Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
Search
sumi
February 25, 2021
Business
4
3.4k
スタートアップがAWSを使う時にやりたいこと(アカウントとユーザー管理編)
sumi
February 25, 2021
Tweet
Share
More Decks by sumi
See All by sumi
#ITsurf2023 急成長企業を支えるコスト最適化
sumi
0
200
JAWS-UG 情シス / AWS Sandbox環境の運用と管理
sumi
1
1.5k
#oViceFest 2022 Spring 「oViceが定着しない…を解消するためにやってみたこと」
sumi
0
480
AWS Cloud Oprations Services 全部?もり
sumi
1
460
サメがくれたもの〜わたしのシンデレラ・ストーリー〜 ssmjp-18
sumi
0
440
AWSピタゴラ(ひとり)選手権 / Let's Play and Learn by Chaining the Launch of AWS Services
sumi
1
1.8k
JAWS-UG朝会 #20 無料で使えるCloudEndureでお金を溶かした話
sumi
1
1.3k
組織におけるAWSのアカウント管理とコスト管理
sumi
17
9.8k
運命の出会いは転職ドラフトで
sumi
1
410
Other Decks in Business
See All in Business
【会社紹介資料】イー・フォース株式会社_2025年7月
eforce
0
120
Talk to Someone At Expedia™️ USA Contact Numbers
expediacareteam
0
110
俺と生成エイアイ -生成エイアイの書いたコードで儲かるのか-
pharaohkj
0
120
LayerXって「クール」で「スマート」で「冷たい」の?_maru
maruichi
0
230
PLAID ALPHAらしさ
plaid
PRO
0
220
enechain company deck
enechain
PRO
9
130k
計画と曖昧さ
mosa_siru
10
5.7k
テオリア・テクノロジーズ:About Us
theoriatec2024
1
30k
Agentic AI による新時代の IBP (Intelligent Business Planning)
mickey_kubo
1
120
株式会社Domuz会社紹介資料(採用)
kimpachi_d
0
37k
事業成長に寄与する ソフトウェアをつくる
kuranuki
0
430
Meet_SYNTHESIS_July2025.pdf
minateramoto
PRO
0
140
Featured
See All Featured
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
21
1.4k
Optimising Largest Contentful Paint
csswizardry
37
3.4k
Intergalactic Javascript Robots from Outer Space
tanoku
272
27k
We Have a Design System, Now What?
morganepeng
53
7.7k
StorybookのUI Testing Handbookを読んだ
zakiyama
30
6k
Six Lessons from altMBA
skipperchong
28
3.9k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1k
Statistics for Hackers
jakevdp
799
220k
Making Projects Easy
brettharned
117
6.3k
Making the Leap to Tech Lead
cromwellryan
134
9.5k
Why You Should Never Use an ORM
jnunemaker
PRO
58
9.5k
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
Transcript
スタートアップこそ AWSアカウントを ええ感じに管理しよ! AWS Startup Tech Meetup Online #2
1988年⽣まれ∕⼤阪府出⾝ webエンジニア、情シス、CSIRTを経て 現在株式会社オークンで情シスのお姉さんをし てます。好きなAWSサービスは、GuardDuty, AWSOrganizations,AWSSSO O-KUN, Inc. Business IT SUMI
SHIOMI suemin_jp
社名:株式会社オークン 代表:⼭下 亮 設⽴:2015年3⽉ 従業員:26名(2021年2⽉時点) 事業内容: ファンド向け⾦融商品開発 Webサービス開発 ソフトウェア開発 など
素晴らしいプロダクトを 世の中に出したい ⽇のおはなし 情シスとして⼤事にしていること
最⾼のプロダクトにするために エンジニアがプロダクト開発に 全集中できる環境を整える 情シスとして⼤事にしていること
組織でAWSを 利⽤するってなったら やっておきたいこと アカウントとユーザーの管理編
組織でAWSを 利⽤する上で 避けられない問題
マルチアカウント 管理
None
マルチ アカウントの ベスト プラクティス
⽤: AWS におけるマルチアカウント 理の⼿ とベストプラクティス https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
スタートアップで 最初からこれが 考慮されているか
アイデアに 気づく 仲間を 集める プロトタイプ つくる ローンチ する
理想
現 もしくはOrganizations で 理されていない場 も。 とりあえず まとめるために つかってみた
この状 のまま が⼤きくなると 何が きるか
アカウント SCP もいい じにあてられん…
件A prod 件B dev / stg なんかよく わかんない やつ 件B
prod ⽤ 件 アカウントの⽬的が ⾏ 不 件C dev Account - A Accout - B Account - C この 件のリソースは どのアカウントなんだぁぁぁぁぁ 件別に まとめるのが ⼤ だぁぁぁぁ さらに
開発効率
こうなると Organizationsを 再設計し直すのは めっちゃしんどい
None
ユーザー 理 の 題 それに えて
やりがちなユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 ID + Pass +
MFA ID + Pass + MFA ID + Pass + MFA
パスワードポリシーが 超 めんどくさい パスワードポリシーが超 しい 半⾓英⼩ 半⾓英⼤ 半⾓ 20 桁
上 使い回し禁⽌ さらにMFA 制 これがアカウントごとに。。
した の IAM ユーザの アクセスキー が プログラムの中で使われていた したA さんの IAM
ユーザを消したら プログラムが動かなく なっちゃったんだよね〜 えー まじっすかー 開発 情シス
開発どころじゃない
None
アカウントとユーザーは ちゃんと 理した がいい
⼩ 模なうちなら いい じに えやすい
に何を やっておくべきなのか について えてみた そうならない ために...
AWSアカウントは ⽬的別に作成する
ガバナンス 課⾦ 組織 運⽤ 本番環境と⾮本番環境を管理するメンバーとで 明確な権限の分離 環境間におけるセキュリティ対策の分離が可能 アカウント毎に明確な課⾦管理ができる アカウントの請求をまとめられる 案件や部⾨などの業務ユニットごとにアカウン
トを払い出して独⾃のポリシーで運⽤ができる 特定のアカウントへ権限を委譲することも可能 構成変更時の影響範囲のを⼩さくする リソースの上限を気にせず利⽤できる AWSアカウント分割のポイント
TAG:dev TAG:poc_A TAG:verify TAG:pj_A TAG:dev TAG:pj_B TAG:verify TAG:poc_B 管理側 開発側
OU設計は AWSOrganizations 全体の核⼼
AWSOrganizationsの基本的なOU構成
組織で共有されるインフラサービス セキュリティ監査ログなど AWSOrganizationsの基本的なOU構成
AWSOrganizationsの基本的なOU構成 AWSのサービスを学んだり試したりするために利⽤ 社内ネットワークから切り離して構築 ⼀定の料⾦制限を設定して使いすぎを防⽌
AWSOrganizationsの基本的なOU構成 顧客向けアプリケーションや バックエンドプロセスなど
AWSOrganizationsの基本的なOU構成 SCPを利⽤して アカウント/OU全体に 禁⽌事項の設定 予防的統制
IAMユーザーは 作らない
AWSにおけるユーザー管理 1⼈の利⽤者に対して、 IAMユーザを各アカウントに個別に作成 パスワードを覚えるのが⾯倒 MFAも⾯倒 IDの棚卸しも⾯倒 アカウントの数だけ多重苦に陥ってしまう
AWSにおけるユーザー管理 踏み台からロールを切り替えて 各AWSアカウントの操作権限を取得 接続先のアカウントで付与される権限の管理は 各AWSアカウントのIAMで個別にロールを作成し メンテナンスする必要がある
AWSにおけるユーザー管理 せっかくなのでOrganizationsを活⽤ AWSSSOでマネージドに実現
AWSSSOならマネコンへのアクセスが楽
AWSSSOならCLIも便利
AWSSSOはいいぞ
的にこれでいくことにした
果 ユーザーはアカウントへのアクセスが楽になり アカウントの切り替えも便利になった アカウントに紐づくグループごとに権限設定& AWSSSOで⼀元管理できてアクセス権管理が楽 IdPからユーザとグループがプロビジョニングされて ユーザーのメンテナンスがめっちゃ楽
でやりたいこと ステージ別にSCPを割り当てて 組織として⼀定のセキュリティレベルを担保 ConfigでIAMユーザーの作成を監査& CloudTrailでIAMユーザーの使⽤を検知 監査ログを集約&活⽤ 結局ControlTowerってどうなん
アカウントはシステムの種類や環境別に分割して 開発者も管理者もみんなハッピー OU設計はAWSOrganizations全体設計の核⼼ 早い段階で⼊念な検討を推奨。 AWSSSOはいいぞ まとめ
アカウントとユーザーを 早い段階で整理することで、 セキュアで良質な ガードレールを整えて 最⾼のプロダクトを世の中へ (後編) (前編)
THANK YOU. ⼤ オフィス オフィス 〒541-0043⼤阪府⼤阪市中央区⾼麗橋4-5-2⾼麗橋ウエストビル 〒812-0016福岡県福岡市博多区博多駅南1-4-18博多シティアークビル