントロール適⽤ リスクのある操作の予防‧発⾒
41 AWS Control Towerで実現できること ②コントロール適⽤
42 ガードレールとは • 利⽤者がセキュリティ上問題のある操作をしないよう検知‧防⽌する仕組み • AWS Control Towerのコントロールと同義
43 操作前に事前承認が必要 AWS Control Tower なし • 利⽤者の⼿が⽌まってしまい、迅速な開発ができない
44 リスクのある操作を事前に禁⽌‧通知 AWS Control Tower あり • セキュリティリスクのある操作を禁⽌、またリスクへの早期対処を実現
45 コントロール動作の種類 • 予防 ◦ 利⽤者にさせてはいけない操作を禁⽌ ◦ AWS OrganizationsのSCPで実装 •
検出 ◦ ポリシー違反やリソースの⾮準拠を検出 ◦ AWS Configルールで実装、Security Hubと連携 • プロアクティブ ◦ プロビジョニング前にリソースをスキャンし、リソースがそのコントロール に準拠していることを確認 ◦ CloudFormation Hooksで実装 SCP AWS Config Security Hub CloudFormation
46 コントロールガイダンスの種類 • 必須 ◦ ControlTowerを正常稼働させるために必要な禁⽌事項をSCPで定義したもの ◦ デフォルトで有効化されており、無効にはできない • 強く推奨
◦ マルチアカウントのベストプラクティスに基づく制限 ◦ SCPの例:rootユーザでアクセスキーを作らない ◦ ConfigRulesの例:EBSボリュームが暗号化されていること • 選択的 ◦ AWS エンタープライズ環境で⼀般的に利⽤されている制限事項 ◦ SCPの例:MFAなしのS3バケット削除禁⽌ ◦ ConfigRulesの例:MFAなしのIAMユーザアクセス禁⽌ オプションのため、 必要に応じて、有効化
Q. 2024年11⽉現在、AWS Control Towerで有効 化できるコントロールの数は〇〇個 47 AWS Control Towerクイズ!
Q. 2024年11⽉現在、AWS Control Towerで有効化 できるコントロールの数は〇〇個 選択肢:A) 約300個 B) 約400個 C)
約500個 D) 約600個 48 AWS Control Towerクイズ!
Q. 2024年11⽉現在、AWS Control Towerで有効化 できるコントロールの数は、およそいくつでしょうか? 正解:C) 約500個 49 AWS Control
Towerクイズ! 必須 23個 強く推奨 14個 選択的 485個
③ID ⼀元管理 複数AWSアカウントへのログインの切り替え
51 AWS Control Towerで実現できること ③ID ⼀元管理
52 アカウント数だけログイン処理が必要 AWS Control Tower なし
53 ログイン導線‧ユーザ管理の⼀本化 AWS Control Tower あり
④AWS アカウント作成 新規AWSアカウントの⾃動セットアップ
55 AWS Control Towerで実現できること ④AWS アカウント作成
56 新規アカウントの⼿配‧環境セットアップが必要 AWS Control Tower なし • AWSアカウント作成のため、連絡先 ‧⽀払い情報の設定など各種⼊⼒が 必要
• 利⽤者向けのログイン設定、操作ロ グ設定、ガードレール設定など‧‧
57 セットアップ済みの新規AWSアカウント発⾏が可能 AWS Control Tower あり • 各種機能がはじめから設定済 ◦ AWS
Organizations ▪ ガードレール ◦ AWS Config ◦ AWS CloudTrail ▪ ログ集約 ◦ AWS IAM Identity Center ▪ シングルサイオン など
58 【まとめ】3. AWS Control Towerで実現できること • AWS Control Towerを使うことで以下機能を簡単に実装できる •
ログ集約 ◦ AWS操作ログの⾃動収集 • コントロール適⽤ ◦ リスクのある操作の予防‧発⾒ • ID ⼀元管理 ◦ 複数AWSアカウントへのログインの切り替え • AWS アカウント作成 ◦ 新規AWSアカウントの⾃動セットアップ
4. まとめ
60 AWS Control Towerとは AWS Control Tower • マルチアカウント環境のセットアッ プと統制を⾃動化するサービス
◦ AWSのベストプラクティスに基づいて構 成したアカウントをセキュアかつスケー ラブルに展開できる • 数クリックで利⽤開始 • 1~2時間程度で構築完了 再掲
61 AWS Control Towerで実現できること ①ログ集約 ②コントロール適⽤ ③ID ⼀元管理 ④AWS アカウント作成
再掲
62 • AWS Control Towerで実現できることを知っていただくこと • マルチアカウント管理ってなんか難しそう‧‧という概念をなくして いただくこと セッションのゴール 再掲
63 AWS Control Towerの学習コンテンツ https://dev.classmethod.jp/articles/aws-control-tower-learning-resources/
64 AWS Control Towerの実践編 https://dev.classmethod.jp/articles/2024-secure-multiaccount-built-by-control-tower/ https://guidebook.classmethod.net/ ※ メンバーズIDでのログインが必要
None