Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Control Tower で マルチアカウント運用を試した話

Avatar for akita akita
March 27, 2024
Programming
0
73

AWS Control Tower で マルチアカウント運用を試した話

Avatar for akita

akita

March 27, 2024
Tweet

More Decks by akita

See All by akita
CDKを活用した 大規模コンテナ移行 プロジェクトの紹介
Avatar for akita yoyoyopg
0
450
AWSやJAWS-UGとの出会いを振り返る
Avatar for akita yoyoyopg
1
380
CDK + ecspressoでお手軽コンテナ3分クッキング
Avatar for akita yoyoyopg
0
920

Other Decks in Programming

See All in Programming
Create a website using Spatial Web
Avatar for Akio Itaya akkeylab
0
310
エラーって何種類あるの?
Avatar for Takuma Kajikawa kajitack
5
310
なぜ「共通化」を考え、失敗を繰り返すのか
Avatar for Rinchoku rinchoku
1
560
Go1.25からのGOMAXPROCS
Avatar for kuro kuro_kurorrr
1
810
今ならAmazon ECSのサービス間通信をどう選ぶか / Selection of ECS Interservice Communication 2025
Avatar for Tetsuya Kikuchi tkikuc
20
3.7k
5つのアンチパターンから学ぶLT設計
Avatar for Narihara narihara
1
120
Cline指示通りに動かない? AI小説エージェントで学ぶ指示書の書き方と自動アップデートの仕組み
Avatar for 葦沢かもめ kamomeashizawa
1
580
#kanrk08 / 公開版 PicoRubyとマイコンでの自作トレーニング計測装置を用いたワークアウトの理想と現実
Avatar for bash0C7 bash0c7
1
530
Kotlin エンジニアへ送る:Swift 案件に参加させられる日に備えて~似てるけど色々違う Swift の仕様 / from Kotlin to Swift
Avatar for Elvis Shi lovee
1
260
なぜ適用するか、移行して理解するClean Architecture 〜構造を超えて設計を継承する〜 / Why Apply, Migrate and Understand Clean Architecture - Inherit Design Beyond Structure
Avatar for shiro seike seike460
PRO
1
690
技術同人誌をMCP Serverにしてみた
Avatar for 74th(Atsushi Morimoto) 74th
1
380
「Cursor/Devin全社導入の理想と現実」のその後
Avatar for Ryoichi Saito saitoryc
0
170

Featured

See All Featured
Fireside Chat
Avatar for paigeccino paigeccino
37
3.5k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
234
140k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
330
24k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
299
21k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.8k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.6k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.6k
Done Done
Avatar for chrislema chrislema
184
16k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k

Transcript

  1. 社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話

  2. • あきた(@yoyoyo_pg) • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用

    • 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2

  3. 3 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい

  4. 4 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能

  5. 5 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能

  6. 6 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

    施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能

  7. 7 🤔…?

  8. 8 順に解説していきます

  9. 9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control

    Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化

  10. 10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 •

    AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している • これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している

  11. 11 統合サービスの紹介(一部) • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能

    • AWS Service Catalog ◦ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能

  12. 12 コントロール • Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応

    • Control Tower に関する物は必須コントロールとして デフォルトで有効化されている

  13. 13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理

    ◦ ポリシーに非準拠のリソースを検出する ◦ AWS Config ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現

  14. 14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕 組み

    • Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に

  15. 15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる • これにより、ユーザは各アカウントに対するシングル

    サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)

  16. 16 まとめ • 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います • とはいえ、マルチアカウント運用に関する

    AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります