AWS Organizationsありなしパターン別AWSのマルチアカウント管理Tips

Transcript

1. AWS Organizationsありなしパターン別 
 AWSのマルチアカウント管理Tips 
 クラスメソッド株式会社 AWS事業本部コンサルティング部
 
 菊池　聡規
 1

2. スライドは後で入手することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター音が出ないようにご配慮ください

3. 3 自己紹介 • 【名前】 菊池 聡規 • 【所属】 AWS 事業本部

   コンサルティング部 • 【キャリア】 金融機関向けオンプレのインフラエンジニア１０年ほど→ 自社Webサービスをもつ企業で３年ほど→ クラスメソッドにジョイン • 【Blog】 https://dev.classmethod.jp/author/tooti/ • 【好きな技術】 コンテナ、Terraform、GitHub Actions, Amazon EventBridge, AWS Step Functions

4. 4 AWSを使う上での悩み こんなお悩みありませんか？

5. 5 よくある課題：混在するシステム • システムが１AWSアカウントに混在

6. 6 よくある課題：権限分割ができてない • 本番環境、誰でも触れちゃう問題

7. 7 これらの課題を解決するには マルチアカウント運用だ！

8. 8 マルチアカウント運用の課題 • マルチアカウントで運用すると今度はマルチアカウントならではの悩み が・・・ ◦ 各AWSアカウントへのログインと権限管理 ◦ AWSアカウントのベース設定の統一 ◦

   モニタリング、ログ、リソース等の情報集約 ◦ どうやって各AWSアカウントにルールを敷くか（ガバナンス） ◦ AWSアカウント分割方針 ◦ 各アカウント間のネットワーク接続 ・・・などなど

9. 9 今日はこれらマルチアカウントのお悩み解決の ヒントになる Tipsをお伝え

10. 10 でもAWS Organizations前提なんでしょ？

11. 11 AWS Organizations使用してる場合と そうじゃない場合、 ２パターンでお伝えします！

12. 12 各AWSアカウントへのログインと権限管理 • マルチアカウントでのID管理の課題 IDの統合をする必要がある

13. 13 AWS Organizationsを使わないパターン • Jumpアカウントを使ってログイン ※DevelopersIO：マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた の図を元に一部改変 ➔ この方式の課題点

    ◆ 利用者観点 • AWSアカウント範囲でしかIDが統合できてない • スイッチ先AWSアカウント等を各ユーザで管理 ◆ 管理者観点 • AWSアカウントごとのIAM作成変更

14. 14 AWS Organizationsを使わないパターン • 外部IDプロバイダーを使ってログイン ➔ この方式の課題点 ◆ 利用者観点 •

    AWS CLI使用に一工夫必要 ◆ 管理者観点 • AWSアカウントごとのIAM作成変更 • AWSアカウントごとにIdPとの信頼 関係を結ぶ必要あり ※DevelopersIO：マルチアカウントな AWS環境のマネジメントコンソールへのアクセス方法をまとめてみた の図を元に一部改変

15. 15 AWS Organizationsを使うと • 外部IDプロバイダーのIDを使ってIAM Identity Centerでログイン ➔ 便利になる点 ◆

    利用者観点 • 普段使っているIDでログイン • AWS CLIサポート ◆ 管理者観点 • 各AWSアカウントへのIAMロール の作成・変更が不要 ➔ 設計が必要なポイント ◆ 許可セットの権限設計 ◆ ユーザ、アカウント、許可セットの関連 付け

16. 16 AWSアカウントのベース設定の統一 • マルチアカウントでの各AWSアカウント設定の課題 ➔ 以下のような設定は各アカウントで合わせておきたい（一例） • Amazon GuardDuty設定 •

    AWS Security Hub設定 • AWS CloudTrail設定 • AWS Config設定 • Amazon S3ブロックパブリックアクセス AWSアカウント作成 時に毎回初期設定 する必要がある • Amazon Detective設定 • VPC設定 • AWS Resource Access Manager • AWS Backup設定 設定変更の検知 ・ 設定変更防止

17. ◦ Baseline Environment on AWS ▪ AWSが公開しているAWSにおけるセキュリティのベストプラクティ スに沿った設定をデプロイするためのCDKコード ▪ ご参考：AWS環境にセキュアなベースラインを提供するテンプレート「Baseline

    Environment on AWS」のご紹介 17 AWS Organizationsを使わないパターン • AWSアカウント作成時の初期設定 ◦ IaCを使用してベースライン設定を構築 ▪ AWSアカウント新規作成時にAWS CloudFormationやTerraform を手動実行 ▪ ただしAWS CloudFormationでサポートされていないような設定も ある（AWS Security Hubのメンバーアカウント招待等） • 自作スクリプト等 で対応する必要あり

18. 18 AWS Organizationsを使わないパターン • 設定変更の検知 ◦ AWS Security Hub： ▪

    AWSアカウント内の危険なAWSリソース設定を監視 ◦ AWS Config： ▪ AWSアカウント内の各リソースの設定変更履歴を保持 ▪ 設定変更内容を評価して通知等することも可能 ◦ どちらも非AWS Organizations環境でも、一つの管理用AWSアカウ ントに情報集約することは可能 ➔ 課題点 ◆ 新規作成AWSアカウントごとに 有効化や招待等の設定をする必 要がある

19. 19 AWS Organizationsを使わないパターン • セキュアアカウント（弊社独自サービス） ◦ アカウント払い出し時 に以下のような主要なベースライン設定を実施 ▪ Amazon

    GuardDuty有効化 ▪ AWS Security Hub有効化 ▪ AWS CloudTrail有効化 ▪ AWS Config有効化 等々

20. 20 AWS Organizationsを使うと 組織・OU単位で初 期設定を統一 組織・OU単位で設 定変更の検知や防 止を設定 組織という単位 で設

    定ができるように OUという単位 で設 定ができるように

21. 21 AWS Organizationsを使うと • AWS Organizations連携サービスによる組織単位の設定 ◦ 組織のメンバーアカウントとしてAWSアカウントを作成すれば自動で 有効化や招待を実行 ◦

    AWS Security Hubや Amazon GuardDutyなど多数のAWSサービ スに対応

22. 22 カスタムのベースライン設定を行うときの選択肢 項目 IaC種類 AWS Control Tower要否 参考URL 備考 AWS

    CloudFormationSt acksets CloudFormation （CDKで記述するこ とも可能） 不要 https://dev.classmethod .jp/articles/baseline-aut o-deploy-by-cfn-stacks ets/ OU参加時に自動 で実行できる AWS Control Towerのカスタマイ ズ CloudFormationと 設定用yaml 必要 https://dev.classmethod .jp/articles/customizatio ns-for-control-tower/ Account Factory For Terraform Terraform 必要 https://dev.classmethod .jp/articles/ct-account-fa ctory-for-terraform/ Account Factory Customization Service Catalog(CloudFor mation) 必要 https://dev.classmethod .jp/articles/control-tower -account-factory-custo mization/ Baseline Environment on AWS CDK マルチアカウント版 の場合、必要 https://github.com/aws- samples/baseline-envir onment-on-aws/blob/m ain/README_ja.md

23. 23 AWS Organizationsを使うと • AWS Control Tower ◦ AWSアカウント作成時：組織に追加されるAWSアカウントを対象にロ グ集約を自動設定

    ◦ 設定変更検知・防止：SCPで変更防止が可能に。組織やOU単位で AWS Confingのルールが簡単に適用可能 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編 より引用

24. 24 マルチアカウントいいね 😀 ってなりましたよね？

25. 25 AWS Organizationsに興味が出てきたという方

26. 26 AWS請求代行サービス（組織管理プランv2） 組織管理プラン v2のポイント • 2024/4より開始した新プラン、従来より更に割引率UP • AWS Organizationsの他、AWS Control

    Towerも使用可能※１ ※１　詳細については 弊社サイトにてご確認頂くか、弊社サイトのお問い合わせページよりお問い合わせください。 ※１ 中国リージョン、GovCloudは除きます。AWS Marketplaceなど一部のサービスは対象外となります。 AWS全サービス・全リージョン利用料 一律4%OFF 組織管理プランv2

27. 27 マルチアカウントにしたい、 でもどこから手をつけたらいいか・・・ という方

28. 28 事例紹介（塩野義製薬株式会社 様） • 一定のセキュリティレベルを担保しつ柔軟性の高いAWS環境 を構築
 • 社内インフラを有効活用したネットワーク構成、ユーザ管理体制 
 •

    組織的なAWS運用体制を構築 。クラスメソッドはチームで支援 
 • 社内の複数の部署で契約したAWSアカウントが点在 
 • 分散管理によってBCP、セキュリティリスクを懸念 
 • 属人的な管理体制からAWS運用の社内リソースが不足 
 マルチアカウントご支援ポイント • 塩野義製薬全体のAWSアカウントを横断す るセキュリティ監視の一元化 • IAM Identity Centerを使って組織的なア カウントの一元管理と権限分割を実現 お客様の声 「既存の運用や構成を考慮して変更したいも のや追加したい要件・要望などをこちらから 伝え、その都度柔軟に応えていただけまし た。要望を伝えたあとのレスポンスの速さに も驚きましたね。IAMポリシーに関しても丁 寧に教えていただいたことで細かく作り込む ことができました。満足のいくものになり、 大変感謝しております」 before after

29. 29 事例紹介（株式会社アイスタイル 様） • AWSのベストプラクティスに沿った構成 を設計・構築
 • 3カ月でマルチアカウント構成やオンプレミスとのネットワーク接続等を実現 
 •

    TerraformによるIaC化でインフラ構築・運用やアカウント設定を自動化 • AWS移行のファーストステップとなる共通基盤の設計・構築ノウハウが欲し い
 • AWSへの早期移行に向けて短期間で共通基盤を構築したい 
 • インフラ構築・運用の負荷を軽減したい マルチアカウントご支援ポイント • AWS Control Towerによるマルチアカウン ト構成設計・構築 • AWS IAM Identity Centerによるユーザー 管理設計・構築 • AWS Transit Gatewayによるオンプレミス 環境とのネットワーク接続設計・構築 お客様の声 「内製開発を中心に進めていたものの、内部 のエンジニアだけでは判断できないことも多 く、折に触れてレビューをいただいたり、的 確な助言をいただいたりできたことは、自信 を持って前に進むうえでも心強い味方となり ました。トラブルシューティングや、最新技 術の調査においてもクラスメソッドからの知 見の提供によって乗り切ることができまし た」 before after

30. 30 自分たちで頑張ってみるぞ！ という方

31. 31 Classmethod Cloud Guidebook • マルチアカウント関連ナレッジの他にもAWSガイドラインサンプル等、様々なコンテンツを 掲載 AWS活用のノウハウが詰まったナレッジ集 クラスメソッドの「 AWS請求代行」をご利用の御客様に無料公開

    例
 例


32. 32