AWS Control Tower でマルチアカウント運用を試した話

社内勉強会／SRE朝会 2024/03/27　あきた（yoyoyo_pg） AWS Control Tower でマルチアカウント運用を試した話

• あきた（@yoyoyo_pg） • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用
• 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2

3 突然ですが、以下の悩みはありませんか？ • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・リソースの削除漏れが怖い・セキュリティ的に問題が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防的統制と発見的統制の実現・操作ログやユーザ認証の一元管理を実現したい

施したいが、AWS アカウントを汚し過ぎたくない・リソースの削除漏れが怖い・セキュリティ的に問題が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防的統制と発見的統制の実現・操作ログやユーザ認証の一元管理を実現したい AWS Control Tower の Account Factory を使用したアカウントのプロビジョニングが可能

施したいが、AWS アカウントを汚し過ぎたくない・リソースの削除漏れが怖い・セキュリティ的に問題が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防的統制と発見的統制の実現・操作ログやユーザ認証の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現により、ガバナンス要件やワークロードの特性に応じたコントロールを適用可能

施したいが、AWS アカウントを汚し過ぎたくない・リソースの削除漏れが怖い・セキュリティ的に問題が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防的統制と発見的統制の実現・操作ログやユーザ認証の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する事で、SSO を利用したユーザ認証を提供可能

7 🤔…？

8 順に解説していきます

9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control
Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化

10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント運用の為のセットアップが可能 •
AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実現している • これにより、ガバナンスを提供しつつスケーラブルなマルチアカウント AWS 環境（ランディングゾーン）を実現している

11 統合サービスの紹介（一部） • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理し、料金の一括請求やアクセス制御が可能
• AWS Service Catalog ◦ IT管理者が発行したITサービス（AWS サービス）を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能

12 コントロール • Organizations の組織単位(OU)に対してガバナンスを提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存在し、NISTやPCI DSS等のセキュリティ基準に対応
• Control Tower に関する物は必須コントロールとしてデフォルトで有効化されている

13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理
◦ ポリシーに非準拠のリソースを検出する ◦ AWS Conﬁg ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現

14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕組み
• Organizations の組織単位(OU)を指定してアカウントを発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップが可能に

15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップが行われる • これにより、ユーザは各アカウントに対するシングル
サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行われるように(CloudTrail)

16 まとめ • 個人利用で AWS を触る分には、Organizations で十分な場合も多いと思います • とはいえ、マルチアカウント運用に関する
AWS のベストプラクティスを実践かつ、複数のサービスを通して学べるので、有効にする事で多くの学びがあります

AWS Control Tower でマルチアカウント運用を試した話

AWS Control Tower でマルチアカウント運用を試した話

akita

More Decks by akita

Other Decks in Programming

Featured

Transcript

社内勉強会／SRE朝会 2024/03/27　あきた（yoyoyo_pg） AWS Control Tower でマルチアカウント運用を試した話

• あきた（@yoyoyo_pg） • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用

3 突然ですが、以下の悩みはありませんか？ • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

4 突然ですが、以下の悩みはありませんか？ • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

5 突然ですが、以下の悩みはありませんか？ • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

6 突然ですが、以下の悩みはありませんか？ • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実

7 🤔…？

8 順に解説していきます

9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control

10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント運用の為のセットアップが可能 •

11 統合サービスの紹介（一部） • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理し、料金の一括請求やアクセス制御が可能

12 コントロール • Organizations の組織単位(OU)に対してガバナンスを提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存在し、NISTやPCI DSS等のセキュリティ基準に対応

13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理

14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕組み

15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップが行われる • これにより、ユーザは各アカウントに対するシングル

16 まとめ • 個人利用で AWS を触る分には、Organizations で十分な場合も多いと思います • とはいえ、マルチアカウント運用に関する

AWS Control Tower で マルチアカウント運用を試した話

AWS Control Tower で マルチアカウント運用を試した話

More Decks by akita

Other Decks in Programming

Featured

Transcript

AWS Control Tower でマルチアカウント運用を試した話

AWS Control Tower でマルチアカウント運用を試した話