Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
Search
sumi
February 25, 2021
Business
4
3.4k
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
sumi
February 25, 2021
Tweet
Share
More Decks by sumi
See All by sumi
#ITsurf2023 急成長企業を支えるコスト最適化
sumi
0
200
JAWS-UG 情シス / AWS Sandbox環境の運用と管理
sumi
1
1.5k
#oViceFest 2022 Spring 「oViceが定着しない…を解消するためにやってみたこと」
sumi
0
480
AWS Cloud Oprations Services 全部?もり
sumi
1
460
サメがくれたもの〜わたしのシンデレラ・ストーリー〜 ssmjp-18
sumi
0
450
AWSピタゴラ(ひとり)選手権 / Let's Play and Learn by Chaining the Launch of AWS Services
sumi
1
1.8k
JAWS-UG朝会 #20 無料で使えるCloudEndureでお金を溶かした話
sumi
1
1.4k
組織におけるAWSのアカウント管理とコスト管理
sumi
17
9.8k
運命の出会いは転職ドラフトで
sumi
1
410
Other Decks in Business
See All in Business
Spice Factory Inc. Culture Deck
spicefactory
0
9.7k
『ふりかえる力』を育み、メンバーの自走力を高める 1 on 1 / 1-on-1 sessions to foster self-reflection
tbpgr
1
820
採用向け:コンサルティング事業紹介
questresearch
1
22k
EMOOR_ブランド説明資料
yusawada
1
11k
三井物産グループのデジタル証券〜川崎・商業〜徹底解説セミナースライド(20250730)
c0rp_mdm
PRO
1
1.2k
【エンジニア職】中途採用向け会社説明資料(テックファーム株式会社)
techfirm
0
5.4k
2025.08_中途採用資料.pdf
superstudio
PRO
2
79k
malna-recruiting-pitch
malna
0
8.7k
行動指針
fint_recruit
0
370
RightTouch_mind
righttouch
PRO
0
170
エスキュービズム 会社紹介資料
human_resources
2
20k
GeminiのCanvas機能で脳を悦ばせてみた
o2mami
1
230
Featured
See All Featured
Statistics for Hackers
jakevdp
799
220k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
820
Build your cross-platform service in a week with App Engine
jlugia
231
18k
Facilitating Awesome Meetings
lara
55
6.5k
BBQ
matthewcrist
89
9.8k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
15
1.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
3.1k
Thoughts on Productivity
jonyablonski
69
4.8k
Bash Introduction
62gerente
614
210k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
570
It's Worth the Effort
3n
187
28k
Transcript
スタートアップこそ AWSアカウントを ええ感じに管理しよ! AWS Startup Tech Meetup Online #2
1988年⽣まれ∕⼤阪府出⾝ webエンジニア、情シス、CSIRTを経て 現在株式会社オークンで情シスのお姉さんをし てます。好きなAWSサービスは、GuardDuty, AWSOrganizations,AWSSSO O-KUN, Inc. Business IT SUMI
SHIOMI suemin_jp
社名:株式会社オークン 代表:⼭下 亮 設⽴:2015年3⽉ 従業員:26名(2021年2⽉時点) 事業内容: ファンド向け⾦融商品開発 Webサービス開発 ソフトウェア開発 など
素晴らしいプロダクトを 世の中に出したい ⽇のおはなし 情シスとして⼤事にしていること
最⾼のプロダクトにするために エンジニアがプロダクト開発に 全集中できる環境を整える 情シスとして⼤事にしていること
組織でAWSを 利⽤するってなったら やっておきたいこと アカウントとユーザーの管理編
組織でAWSを 利⽤する上で 避けられない問題
マルチアカウント 管理
None
マルチ アカウントの ベスト プラクティス
⽤: AWS におけるマルチアカウント 理の⼿ とベストプラクティス https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
スタートアップで 最初からこれが 考慮されているか
アイデアに 気づく 仲間を 集める プロトタイプ つくる ローンチ する
理想
現 もしくはOrganizations で 理されていない場 も。 とりあえず まとめるために つかってみた
この状 のまま が⼤きくなると 何が きるか
アカウント SCP もいい じにあてられん…
件A prod 件B dev / stg なんかよく わかんない やつ 件B
prod ⽤ 件 アカウントの⽬的が ⾏ 不 件C dev Account - A Accout - B Account - C この 件のリソースは どのアカウントなんだぁぁぁぁぁ 件別に まとめるのが ⼤ だぁぁぁぁ さらに
開発効率
こうなると Organizationsを 再設計し直すのは めっちゃしんどい
None
ユーザー 理 の 題 それに えて
やりがちなユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 ID + Pass +
MFA ID + Pass + MFA ID + Pass + MFA
パスワードポリシーが 超 めんどくさい パスワードポリシーが超 しい 半⾓英⼩ 半⾓英⼤ 半⾓ 20 桁
上 使い回し禁⽌ さらにMFA 制 これがアカウントごとに。。
した の IAM ユーザの アクセスキー が プログラムの中で使われていた したA さんの IAM
ユーザを消したら プログラムが動かなく なっちゃったんだよね〜 えー まじっすかー 開発 情シス
開発どころじゃない
None
アカウントとユーザーは ちゃんと 理した がいい
⼩ 模なうちなら いい じに えやすい
に何を やっておくべきなのか について えてみた そうならない ために...
