Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Tower で マルチアカウント運用を試した話

Avatar for akita akita
March 27, 2024
Programming
0
70

AWS Control Tower で マルチアカウント運用を試した話

Avatar for akita

akita

March 27, 2024
Tweet

More Decks by akita

See All by akita
CDKを活用した 大規模コンテナ移行 プロジェクトの紹介
Avatar for akita yoyoyopg
0
440
AWSやJAWS-UGとの出会いを振り返る
Avatar for akita yoyoyopg
1
380
CDK + ecspressoでお手軽コンテナ3分クッキング
Avatar for akita yoyoyopg
0
890

Other Decks in Programming

See All in Programming
Blueskyのプラグインを作ってみた
Avatar for Hakkadaikon hakkadaikon
1
110
AIコーディングの本質は“コード“ではなく“構造“だった / The essence of AI coding is not “code” but "structure
Avatar for shiro seike seike460
PRO
2
680
生成AI時代のフルスタック開発
Avatar for Kenn Ejima kenn
9
2k
ts-morph実践:型を利用するcodemodのテクニック
Avatar for ypresto ypresto
1
480
當開發遇上包裝: AI 如何讓產品從想法變成商品
Avatar for Caesar Chi clonn
0
110
【TSkaigi 2025】これは型破り?型安全? 真実はいつもひとつ!(じゃないかもしれない)TypeScript クイズ〜〜〜〜!!!!!
Avatar for Kimita Shoichi kimitashoichi
1
280
私のRubyKaigi 2025 Kaigi Effect / My RubyKaigi 2025 Kaigi Effect
Avatar for chobishiba chobishiba
1
200
AWS診断200件の分析から見る頻出指摘と対策
Avatar for odagiri shoodagiri
0
110
Agent Rules as Domain Parser
Avatar for Yoda Keisuke yodakeisuke
1
170
〜可視化からアクセス制御まで〜 BigQuery×Looker Studioで コスト管理とデータソース認証制御する方法
Avatar for CUEBiC Inc. cuebic9bic
0
210
tsconfigのオプションで変わる型世界
Avatar for Keisuke Ikeda keisukeikeda
1
110
Design Pressure
Avatar for Hynek Schlawack hynek
0
1.4k

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
137
6.9k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
46
14k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
53
11k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
329
24k
It's Worth the Effort
Avatar for 3n 3n
184
28k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
172
14k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
14
1.5k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
299
50k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
30
2.4k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
523
40k

Transcript

  1. 社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話

  2. • あきた(@yoyoyo_pg) • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用

    • 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2

  3. 3 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい

  4. 4 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能

  5. 5 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能

  6. 6 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能

  7. 7 🤔…?

  8. 8 順に解説していきます

  9. 9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control

    Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化

  10. 10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 •

    AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している • これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している

  11. 11 統合サービスの紹介(一部) • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能

    • AWS Service Catalog ◦ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能

  12. 12 コントロール • Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応

    • Control Tower に関する物は必須コントロールとして デフォルトで有効化されている

  13. 13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理

    ◦ ポリシーに非準拠のリソースを検出する ◦ AWS Config ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現

  14. 14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕 組み

    • Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に

  15. 15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる • これにより、ユーザは各アカウントに対するシングル

    サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)

  16. 16 まとめ • 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います • とはいえ、マルチアカウント運用に関する

    AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります