Upgrade to Pro — share decks privately, control downloads, hide ads and more …

こんなに簡単!AWSマルチアカウント

 こんなに簡単!AWSマルチアカウント

AWS OrganizationsとIAM Identity Centerを使ったAWSマルチアカウントの入門編です。
登壇情報:https://jawsug-bgnr.connpass.com/event/310308/

AWS Organizations でマルチアカウント with Terraform
https://zenn.dev/teradatky/articles/aws-organizations-multi-account-terraform-20240119

IAM Identity Center でマルチアカウントでも楽々ログイン!
https://zenn.dev/teradatky/articles/iam-identity-center-multi-account-20240120

Takuya Terada

March 23, 2024
Tweet

More Decks by Takuya Terada

Other Decks in Technology

Transcript

  1. この LT でお伝えすること、しないこと 3 ✅ お伝えすること • AWS マルチアカウントのメリット /

    利⽤例 • AWS Organizations / アカウントのプロビジョニング (Terraform) • AWS IAM Identity Center による SSO (Single Sign-On) ❌ お伝えしないこと • マネジメントコンソールの具体的な設定⽅法 • Terraform コード / 実⾏環境や実⾏⽅法
  2. 詳しく知りたい! 4 以下の記事を参照ください。設定 / コード / 解説あります。 AWS Organizations でマルチアカウント

    with Terraform https://zenn.dev/teradatky/articles/aws-organizations-multi-account-terraform-20240119 IAM Identity Center でマルチアカウントでも楽々ログイン! https://zenn.dev/teradatky/articles/iam-identity-center-multi-account-20240120
  3. マルチアカウントのすすめ 6 個⼈で必要?メリットは? • AWS Organizations やマルチアカウント構成などが試せる • 既存設定やリソースによるトラブル防⽌ •

    ⽤途ごとの分離によりリソース⼀覧 / 利⽤率 / コスト等の⾒通し改善 • 不要リソース消し忘れ防⽌によるコスト低減 想定ユースケース • アカウントまたぎのワークロード検証 • ワークショップ / ハンズオン / 執筆作業 ごと使い捨て環境作成
  4. 作成後の対応 20 1. ブラウザで AWS にアクセスし「コンソールにサインイン」をクリック 2. 「ルートユーザー」を選択し、作成したアカウントのメールアドレスを⼊⼒し 「次へ」をクリック 3.

    「パスワードをお忘れですか?」を選択し、画像中の⽂字を回答し、「Eメールを 送信する」をクリック 4. 受領したメールからパスワードをリセット 5. リセットしたパスワードでルートユーザーとしてログインできることを確認
  5. AWS Control Tower を使ってもいいのでは? 22 もちろん可能です。ただし以下理由より、個⼈の AWS 環境では採⽤しませんでした。 • ランディングゾーンやカスタムコントロールの設定が

    Too Much • ⾃動作成される Audit / Log Archive アカウントが不要 • 素のアカウント / 組織を Terraform 管理したかった • Control Tower 有効化のために、既存の AWS Config / CloudTrail を Organizations から無効化する必要がある • ⼀度有効化すると簡単には廃⽌できなさそう (クラスメソッドさんやアンドパッドさんのブログを参照ください) Control Towerを廃⽌して東京リージョンで再有効化してみた ‒ 廃⽌編 https://dev.classmethod.jp/articles/decommission-control-tower/ AWS Control Tower 導⼊のために取り組んだこと https://tech.andpad.co.jp/entry/2022/11/24/100000
  6. IAM Identity Center 設定概要 24 SSO を利⽤するために、以下を設定 1. IAM Identity

    Center を管理アカウントで有効化 2. IAM Identity Center にユーザーを作成 3. IAM Identity Center にグループを作成 4. グループにユーザーを追加 5. 許可セットを作成 6. AWS アカウントにグループと許可セットを割り当て 7. インスタンス名‧アクセスポータルの URL など設定を編集(オプション)
  7. マルチアカウントのすすめ 34 💡 伝えたいこと Azure のリソースグループや Google Cloud のプロジェクトと⽐べると、AWS のマルチアカウントはハードルが⾼いように思いますが、やってみると意外

    とすんなり実施可能です。 AWS ではあらかじめアカウントを分割しておかなかったために⼤変なことに なっている案件が散⾒されます。まずマルチアカウントという戦略と導⼊の ⼿軽さが伝われば幸いです。