Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Organizations 新機能!マルチパーティ承認の紹介
Search
yhana
July 02, 2025
Technology
1.4k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS Organizations 新機能!マルチパーティ承認の紹介
yhana
July 02, 2025
More Decks by yhana
See All by yhana
AWS Organizations 経験者向けAzure ガバナンス速習
yhana
0
29
20250903_1つのAWSアカウントに複数システムがある環境におけるアクセス制御をABACで実現.pdf
yhana
3
1.4k
AWS re:Invent 2024 ふりかえり勉強会
yhana
0
1.2k
AWS IAM Identity Center を使わないマルチアカウントのユーザー管理
yhana
2
4.7k
Guard を利用した AWS Config ルール
yhana
0
1.2k
組織的なクラウド統制のはじめの一歩_20240529
yhana
0
1.2k
Azureの基本的な権限管理の勉強会
yhana
1
6.8k
組織的なクラウド統制のはじめの一歩
yhana
0
2.4k
失敗例から学ぶAWSセキュリティサービスの導入
yhana
1
15k
Other Decks in Technology
See All in Technology
【2026年版】 ベクトル検索とEmbedding最前線
mocobeta
23
7.5k
徹底討論!ECS vs EKS!
daitak
3
1.7k
時期が悪い!それでもRaspberry Piを買って遊んで活用するには / 20260627-osc26do-rpi-jikigawarui
akkiesoft
0
800
AWS Security Hub CSPMの成功・失敗体験
cmusudakeisuke
0
540
新しいUbuntu/GNOMEが使いたいからXからWaylandへ移行頑張ってるの巻 2026-06-20
nobutomurata
0
160
Microsoft のサポートとフィードバック総まとめ
murachiakira
PRO
0
110
AI-DLCを “そのまま導入しなかった”話 ~組織に合わせてアジャストした 私たちの実践共有~
hiroramos4
PRO
1
420
“詰む”前に仕組みを作れ 〜技術の波に溺れないためのキャッチアップ術〜
takasyou
7
3.7k
フィジカル版Github Onshapeの紹介
shiba_8ro
0
320
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
330
AIネイティブな開発のサプライチェーンリスク対策 〜激動の開発現場でリスクに立ち向かう〜【ZennFes】
cscengineer
PRO
2
160
飲食店もAIで。レジ締めやハンディシステムをつくってる話 / Using AI for restaurant management
vtryo
0
160
Featured
See All Featured
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
Tell your own story through comics
letsgokoyo
1
960
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
850
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.9k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
250
Abbi's Birthday
coloredviolet
3
8.2k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
Reality Check: Gamification 10 Years Later
codingconduct
0
2.2k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
1
260
HDC tutorial
michielstock
2
720
Building Experiences: Design Systems, User Experience, and Full Site Editing
marktimemedia
0
540
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
62
44k
Transcript
AWS Organizations 新機能!マルチパーティ承認の紹介 2025.7.2 クラスメソッド クラウド事業本部 yhana
発表の流れ 2 ⚫ AWS Organizations のマルチパーティ承認とは ⚫ AWS Backup 論理エアギャップボールト操作のマルチパーティ承認設定の流れ
AWS Organizations のマルチパーティ承認とは
マルチパーティ承認(Multi-party Approval)とは 4 複数のメンバーによる承認プロセスを提供する仕組み 例)3 名のうち、2 名の承認により特定のアクションを許可
マルチパーティ承認(Multi-party Approval)とは 5 AWS IAM Identity Center ユーザーを用いてチームを作成して、最低限必要な承認を定義 チームのメンバーがアクセスできる「マルチパーティ承認ポータル」サイトが提供 マルチパーティ承認チームの作成
+ 最低限必要な承認数の定義 承認は専用のポータルサイトで実施
マルチパーティ承認がサポートする操作 6 マルチパーティ承認機能は他サービスの特定のオペレーションと組み合わせて利用され、 2025年7月2日時点で「AWS Backup の論理エアギャップボールトの操作」のサポートのみ 参照元:What is Multi-party approval?
- Multi-party approval
論理エアギャップボールト(Logically air-gapped vault)とは 7 論理エアギャップボールト(Logically air-gapped vault)の特徴 ⚫ ボールトロック(コンプライアンスモード)が自動的に適用 ⚫
暗号化キーを AWS が管理 ⚫ 標準のボールトからのコピー先として利用 ⚫ RAM で他のアカウントに共有可能 コピー
AWS Backup のマルチパーティ承認 8 AWS Backup のマルチパーティ承認を利用して他の AWS アカウントで復元する場合の例 標準
ボールト のみ 論理エア ギャップ ボールト + マルチ パーティ 承認 ①承認 ②復元用 ボールト作成 ③アクセス
AWS Backup のマルチパーティ承認 9 ただし、これまでも AWS Resource Access Manager (RAM)
による共有は可能 論理エア ギャップ ボールト + マルチ パーティ 承認 論理エア ギャップ ボールト + RAM
マルチパーティ承認(Multi-party Approval)の活用シーン 10 マルチパーティ承認が適している場合の例 ⚫ 「Never Trust, Always Verify.」というゼロトラスト原則に従う場合 ⚫
分散型の意思決定が必要な場合 ⚫ 意図しない操作から保護する必要 ⚫ 監査やコンプライアンスの理由から承認とレビューが必要な場合 マルチパーティ承認が最良の選択肢ではない場合の例 ⚫ AWS Organizations, AWS IAM Identity Center が利用できない場合 ⚫ 即時実行が必要な場合 ⚫ 承認ワークフローの管理稼働がリスクに見合わない場合 参照元:What is Multi-party approval? - Multi-party approval
【参考】標準ボールトと論理エアギャップボールトの比較表 11 標準ボールトと論理エアギャップボールトとの違いはユーザーガイドに比較表が掲載されている 参照元:Logically air-gapped vault - AWS Backup
【参考】承認履歴 12 マルチパーティ承認ポータルで確認できる承認履歴では、オペレーション毎の履歴を閲覧でき、 リクエストの最終的な結果と自身の承認履歴などを確認可能
AWS Backup 論理エアギャップボールト操作の マルチパーティ承認設定の流れ
マルチパーティ承認による AWS Backup 利用の流れ 14 設定の流れ ① 管理アカウントの AWS Organizations
で、マルチパーティ承認のチームを作成 ② 管理アカウントの RAM で、マルチパーティ承認のチームを共有 ③ 管理アカウントの AWS Backup で、複数当事者による承認の統合をオン ④ ワークロードアカウントの AWS Backup で、論理エアギャップボールトを作成 ⑤ ワークロードアカウントの AWS Backup で、論理エアギャップボールトとマルチパーティ承認のチームを 関連付け 復元の流れ ⑥ 復旧アカウントの AWS Backup で、マルチパーティ承認のチームに復元アクセスバックアップボールトの 作成をリクエスト ⑦ マルチパーティ承認のチームがリクエストを承認 ⑧ 復旧アカウントの AWS Backup で、復元アクセスバックアップボールトから復元
AWS Backup 操作のマルチパーティ承認利用の設定イメージ図 15
① マルチパーティ承認のチームを作成 16
① マルチパーティ承認のチームを作成 17 AWS IAM Identity Center のユーザーを承認者として指定し、最小限必要な承認人数を設定する
① マルチパーティ承認のチームを作成 18 承認者として指定されたユーザーは、マルチパーティ承認ポータルにアクセスして招待を承諾 マルチパーティ承認のリソースはバージニア北部に自動作成 AWS IAM Identity Center で利用する
AWS Access Portal とは異なるポータル
② マルチパーティ承認のチームを共有 19
② マルチパーティ承認のチームを共有 20 マルチパーティ承認のリソースがあるバージニア北部リージョンの Resource Access Manager (RAM) で、 「Multi-Party
Approval Team」を指定してリソースを共有
② マルチパーティ承認のチームを共有 21 論理エアギャップボールトのあるアカウントと復旧アカウントに対して共有 下図は AWS Organizations 組織内の共有例だが、組織外のアカウントにも共有可能
③ AWS Backup の複数当事者による承認の統合をオン 22
③ AWS Backup の複数当事者による承認の統合をオン 23 管理アカウントの AWS Backup の「設定」において、 「クロスアカウント管理」の「複数当事者による承認の統合」設定をオンにする
④ AWS Backup の論理エアギャップボールトを作成 24
④ AWS Backup の論理エアギャップボールトを作成 25 論理エアギャップボールトを作成して、標準ボールトのバックアップルールのコピー先として指定 論理エアギャップボールトを作成 標準ボールト内のバックアップルールのコピー先として 論理エアギャップボールトを指定
⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 26
⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 27 作成した論理エアギャップボールトにおいて、「承認チームを割り当て」からマルチパーティ承認 チームを関連付ける。RAM で共有されているチームを選択できる
⑤ 論理エアギャップボールトとマルチパーティ承認のチームを関連付け 28 【参考情報】関連付けたマルチパーティ承認チームを変更・削除するときもチームの承認が必要
29 ⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認
⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 30 バックアップから復元したいアカウントの AWS Backup において、「ボールトアクセスをリクエスト」 で論理エアギャップボールトの ARN を指定して承認依頼をリクエスト
⑥⑦ 復元アクセスバックアップボールトの作成をリクエスト・承認 31 マルチパーティ承認チームのメンバーは、リクエストを確認して「承認」か「拒否」を判断 事前定義した必要最小数の承認があれば、復元できるボールトがアクティブ化 マルチパーティ承認ポータルのリクエスト確認画面 最低限必要の承認により復元可能状態に 承認後
⑧ 復元アクセスバックアップボールトから復元 32
⑧ 復元アクセスバックアップボールトから復元 33 「複数当事者の承認により保管後にアクセス可能」タブのボールドにおいて、復旧ポイントを指 定して「復元」
⑧ 復元アクセスバックアップボールトから復元 34 【参考情報】復元するときに EBS の暗号化を有効化していない場合は復元が失敗しました KMS キーを作成して EBS 暗号化のキーとして指定することで復元できました
さいごに改めて、 AWS Organizations のマルチパーティ承認について
マルチパーティ承認(Multi-party Approval)について 36 ⚫ 分散型の承認プロセスを提供する機能 ⚫ 現在のサポートは AWS Backup 論理エアギャップボールトの操作のみサポート
⚫ 月次レポート機能も提供 ⚫ 今後の統合サービスの拡充に期待! 月次チームレポート 図の引用元:Team health for Multi-party approval - Multi-party approval
None