Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Control Tower で マルチアカウント運用を試した話
Search
akita
March 27, 2024
Programming
0
69
AWS Control Tower で マルチアカウント運用を試した話
akita
March 27, 2024
Tweet
Share
More Decks by akita
See All by akita
CDKを活用した 大規模コンテナ移行 プロジェクトの紹介
yoyoyopg
0
420
AWSやJAWS-UGとの出会いを振り返る
yoyoyopg
1
380
CDK + ecspressoでお手軽コンテナ3分クッキング
yoyoyopg
0
870
Other Decks in Programming
See All in Programming
状態と共に暮らす:ステートフルへの挑戦
ypresto
1
630
AWS で実現する安全な AI エージェントの作り方 〜 Bedrock Engineer の実装例を添えて 〜 / how-to-build-secure-ai-agents
gawa
8
820
Cursor/Devin全社導入の理想と現実
saitoryc
2
510
Deoptimization: How YJIT Speeds Up Ruby by Slowing Down / RubyKaigi 2025
k0kubun
0
850
gen_statem - OTP's Unsung Hero
whatyouhide
1
200
Amazon CloudWatchの地味だけど強力な機能紹介!
itotsum
0
170
API for docs
soutaro
2
1.3k
Dissecting and Reconstructing Ruby Syntactic Structures
ydah
0
720
DataStoreをテストする
mkeeda
0
290
監視 やばい
syossan27
9
8k
On-the-fly Suggestions of Rewriting Method Deprecations
ohbarye
1
2.4k
RuboCop: Modularity and AST Insights
koic
2
1.2k
Featured
See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
390
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
30k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
A Tale of Four Properties
chriscoyier
158
23k
How to Ace a Technical Interview
jacobian
276
23k
Why Our Code Smells
bkeepers
PRO
336
57k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
Writing Fast Ruby
sferik
628
61k
Bash Introduction
62gerente
611
210k
Designing for humans not robots
tammielis
252
25k
Transcript
社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話
• あきた(@yoyoyo_pg) • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用
• 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2
3 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい
4 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能
5 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能
6 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能
7 🤔…?
8 順に解説していきます
9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control
Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化
10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 •
AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している • これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している
11 統合サービスの紹介(一部) • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能
• AWS Service Catalog ◦ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能
12 コントロール • Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応
• Control Tower に関する物は必須コントロールとして デフォルトで有効化されている
13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理
◦ ポリシーに非準拠のリソースを検出する ◦ AWS Config ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現
14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕 組み
• Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に
15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる • これにより、ユーザは各アカウントに対するシングル
サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)
16 まとめ • 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います • とはいえ、マルチアカウント運用に関する
AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります