Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Control Tower で マルチアカウント運用を試した話
Search
akita
March 27, 2024
Programming
0
83
AWS Control Tower で マルチアカウント運用を試した話
akita
March 27, 2024
Tweet
Share
More Decks by akita
See All by akita
CDKを活用した 大規模コンテナ移行 プロジェクトの紹介
yoyoyopg
0
480
AWSやJAWS-UGとの出会いを振り返る
yoyoyopg
1
390
CDK + ecspressoでお手軽コンテナ3分クッキング
yoyoyopg
0
990
Other Decks in Programming
See All in Programming
ALL CODE BASE ARE BELONG TO STUDY
uzulla
25
6.3k
uniqueパッケージの内部実装を支えるweak pointerの話
magavel
0
1k
「ちょっと古いから」って避けてた技術書、今だからこそ読もう
mottyzzz
11
6.8k
The Past, Present, and Future of Enterprise Java
ivargrimstad
0
220
Goで実践するドメイン駆動開発 AIと歩み始めた新規プロダクト開発の現在地
imkaoru
4
850
Pull-Requestの内容を1クリックで動作確認可能にするワークフロー
natmark
2
520
Web フロントエンドエンジニアに開かれる AI Agent プロダクト開発 - Vercel AI SDK を観察して AI Agent と仲良くなろう! #FEC余熱NIGHT
izumin5210
3
550
デミカツ切り抜きで面倒くさいことはPythonにやらせよう
aokswork3
0
250
bootcamp2025_バックエンド研修_WebAPIサーバ作成.pdf
geniee_inc
0
110
Go言語はstack overflowの夢を見るか?
logica0419
0
370
Swift Concurrency - 状態監視の罠
objectiveaudio
2
540
CSC509 Lecture 06
javiergs
PRO
0
260
Featured
See All Featured
The World Runs on Bad Software
bkeepers
PRO
72
11k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
285
14k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.7k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
23
1.5k
Producing Creativity
orderedlist
PRO
347
40k
Raft: Consensus for Rubyists
vanstee
140
7.1k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Building Adaptive Systems
keathley
44
2.8k
Why Our Code Smells
bkeepers
PRO
340
57k
Transcript
社内勉強会/SRE朝会 2024/03/27 あきた(yoyoyo_pg) AWS Control Tower で マルチアカウント運用を試した話
• あきた(@yoyoyo_pg) • 経歴 ◦ Java開発2年 -> AWS歴2年 ◦ SREとしてインフラ構築・運用
• 好きなAWSサービス ◦ AWS CDK ◦ AWS Control Tower 自己紹介 2
3 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい
4 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower の Account Factory を使用した アカウントのプロビジョニングが可能
5 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower によるランディングゾーンの実現によ り、ガバナンス要件やワークロードの特性に応じたコント ロールを適用可能
6 突然ですが、以下の悩みはありませんか? • AWSアカウントの利用者目線 ◦ 初めて触る AWS サービスの PoC やハンズオンを実
施したいが、AWS アカウントを汚し過ぎたくない・ リソースの削除漏れが怖い・セキュリティ的に問題 が無いか気になる ◦ 複数アカウントのスイッチロールが面倒 • AWSアカウントの管理者目線 ◦ Sandbox を払い出す為の仕組みを作りたいが、予防 的統制と発見的統制の実現・操作ログやユーザ認証 の一元管理を実現したい AWS Control Tower から IAM Identity Center を使用する 事で、SSO を利用したユーザ認証を提供可能
7 🤔…?
8 順に解説していきます
9 改めての目次 • AWS Control Towerの紹介 ◦ 統合サービスの紹介 • Control
Tower の特徴 ◦ コントロール ◦ Account Factory ◦ ログやユーザ管理の一元化
10 AWS Control Tower とは • AWS のベストプラクティスに従い、マルチアカウント 運用の為のセットアップが可能 •
AWS Organizations、AWS Service Catalog、AWS IAM Identity Centerなどを利用した統合的な管理を実 現している • これにより、ガバナンスを提供しつつスケーラブルな マルチアカウント AWS 環境(ランディングゾーン)を 実現している
11 統合サービスの紹介(一部) • AWS Organizations ◦ 複数の AWS アカウントを組織単位(OU)として管理 し、料金の一括請求やアクセス制御が可能
• AWS Service Catalog ◦ IT管理者が発行したITサービス(AWS サービス) を、ユーザ側に配布・プロビジョニングが可能 • AWS IAM Identity Center ◦ ユーザのアクセス管理の一元化が可能
12 コントロール • Organizations の組織単位(OU)に対してガバナンスを 提供する為のルール • 予防管理・検出管理・プロアクティブ管理の3種類が存 在し、NISTやPCI DSS等のセキュリティ基準に対応
• Control Tower に関する物は必須コントロールとして デフォルトで有効化されている
13 各コントロールについて • 予防管理 ◦ ポリシー違反に繋がるアクションを禁止する ◦ サービスコントロールポリシー(SCP)により実現 • 検出管理
◦ ポリシーに非準拠のリソースを検出する ◦ AWS Config ルールにより実現 • プロアクティブ管理 ◦ リソースがプロビジョニングされる前に、ポリシーに非 準拠の場合はデプロイをブロックする ◦ AWS CloudFormation フックにより実現
14 Account Factory • Control Tower から新規 AWS アカウントを発行する仕 組み
• Organizations の組織単位(OU)を指定してアカウント を発行する事で、コントロールが自動的に有効に • Service Catalog と連携したAFC(Account Factory Customization)機能により、自動の初期セットアップ が可能に
15 ログやユーザ管理の一元化 • ランディングゾーンのセットアップ時に、IAM Identity Center を有効化する事で、自動セットアップ が行われる • これにより、ユーザは各アカウントに対するシングル
サインオン(SSO)が可能に • ログ収集も、ログ集約用 AWS アカウントに自動で行わ れるように(CloudTrail)
16 まとめ • 個人利用で AWS を触る分には、Organizations で十分 な場合も多いと思います • とはいえ、マルチアカウント運用に関する
AWS のベス トプラクティスを実践かつ、複数のサービスを通して 学べるので、有効にする事で多くの学びがあります