AWSアカウントは ⽬的別に作成する
ガバナンス 課⾦ 組織 運⽤ 本番環境と⾮本番環境を管理するメンバーとで 明確な権限の分離 環境間におけるセキュリティ対策の分離が可能 アカウント毎に明確な課⾦管理ができる アカウントの請求をまとめられる 案件や部⾨などの業務ユニットごとにアカウン
トを払い出して独⾃のポリシーで運⽤ができる 特定のアカウントへ権限を委譲することも可能 構成変更時の影響範囲のを⼩さくする リソースの上限を気にせず利⽤できる AWSアカウント分割のポイント
TAG:dev TAG:poc_A TAG:verify TAG:pj_A TAG:dev TAG:pj_B TAG:verify TAG:poc_B 管理側 開発側
OU設計は AWSOrganizations 全体の核⼼
AWSOrganizationsの基本的なOU構成
組織で共有されるインフラサービス セキュリティ監査ログなど AWSOrganizationsの基本的なOU構成
AWSOrganizationsの基本的なOU構成 AWSのサービスを学んだり試したりするために利⽤ 社内ネットワークから切り離して構築 ⼀定の料⾦制限を設定して使いすぎを防⽌
AWSOrganizationsの基本的なOU構成 顧客向けアプリケーションや バックエンドプロセスなど
AWSOrganizationsの基本的なOU構成 SCPを利⽤して アカウント/OU全体に 禁⽌事項の設定 予防的統制
IAMユーザーは 作らない
AWSにおけるユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 アカウントの数だけ多重苦に陥ってしまう
AWSにおけるユーザー管理 踏み台からロールを切り替えて 各AWSアカウントの操作権限を取得 接続先のアカウントで付与される権限の管理は 各AWSアカウントのIAMで個別にロールを作成し メンテナンスする必要がある
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤ AWSSSOでマネージドに実現
AWSSSOならマネコンへのアクセスが楽
AWSSSOならCLIも便利
AWSSSOはいいぞ
的にこれでいくことにした
果 ユーザーはアカウントへのアクセスが楽になり アカウントの切り替えも便利になった アカウントに紐づくグループごとに権限設定& AWSSSOで⼀元管理できてアクセス権管理が楽 IdPからユーザとグループがプロビジョニングされて ユーザーのメンテナンスがめっちゃ楽
でやりたいこと ステージ別にSCPを割り当てて 組織として⼀定のセキュリティレベルを担保 ConfigでIAMユーザーの作成を監査& CloudTrailでIAMユーザーの使⽤を検知 監査ログを集約&活⽤ 結局ControlTowerってどうなん
アカウントはシステムの種類や環境別に分割して 開発者も管理者もみんなハッピー OU設計はAWSOrganizations全体設計の核⼼ 早い段階で⼊念な検討を推奨。 AWSSSOはいいぞ まとめ
アカウントとユーザーを 早い段階で整理することで、 セキュアで良質な ガードレールを整えて 最⾼のプロダクトを世の中へ (後編) (前編)
THANK YOU. ⼤ オフィス オフィス 〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル 〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル