Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
Search
sumi
February 25, 2021
Business
4
3.1k
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
sumi
February 25, 2021
Tweet
Share
More Decks by sumi
See All by sumi
#ITsurf2023 急成長企業を支えるコスト最適化
sumi
0
120
JAWS-UG 情シス / AWS Sandbox環境の運用と管理
sumi
1
1.3k
#oViceFest 2022 Spring 「oViceが定着しない…を解消するためにやってみたこと」
sumi
0
420
AWS Cloud Oprations Services 全部?もり
sumi
1
420
サメがくれたもの〜わたしのシンデレラ・ストーリー〜 ssmjp-18
sumi
0
330
AWSピタゴラ(ひとり)選手権 / Let's Play and Learn by Chaining the Launch of AWS Services
sumi
1
1.6k
JAWS-UG朝会 #20 無料で使えるCloudEndureでお金を溶かした話
sumi
1
1.2k
組織におけるAWSのアカウント管理とコスト管理
sumi
17
9.4k
運命の出会いは転職ドラフトで
sumi
1
360
Other Decks in Business
See All in Business
事業所の利用を検討いただいている皆さまへ
ymtyhka7o4o8
0
440
スクラムに必要な知的生産性を上げるソフトスキル / The Soft Skills Required to Enhance Productivity in Scrum
shinichi9987
2
270
フィードバックされやすい人になろう
nrryuya
19
12k
メドピアグループ紹介資料
medpeer_recruit
10
110k
SQUEEZE会社紹介資料 / we-are-hiring
shin1
0
25k
横浜新都市脳神経外科病院 リハビリテーション科採用ピッチ
yokohamashintoshihp
0
120
モベンシス株式会社 会社紹介資料
movensys
1
1.2k
株式会社CloudSoft 会社説明資料
csmatsushita
0
330
【全ポジション共通】㈱エグゼクション/会社紹介資料
exe_recruit
1
870
Next Gen Story Sample
artist_redacted
0
180
ユートニック 会社紹介資料
yukiimai
0
710
採用案内資料
friendmicrobe
0
120
Featured
See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
80
5.1k
How to name files
jennybc
75
98k
10 Git Anti Patterns You Should be Aware of
lemiorhan
653
58k
Teambox: Starting and Learning
jrom
131
8.7k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
225
22k
Making Projects Easy
brettharned
113
5.8k
The Illustrated Children's Guide to Kubernetes
chrisshort
47
48k
Building Adaptive Systems
keathley
36
2.1k
Why You Should Never Use an ORM
jnunemaker
PRO
53
8.9k
Creatively Recalculating Your Daily Design Routine
revolveconf
215
12k
A designer walks into a library…
pauljervisheath
201
24k
WebSockets: Embracing the real-time Web
robhawkes
59
7.3k
Transcript
スタートアップこそ AWSアカウントを ええ感じに管理しよ! AWS Startup Tech Meetup Online #2
1988年⽣まれ∕⼤阪府出⾝ webエンジニア、情シス、CSIRTを経て 現在株式会社オークンで情シスのお姉さんをし てます。好きなAWSサービスは、GuardDuty, AWSOrganizations,AWSSSO O-KUN, Inc. Business IT SUMI
SHIOMI suemin_jp
社名:株式会社オークン 代表:⼭下 亮 設⽴:2015年3⽉ 従業員:26名(2021年2⽉時点) 事業内容: ファンド向け⾦融商品開発 Webサービス開発 ソフトウェア開発 など
素晴らしいプロダクトを 世の中に出したい ⽇のおはなし 情シスとして⼤事にしていること
最⾼のプロダクトにするために エンジニアがプロダクト開発に 全集中できる環境を整える 情シスとして⼤事にしていること
組織でAWSを 利⽤するってなったら やっておきたいこと アカウントとユーザーの管理編
組織でAWSを 利⽤する上で 避けられない問題
マルチアカウント 管理
None
マルチ アカウントの ベスト プラクティス
⽤: AWS におけるマルチアカウント 理の⼿ とベストプラクティス https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
スタートアップで 最初からこれが 考慮されているか
アイデアに 気づく 仲間を 集める プロトタイプ つくる ローンチ する
理想
現 もしくはOrganizations で 理されていない場 も。 とりあえず まとめるために つかってみた
この状 のまま が⼤きくなると 何が きるか
アカウント SCP もいい じにあてられん…
件A prod 件B dev / stg なんかよく わかんない やつ 件B
prod ⽤ 件 アカウントの⽬的が ⾏ 不 件C dev Account - A Accout - B Account - C この 件のリソースは どのアカウントなんだぁぁぁぁぁ 件別に まとめるのが ⼤ だぁぁぁぁ さらに
開発効率
こうなると Organizationsを 再設計し直すのは めっちゃしんどい
None
ユーザー 理 の 題 それに えて
やりがちなユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 ID + Pass +
MFA ID + Pass + MFA ID + Pass + MFA
パスワードポリシーが 超 めんどくさい パスワードポリシーが超 しい 半⾓英⼩ 半⾓英⼤ 半⾓ 20 桁
上 使い回し禁⽌ さらにMFA 制 これがアカウントごとに。。
した の IAM ユーザの アクセスキー が プログラムの中で使われていた したA さんの IAM
ユーザを消したら プログラムが動かなく なっちゃったんだよね〜 えー まじっすかー 開発 情シス
開発どころじゃない
None
アカウントとユーザーは ちゃんと 理した がいい
⼩ 模なうちなら いい じに えやすい
に何を やっておくべきなのか について えてみた そうならない ために...
AWSアカウントは ⽬的別に作成する
ガバナンス 課⾦ 組織 運⽤ 本番環境と⾮本番環境を管理するメンバーとで 明確な権限の分離 環境間におけるセキュリティ対策の分離が可能 アカウント毎に明確な課⾦管理ができる アカウントの請求をまとめられる 案件や部⾨などの業務ユニットごとにアカウン
トを払い出して独⾃のポリシーで運⽤ができる 特定のアカウントへ権限を委譲することも可能 構成変更時の影響範囲のを⼩さくする リソースの上限を気にせず利⽤できる AWSアカウント分割のポイント
TAG:dev TAG:poc_A TAG:verify TAG:pj_A TAG:dev TAG:pj_B TAG:verify TAG:poc_B 管理側 開発側
OU設計は AWSOrganizations 全体の核⼼
AWSOrganizationsの基本的なOU構成
組織で共有されるインフラサービス セキュリティ監査ログなど AWSOrganizationsの基本的なOU構成
AWSOrganizationsの基本的なOU構成 AWSのサービスを学んだり試したりするために利⽤ 社内ネットワークから切り離して構築 ⼀定の料⾦制限を設定して使いすぎを防⽌
AWSOrganizationsの基本的なOU構成 顧客向けアプリケーションや バックエンドプロセスなど
AWSOrganizationsの基本的なOU構成 SCPを利⽤して アカウント/OU全体に 禁⽌事項の設定 予防的統制
IAMユーザーは 作らない
AWSにおけるユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 アカウントの数だけ多重苦に陥ってしまう
AWSにおけるユーザー管理 踏み台からロールを切り替えて 各AWSアカウントの操作権限を取得 接続先のアカウントで付与される権限の管理は 各AWSアカウントのIAMで個別にロールを作成し メンテナンスする必要がある
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤ AWSSSOでマネージドに実現
AWSSSOならマネコンへのアクセスが楽
AWSSSOならCLIも便利
AWSSSOはいいぞ
的にこれでいくことにした
果 ユーザーはアカウントへのアクセスが楽になり アカウントの切り替えも便利になった アカウントに紐づくグループごとに権限設定& AWSSSOで⼀元管理できてアクセス権管理が楽 IdPからユーザとグループがプロビジョニングされて ユーザーのメンテナンスがめっちゃ楽
でやりたいこと ステージ別にSCPを割り当てて 組織として⼀定のセキュリティレベルを担保 ConfigでIAMユーザーの作成を監査& CloudTrailでIAMユーザーの使⽤を検知 監査ログを集約&活⽤ 結局ControlTowerってどうなん
アカウントはシステムの種類や環境別に分割して 開発者も管理者もみんなハッピー OU設計はAWSOrganizations全体設計の核⼼ 早い段階で⼊念な検討を推奨。 AWSSSOはいいぞ まとめ
アカウントとユーザーを 早い段階で整理することで、 セキュアで良質な ガードレールを整えて 最⾼のプロダクトを世の中へ (後編) (前編)
THANK YOU. ⼤ オフィス オフィス 〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル 〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル