こんなに簡単！AWSマルチアカウント

Transcript

1. こんなに簡単！ AWS マルチアカウント 寺⽥ 卓⽮ (Takuya Terada)

2. はじめに 2

3. この LT でお伝えすること、しないこと 3 ✅ お伝えすること • AWS マルチアカウントのメリット /

   利⽤例 • AWS Organizations / アカウントのプロビジョニング (Terraform) • AWS IAM Identity Center による SSO (Single Sign-On) ❌ お伝えしないこと • マネジメントコンソールの具体的な設定⽅法 • Terraform コード / 実⾏環境や実⾏⽅法

4. 詳しく知りたい！ 4 以下の記事を参照ください。設定 / コード / 解説あります。 AWS Organizations でマルチアカウント

   with Terraform https://zenn.dev/teradatky/articles/aws-organizations-multi-account-terraform-20240119 IAM Identity Center でマルチアカウントでも楽々ログイン！ https://zenn.dev/teradatky/articles/iam-identity-center-multi-account-20240120

5. マルチアカウントのすすめ 5

6. マルチアカウントのすすめ 6 個⼈で必要？メリットは？ • AWS Organizations やマルチアカウント構成などが試せる • 既存設定やリソースによるトラブル防⽌ •

   ⽤途ごとの分離によりリソース⼀覧 / 利⽤率 / コスト等の⾒通し改善 • 不要リソース消し忘れ防⽌によるコスト低減 想定ユースケース • アカウントまたぎのワークロード検証 • ワークショップ / ハンズオン / 執筆作業 ごと使い捨て環境作成

7. マルチアカウント構成例 7 • 管理アカウント • 本番アカウント • 開発アカウント 新規アカウントは dev

   / prd OU 配下に追加していく

8. マルチアカウントでのログイン 8 IAM Identity Center を利⽤、ひとつの ID で 複数環境にログイン可能

9. 新規 AWS アカウント アカウント作成⼿順 概要 9

10. アカウント作成⼿順 概要 10 Terraform コードに必要なアカウント情報を記載して Apply する

11. 新規 AWS アカウント 作成例 11

12. 作成例 12

13. 作成例 13 ℹ メールエイリアスが便利！

14. 作成例 14 ℹ Terraform Cloud を利⽤

15. 作成例 15

16. 作成例 16

17. 作成例 17 マージすると AWS アカウントが作成され、メールが届く

18. 作成例 マネジメントコンソールの場合 18 AWS Organiztions の画⾯からクリックするだけ！

19. 作成例 マネジメントコンソールの場合 19

20. 作成後の対応 20 1. ブラウザで AWS にアクセスし「コンソールにサインイン」をクリック 2. 「ルートユーザー」を選択し、作成したアカウントのメールアドレスを⼊⼒し 「次へ」をクリック 3.

    「パスワードをお忘れですか？」を選択し、画像中の⽂字を回答し、「Eメールを 送信する」をクリック 4. 受領したメールからパスワードをリセット 5. リセットしたパスワードでルートユーザーとしてログインできることを確認

21. 閑話休題 21

22. AWS Control Tower を使ってもいいのでは？ 22 もちろん可能です。ただし以下理由より、個⼈の AWS 環境では採⽤しませんでした。 • ランディングゾーンやカスタムコントロールの設定が

    Too Much • ⾃動作成される Audit / Log Archive アカウントが不要 • 素のアカウント / 組織を Terraform 管理したかった • Control Tower 有効化のために、既存の AWS Config / CloudTrail を Organizations から無効化する必要がある • ⼀度有効化すると簡単には廃⽌できなさそう （クラスメソッドさんやアンドパッドさんのブログを参照ください） Control Towerを廃⽌して東京リージョンで再有効化してみた ‒ 廃⽌編 https://dev.classmethod.jp/articles/decommission-control-tower/ AWS Control Tower 導⼊のために取り組んだこと https://tech.andpad.co.jp/entry/2022/11/24/100000

23. IAM Identity Center 設定概要 23

24. IAM Identity Center 設定概要 24 SSO を利⽤するために、以下を設定 1. IAM Identity

    Center を管理アカウントで有効化 2. IAM Identity Center にユーザーを作成 3. IAM Identity Center にグループを作成 4. グループにユーザーを追加 5. 許可セットを作成 6. AWS アカウントにグループと許可セットを割り当て 7. インスタンス名‧アクセスポータルの URL など設定を編集（オプション）

25. IAM Identity Center 設定概要 25

26. IAM Identity Center 設定概要 26

27. IAM Identity Center 設定概要 27

28. IAM Identity Center 設定概要 28

29. IAM Identity Center による SSO 29

30. ログイン例 30

31. ログイン例 31

32. ログイン例 32

33. AWS マルチアカウント まとめ 33

34. マルチアカウントのすすめ 34 💡 伝えたいこと Azure のリソースグループや Google Cloud のプロジェクトと⽐べると、AWS のマルチアカウントはハードルが⾼いように思いますが、やってみると意外

    とすんなり実施可能です。 AWS ではあらかじめアカウントを分割しておかなかったために⼤変なことに なっている案件が散⾒されます。まずマルチアカウントという戦略と導⼊の ⼿軽さが伝われば幸いです。