Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
Search
sumi
February 25, 2021
Business
4
3.3k
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
sumi
February 25, 2021
Tweet
Share
More Decks by sumi
See All by sumi
#ITsurf2023 急成長企業を支えるコスト最適化
sumi
0
180
JAWS-UG 情シス / AWS Sandbox環境の運用と管理
sumi
1
1.4k
#oViceFest 2022 Spring 「oViceが定着しない…を解消するためにやってみたこと」
sumi
0
460
AWS Cloud Oprations Services 全部?もり
sumi
1
450
サメがくれたもの〜わたしのシンデレラ・ストーリー〜 ssmjp-18
sumi
0
400
AWSピタゴラ(ひとり)選手権 / Let's Play and Learn by Chaining the Launch of AWS Services
sumi
1
1.7k
JAWS-UG朝会 #20 無料で使えるCloudEndureでお金を溶かした話
sumi
1
1.3k
組織におけるAWSのアカウント管理とコスト管理
sumi
17
9.7k
運命の出会いは転職ドラフトで
sumi
1
390
Other Decks in Business
See All in Business
『プロダクト戦略』を紐解く — 言語化・組織実装・実行までのリアル —
shunikeda
0
350
ソニックガーデン会社説明資料(2025年1月)
kuranuki
0
130
Crisp Code inc. | わたしたちの事例/実績 - Portfolio
so_kotani
1
980
Company Deck
chipee
0
320
株式会社FLINTERS 会社紹介資料
flinters
0
600
【エンジニア採用】BuySell Technologies会社説明資料
buyselltechnologies
3
62k
株式会社ジグザグ_新規投資家向け資料.pdf
zig_zag
0
3.9k
Josh Blyskal | Profound | We analyed 10,000,000 AI Search Results...
joshbly
1
1.4k
テクノロジーとヒトのあいだに
yuiseki
0
120
250410_生成AI導入の選択肢:モデル開発と既存LLM活用の比較と選択基準
suzakiyoshito
0
250
Sales Marker Culture Book(English)
salesmarker
PRO
2
4.5k
営業AIエージェント「アポドリ」のつくりかた
ikeyatsu
8
3.2k
Featured
See All Featured
Building Flexible Design Systems
yeseniaperezcruz
329
38k
Building an army of robots
kneath
304
45k
The Cost Of JavaScript in 2023
addyosmani
49
7.7k
Being A Developer After 40
akosma
91
590k
Visualization
eitanlees
146
16k
GitHub's CSS Performance
jonrohan
1030
460k
Reflections from 52 weeks, 52 projects
jeffersonlam
349
20k
The Language of Interfaces
destraynor
157
25k
RailsConf 2023
tenderlove
30
1.1k
The World Runs on Bad Software
bkeepers
PRO
67
11k
Automating Front-end Workflow
addyosmani
1369
200k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Transcript
スタートアップこそ AWSアカウントを ええ感じに管理しよ! AWS Startup Tech Meetup Online #2
1988年⽣まれ∕⼤阪府出⾝ webエンジニア、情シス、CSIRTを経て 現在株式会社オークンで情シスのお姉さんをし てます。好きなAWSサービスは、GuardDuty, AWSOrganizations,AWSSSO O-KUN, Inc. Business IT SUMI
SHIOMI suemin_jp
社名:株式会社オークン 代表:⼭下 亮 設⽴:2015年3⽉ 従業員:26名(2021年2⽉時点) 事業内容: ファンド向け⾦融商品開発 Webサービス開発 ソフトウェア開発 など
素晴らしいプロダクトを 世の中に出したい ⽇のおはなし 情シスとして⼤事にしていること
最⾼のプロダクトにするために エンジニアがプロダクト開発に 全集中できる環境を整える 情シスとして⼤事にしていること
組織でAWSを 利⽤するってなったら やっておきたいこと アカウントとユーザーの管理編
組織でAWSを 利⽤する上で 避けられない問題
マルチアカウント 管理
None
マルチ アカウントの ベスト プラクティス
⽤: AWS におけるマルチアカウント 理の⼿ とベストプラクティス https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
スタートアップで 最初からこれが 考慮されているか
アイデアに 気づく 仲間を 集める プロトタイプ つくる ローンチ する
理想
現 もしくはOrganizations で 理されていない場 も。 とりあえず まとめるために つかってみた
この状 のまま が⼤きくなると 何が きるか
アカウント SCP もいい じにあてられん…
件A prod 件B dev / stg なんかよく わかんない やつ 件B
prod ⽤ 件 アカウントの⽬的が ⾏ 不 件C dev Account - A Accout - B Account - C この 件のリソースは どのアカウントなんだぁぁぁぁぁ 件別に まとめるのが ⼤ だぁぁぁぁ さらに
開発効率
こうなると Organizationsを 再設計し直すのは めっちゃしんどい
None
ユーザー 理 の 題 それに えて
やりがちなユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 ID + Pass +
MFA ID + Pass + MFA ID + Pass + MFA
パスワードポリシーが 超 めんどくさい パスワードポリシーが超 しい 半⾓英⼩ 半⾓英⼤ 半⾓ 20 桁
上 使い回し禁⽌ さらにMFA 制 これがアカウントごとに。。
した の IAM ユーザの アクセスキー が プログラムの中で使われていた したA さんの IAM
ユーザを消したら プログラムが動かなく なっちゃったんだよね〜 えー まじっすかー 開発 情シス
開発どころじゃない
None
アカウントとユーザーは ちゃんと 理した がいい
⼩ 模なうちなら いい じに えやすい
に何を やっておくべきなのか について えてみた そうならない ために...
AWSアカウントは ⽬的別に作成する
ガバナンス 課⾦ 組織 運⽤ 本番環境と⾮本番環境を管理するメンバーとで 明確な権限の分離 環境間におけるセキュリティ対策の分離が可能 アカウント毎に明確な課⾦管理ができる アカウントの請求をまとめられる 案件や部⾨などの業務ユニットごとにアカウン
トを払い出して独⾃のポリシーで運⽤ができる 特定のアカウントへ権限を委譲することも可能 構成変更時の影響範囲のを⼩さくする リソースの上限を気にせず利⽤できる AWSアカウント分割のポイント
TAG:dev TAG:poc_A TAG:verify TAG:pj_A TAG:dev TAG:pj_B TAG:verify TAG:poc_B 管理側 開発側
OU設計は AWSOrganizations 全体の核⼼
AWSOrganizationsの基本的なOU構成
組織で共有されるインフラサービス セキュリティ監査ログなど AWSOrganizationsの基本的なOU構成
AWSOrganizationsの基本的なOU構成 AWSのサービスを学んだり試したりするために利⽤ 社内ネットワークから切り離して構築 ⼀定の料⾦制限を設定して使いすぎを防⽌
AWSOrganizationsの基本的なOU構成 顧客向けアプリケーションや バックエンドプロセスなど
AWSOrganizationsの基本的なOU構成 SCPを利⽤して アカウント/OU全体に 禁⽌事項の設定 予防的統制
IAMユーザーは 作らない
AWSにおけるユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 アカウントの数だけ多重苦に陥ってしまう
AWSにおけるユーザー管理 踏み台からロールを切り替えて 各AWSアカウントの操作権限を取得 接続先のアカウントで付与される権限の管理は 各AWSアカウントのIAMで個別にロールを作成し メンテナンスする必要がある
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤ AWSSSOでマネージドに実現
AWSSSOならマネコンへのアクセスが楽
AWSSSOならCLIも便利
AWSSSOはいいぞ
的にこれでいくことにした
果 ユーザーはアカウントへのアクセスが楽になり アカウントの切り替えも便利になった アカウントに紐づくグループごとに権限設定& AWSSSOで⼀元管理できてアクセス権管理が楽 IdPからユーザとグループがプロビジョニングされて ユーザーのメンテナンスがめっちゃ楽
でやりたいこと ステージ別にSCPを割り当てて 組織として⼀定のセキュリティレベルを担保 ConfigでIAMユーザーの作成を監査& CloudTrailでIAMユーザーの使⽤を検知 監査ログを集約&活⽤ 結局ControlTowerってどうなん
アカウントはシステムの種類や環境別に分割して 開発者も管理者もみんなハッピー OU設計はAWSOrganizations全体設計の核⼼ 早い段階で⼊念な検討を推奨。 AWSSSOはいいぞ まとめ
アカウントとユーザーを 早い段階で整理することで、 セキュアで良質な ガードレールを整えて 最⾼のプロダクトを世の中へ (後編) (前編)
THANK YOU. ⼤ オフィス オフィス 〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル 〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル