SlideShare a Scribd company logo
1 of 58
Download to read offline
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Web Services Japan
Manager, Solutions Architect
Yukitaka Ohmura
2021/05/25
マルチアカウント管理の基本
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
アジェンダ
1. マルチアカウント管理の必要性と考え⽅
2. マルチアカウント構成のベストプラクティス
3. ControlTowerによるLandingZoneの実現
4. 具体的なガードレールの実装
Appendix
• Organizationsが使えない場合どうするか
• 認証認可をどう実現するか
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
なぜマルチアカウント管理が
必要なのか
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
お客様がAWSに求めているもの
ビジネス価値の創出に
フォーカスしたい
アイディア実現を
迅速化したい
セキュアかつ
準拠した(Compliant)
環境を維持したい
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
お客様が求めている環境
組織のセキュリティや
監査要件に適合する
⾼可⽤性で
スケーラブルな
ワークロードに
対応できる
ビジネス要件の変更に
対応するよう
設定変更が可能
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
実現するための課題
請求
多数のチーム
セキュリティ /
コンプライアンス統制
ビジネスプロセス
分離
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS アカウント = リソースのコンテナ(⼊れ物)
アカウント分割で以下の管理が可能
環境 ビジネス推進
請求
部⾨単位や
システムの単位で
AWSのコストが
明確に分離できる
開発、テスト、本
番などの環境を
セキュリティや
ガバナンス、規制
のために分離でき
る(PCIなど)
ワークロード
外部向け/社内向け
サービスや、
リスクやデータ分類、
顧客の違いなどに
応じてワークロード
を分離できる
事前定義された
ガバナンスフレー
ムワークの中で
特定のビジネス部
⾨に対する権限の
委譲が⾏える
※VPCの分割はネットワークを分離するのみ。APIを分離するにはアカウントの分割が必要
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1アカウントでIAMやVPCによる分離はどうか︖
「グレーな」境界
時間経過に伴って複雑で管理が⾯倒に
リソースのトラッキングが困難
責任の押し付け合いが発⽣
AWS Account
Everything
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マルチアカウント管理のポイント
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSはBuilderを⽀えるプラットフォーム
- Self Service Platform -
Biilderに⾃由を与え、適切な箇所で適切なツールを使えるようにする
それによってビジネス価値を早期に実現できる
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Builderに必要なものは︖
Gatekeeper Guardrail
V.S.
ツールの利⽤を事前承認(Gatekeeper)すると管理業務がボトルネックになる。
各システムで⾃由に使わせる⼀⽅で、Builderを守るためガードレール(Guardrail)を⽤意する。
やってはいけない操作を未然に防ぐこと(予防的統制)、逸脱を検知すること(発⾒的統制)の2種類。
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Governance at Scale - スケーラブルなガバナンスのために
1. Account Management
1. Policy Automation
2. Identity Federation
3. Account Automation
2. Budget & Cost Management
1. Budget Planning
2. Budget Enforcement
3. Security & Compliance Automation
1. Identity & Access Automation
2. Security Automation
3. Policy Enforcement
https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Governance at Scale - 職務に求められる役割
1. Executive
• 予算とセキュリティポリシーを社内全体に割り当てる
• データが収集されコンプライアンスと財務状況を確認できる
2. Senior Leadership
• 担当領域の財務状況を確認できる
• 予算、⼈員、追加のセキュリティポリシーの適⽤に責任
3. Upper Management
• 予算の監視、個⼈へプロジェクトへのアクセスを許可、特定領域向けセ
キュリティポリシーの割り当て
• アプリケーションを担当するビジネスユニットやチームに予算とセキュリ
ティポリシーを割り当てる
4. Employee
• クラウド環境に直接アクセスし、現在の予算消化状況を把握
• 他のプロジェクトへのアクセス、財務あるいはセキュリティポリシーへの
例外、を申請可能
https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Governance at Scale - 実現にあたって
従来のアプローチ(スケールしない)
• 中央集権的で⼿動の承認プロセス(かつ役職間での受け渡しを伴う)
• 個別AWSアカウントへの、強制されない、⾮集中管理なアクセス
• クラウドブローカーの使⽤
スケールするアプローチの考え⽅
1. マルチアカウントによるシステムごとの分離
2. 管理権限の委譲
3. 中央集権による最低限の予防的・発⾒的ガードレール
https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マルチアカウント構成のベストプラクティス
2021年3⽉に新しいホワイトペーパーが出ています
Organizing Your AWS Environment Using Multiple Accounts
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html
フルスペックの推奨マルチアカウント構成
AWS Cloud
AWS Organizations
Management Account
Foundational (OU)
Infrastructure
Δ Shared Services
Δ Network
Additional OU
Security
https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2/
フルスペック版の解説
⽤語: Organizational Units (OU)
• AWS アカウントのグループ
• SCPを割り当て可能
• パーミッションのグルーピングに使う
(組織構成のグルーピングには使わない)
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
⽤語: Service Control Policies (SCPs)
• 予防的統制に使えるOrganizationsの機能
• AWS サービスAPIのアクセス可否を制御
- 許可されるAPI呼び出しを定義 – ホワイトリスティング
- ブロックされるAPI呼び出しを定義 – ブラックリスティング
• SCPの特徴
• すべてのメンバーアカウントから設定が⾒えない。rootユーザを含む
• すべてのメンバーアカウントに適⽤される。rootユーザを含む
• パーミッション
• SCPとIAMパーミッションのANDを取る
• IAM policy simulator は SCP を認識する
• 注意
• Organizations Management Account には適⽤されない
• 1つのOUやアカウントに対してアタッチ可能なSCPは最⼤5つ
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_reference_limits.html#min-max-values
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Organizing Your AWS Environment Using Multiple Accounts
AWSアカウント構成のデザイン原則
1. セキュリティと運⽤のニーズに基づいて構成する
2. セキュリティガードレールをアカウントでなくOUに適⽤する
3. 深いOU階層構造を避ける
4. ⼩さく始めて必要に応じて拡張する
5. Organizationsのマネジメントアカウントにワークロードをデプロイしない
6. 本番ワークロードと⾮本番ワークロードを分ける
7. 本番アカウントには1つ、または関連する少数のワークロードのみ割り当てる
8. アカウントへの⼈のアクセス管理を省⼒化するためフェデレーションを使う
9. アジリティとスケールのために⾃動化を⾏う
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/design-principles-for-organizing-your-aws-accounts.html
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Patterns for organizing your AWS accounts
1. Production startar organization
2. Basic organization
3. Advanced organization
ご注意
• 次ページから提⽰しているベストプラクティスはマルチアカウント環境のセキュリティ、
ガバナンス、運⽤の要求を実現する近道ですが、ゴールではありません
• 適切な構成はAWSの活⽤フェーズや利⽤規模、カルチャーによって変わり、One-size-
fits-allではありません
• ControlTowerが作るアカウント構成は最⼩限です
• このベストプラクティスをマルチアカウント検討のたたき台としてご利⽤ください
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/patterns-for-organizing-your-aws-accounts.html
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
1. Production starter organization
https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/production-starter-organization.html
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
2.
Basic
organization
https://docs.aws.amazon.com
/ja_jp/whitepapers/latest/org
anizing-your-aws-
environment/basic-
organization.html
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
3.
Advanced
Organization
https://docs.aws.amaz
on.com/ja_jp/whitepap
ers/latest/organizing-
your-aws-
environment/basic-
organization.html
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ControlTowerによる Landing Zoneの実現
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
「Landing Zone」の実装
• Landing Zoneとは
• セキュアで事前設定済みのAWSアカウントを提供する仕組みの総称
• ツールを活⽤してスケーラブルかつ ⾼い柔軟性を提供
• ビジネスのアジリティとイノベーションを実現
• 実装1: AWS Control Tower
• AWSサービスとして提供される Landing Zone (東京リージョンは未対応)
• 最⼩限のマルチアカウント管理を迅速に開始できる
• 特に新規にAWSを使い始める場合に有効
• 実装2: 独⾃実装の Landing Zone
• マルチアカウント戦略に基づき独⾃に実装する Landing Zone
• ⾃社の⽅針にしたがって⾃由にカスタマイズ可能
• すでに管理の仕組みがあってControlTowerの適合が難しい場合に有効
※AWS Solutionsに掲載されているLanding Zone(Automated Landing Zone)はメンテナンスモードであり今後はControlTowerを推奨します
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower
新規のマルチアカウント AWS 環境をセットアップおよび管理するための
最も簡単な⽅法
ベストプラクティスに
基づくランディングゾ
ーンとガードレール
新規アカウント払い出
しの標準化を⾏うアカ
ウントファクトリー
ポリシー適合状況を可視
化するダッシュボード
マルチアカウント環境の
セットアップを⽀援する
マネージドサービス
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower の特徴
ダッシュボード
ランディングゾーン
ガードレール
Account factory
アイデンティティとアクセス管理
ログアーカイブと監査メンバー⽤
のセットアップ済みアカウント
モニタリング
⾃動アップデート
https://aws.amazon.com/jp/blogs/news/aws-control-tower-set-up-govern-a-multi-account-aws-environment/
© 2021, Amazon Web Services, Inc. or its Affiliates.
ランディングゾーン
Management
Account
AWS Control Tower AWS Organizations AWS Single Sign-On
AWS CloudFormation
StackSets
AWS Service Catalog
(Account Factory)
Core OU Custom OU AWS SSO directory
Log Archive Account Audit Account Provisioned accounts
Account
Baseline
Centralized AWS CloudTrail
and AWS Config logs
Account
Baseline
Security
Notifications
Security Cross-
account roles
Amazon
Config Aggregator
Account
Baseline
Network
Baseline
• ベストプラクティスに基づいたマルチアカウントAWS環境
© 2021, Amazon Web Services, Inc. or its Affiliates.
Account Factory
New Governed AWS account
Network
baseline
Account
baseline
AWS Control Tower
Applied Guardrails
Account factory Defaults
Network
baseline
Network
CIDR
Network
regions
OU Account
baseline
AWS Service
Catalog Automation
①アカウントベースライン定義 ②AWS Service Catalogに
よるアカウント払い出し
③ガードレールの適⽤
• アカウント払い出しの標準化を⾏うテンプレート
© 2021, Amazon Web Services, Inc. or its Affiliates.
ガードレール
• 実施してはいけない操作の禁⽌、危険な設定の監視
• 予防的ガードレール
• 対象の操作を実施できないようにするガードレール
• Organizations Service Control Policy (SCP)で実装
• 発⾒的ガードレール
• 望ましくない操作を⾏なった場合、それを発⾒するガードレール
• 管理しつつ開発のスピードを上げるために効果的
• AWS Config Rulesで実装
© 2021, Amazon Web Services, Inc. or its Affiliates.
ダッシュボード
• AWS環境を視覚的、継続的に確認
• 管理下のOUやアカウント、有効化されたガードレールの数
• ガードレールに違反しているリソースのリスト
© 2021, Amazon Web Services, Inc. or its Affiliates.
アイデンティティとアクセス管理
• AWS Single Sign-On (SSO) のデフォルトのディレクトリを使
⽤した ID 管理
• AWS SSO を使⽤したフェデレーティッドアクセス
• 事前定義済みグループ(e.g., AWS Control Tower
administrators, auditors, AWS Service Catalog end users)
• 事前定義済みアクセス許可セット (e.g., admin, read-only,
write)
• AWS SSO と サードパーティの IDP との統合も可能
(Microsoft Azure AD, PING, OKTA)
© 2021, Amazon Web Services, Inc. or its Affiliates.
利⽤可能なリージョンと料⾦
・利⽤可能リージョン
⽶国(バージニア北部、オハイ
オ、オレゴン)、カナダ、シド
ニー、シンガポール、アイルラ
ンド、フランクフルト、ロンド
ン、ストックホルム、東京、ム
ンバイ、ソウル
AWS Control Tower で有効に
なっているサービス料⾦のみ
お⽀払い(AWS Config rules,
AWS CloudTrailなど)
AWS Control Tower の使⽤
に伴う追加料⾦なし
© 2021, Amazon Web Services, Inc. or its Affiliates.
ControlTowerのカスタマイズ
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower のカスタマイズソリューション
https://aws.amazon.com/jp/solutions/implementations/customizations-for-aws-control-tower/
• ランディングゾーンにカスタマイズを追加するAWSソリューション
© 2021, Amazon Web Services, Inc. or its Affiliates.
ライフサイクルイベントを利⽤したカスタマイズの例
• Account Factoryによるアカウント払い出しの正常終了
(CreateManagedAccount)を契機にLambdaをトリガーし独⾃のカスタマイズ
を⾃動適⽤
Account
Stack
Set
Amazon
GuardDuty
AWS Security
Hub
IAM Roles
Amazon VPC Flow
logs
Account Customizations
1. Launch
Account
Admin
New
Account
2. Account
Created
Amazon
CloudWatch Rule
3. CreateManagedAccount
AWS Lambda
4. Trigger Lambda
AWS
CloudFormation
5. Add a Stack
6a. Trigger customizations
through stack additions
6b. Trigger customizations
Directly
Control Tower
Management
AWS Service
Catalog
© 2021, Amazon Web Services, Inc. or its Affiliates.
Workloads
Workloads Workloads
既存アカウントでも AWS Control Tower を利⽤可能
AWS Cloud
既存アカウント
AWS Control Tower
Existing Payer Account
Dev
Pre-
Prod
Prod
Workloads
Dev
Pre-
Prod
Pro
d
Dev
Pre-Prod
Prod
Dev
Pre-
Prod
Pro
d
Δ Log Archive
Δ Sec Read Only
Δ Sec Break
Glass
Δ Security
Tooling
Δ Shared
Services
Δ Network
Security
Infrastructur
e
Prod
SDLC Prod
SDLC
Workloads
Dev
Pre-Prod
Prod
Workloads
Dev
Pre-Prod
Prod
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
具体的なガードレールの実装
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
参考︓ControlTowerのガードレール
• 必須のガードレール
• ControlTowerを正常に稼働させるために必要な禁⽌事項をSCPで定義したもの
• 独⾃に実装する場合は必須ではないが、ログ保存を停⽌させない実装などが参考になる
• 強く推奨されるガードレール
• マルチアカウントのベストプラクティスに基づく制限事項
• SCPの例︓rootユーザでアクセスキーを作らない、rootユーザで操作しないなど
• ConfigRulesの例︓EBSボリュームが暗号化されていること、S3のパブリック読み書き禁⽌など
• 選択的ガードレール
• AWS エンタープライズ環境で⼀般的に利⽤されている制限事項
• SCPの例︓MFAなしのS3バケット削除禁⽌、S3バケットのクロスリージョンレプリカ禁⽌など
• ConfigRulesの例︓MFAなしのIAMユーザアクセス禁⽌、バージョニングのないS3の禁⽌など
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
予防的ガードレールの設定
• 設定⽅法
• Organizations SCP
• IAM Permission boundary
• IAM Policy
• 特にSCPは本当に禁⽌しなければいけな
い、権限昇格や管理リソースの破壊防
⽌のみにフォーカスすることを推奨
• 頑張ると結局Gatekeeperになる
[注意]
SCPの権限制御は対象アカウントやOUのすべてのユー
ザーに影響を与える可能性がある強⼒な機能です。必要最
低限の設定を⼗分なテストを⾏なって適⽤してください。
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-guardrails.html
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
発⾒的ガードレールの設定
• 積極的に使⽤する
• AWSのベストプラクティスと社内セキュリティポリシーをベース
にルールを定め、設定する
• 検知したら誰が何をするか決める
• 設定⽅法
• ConfigRules
• SecurityHub
• GuardDuty
• ルールセット
• ControlTowrの推奨/選択的ガードレール
• ConfigRules ConformancePack
• SecurityHub CIS/AWSベストプラクティス
• Next step
• ControlTowerはガードレールを設定するがRemediationは別途必
要
• 設定後のRemediationには、SecurityHubのドキュメントが参考に
なる
• Remediationの中にはSSM Automationが⽤意されているものも
ある(例:デフォルトセキュリティグループの閉塞)
• 検知されたもののうち何を通知するかよく検討が必要
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-guardrails.html
© 2021, Amazon Web Services, Inc. or its Affiliates.
ControlTowerの情報源
• ワークショップ
• https://controltower.aws-management.tools/ja/immersionday/
• ⽇本語ブログ
• https://aws.amazon.com/jp/blogs/news/category/management-tools/aws-control-tower/
• https://aws.amazon.com/jp/blogs/news/category/management-tools/
• 英語ブログ
• https://aws.amazon.com/jp/blogs/mt/category/management-tools/aws-control-tower/
• https://aws.amazon.com/jp/blogs/mt/
• 独⾃にLanding Zoneを実装する
• AWS Innovate 2020 [S-7] 増加するシステムをマルチアカウントで効率よく管理する をご参照ください
https://d1.awsstatic.com/events/jp/2020/innovate/pdf/S-7_AWSInnovate_Online_Conference_2020_Spring_MultiAccount.pdf
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
参考資料(事例)
• [AWS Security Roadshow] ⼤規模AWS共通基盤上の発⾒的統制への挑戦
• https://speakerdeck.com/rtechkouhou/da-gui-mo-awsgong-tong-ji-pan-shang-falsefa-jian-de-tong-zhi-hefalsetiao-zhan
• [AWS Summit 2019] AWSコンサル事例でわかる パーソルが実現した ガバナ
ンスとスピードを兼ね備えた次世代型AWS共通基盤とは
• https://pages.awscloud.com/rs/112-TZM-766/images/L2-05.pdf
• ZOZOテクノロジーズさんのマルチアカウント事例祭り
• 第1回 https://zozotech-inc.connpass.com/event/185894/
• 第2回 https://zozotech-inc.connpass.com/event/200890/
• JAWS DAYS 2021のセッション(マルチアカウント周りの話題多し)
• https://jawsdays2021.jaws-ug.jp/timetable/
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
1. マルチアカウント管理の必要性と考え⽅
2. マルチアカウント構成のベストプラクティス
3. ControlTowerによるLandingZoneの実現
4. 具体的なガードレールの実装
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Appendix
• Organizationsが使えない場合どうするか
• 認証認可をどう実現するか
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Organizationsが使えない場合どうするか
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
LandingZoneを⾃分で実装するには何が必要か
1. アカウントの発⾏
• 必要な初期設定の済んだアカウントを作成
2. 管理⽤権限の発⾏
• 対象アカウントを管理するための権限を作成
3. 共有サービスへのアクセス
• ADなどの共有サービスやオンプレミスへの接続経路の確保
4. AWSログの集約
• 監査⽤ログの集中かつ安全な保存
5. ガードレールの設置
• 実施してはいけない操作の禁⽌、危険な設定の監視
AWS Innovate 2020 [S-7] 増加するシステムをマルチアカウントで効率よく管理する をご参照ください
https://d1.awsstatic.com/events/jp/2020/innovate/pdf/S-7_AWSInnovate_Online_Conference_2020_Spring_MultiAccount.pdf
© 2021, Amazon Web Services, Inc. or its Affiliates.
Organizations がない場合のLandingZone - 基本⽅針
前提
• 基本的にAWSの各種サービスがマルチアカウント対応の⼀環で
Organizationsを利⽤する⽅向で拡張されている
• 従来からの機能の中にはアカウント個別指定で管理できるものもある
基本⽅針
• 「AWSアカウントを作ったら最初に必ずやるべき最低限のこと」
だけをアカウント個別に指定して集約
• 認証認可 / CloudTrail / Config / GuardDuty / SecurityHub
• 他は無理に集約せずアカウント個別に設定
© 2021, Amazon Web Services, Inc. or its Affiliates.
OrganizationsなしでLandingZoneを実装するには
LandingZoneで特に必要だが Organizationsがないと使えない機能
(1)アカウントの発⾏
(2)SCP
(3)タグポリシー
(4)AWS SSO
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Organizations と密接に関連した機能
Organizations が使えない環境での実現⽅式は以下
(1)アカウントの発⾏
・⼿動でアカウントを作成する
・リセラーアカウントの場合、リセラーのオペレーションで発⾏する
1.Organizations でアカウントを作成(CLI,SDK)
2.Organizations SCP の設定
3.ベースライン(基本設定)⽤の CloudFormation Stack を作成
• 管理⽤権限(IAM Role) の発⾏
• AWS Config Rules の設定
• 標準VPCの作成・設定 など
マルチアカウント環境におけるアカウント発⾏のベストプラクティス
AWS Organizations無しでは
この部分が実現できない
上記のように、ベースラインを設定したアカウントの⾃動発⾏を実現する仕組みを、
AWSではアカウントファクトリー、またアカウントベンディングマシーン(AVM)として説明している
参考 https://github.com/aws-samples/aws-account-vending-machine
© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Organizations と密接に関連した機能
Organizations が使えない環境での実現⽅式は以下
(2)SCP
ルートユーザの権限管理だけはSCPが必須
リセラーアカウントの場合ルートユーザを渡さなければ、
IAM Boundaryで同様のことを実現できる
(3)タグポリシー
アカウント内で実現する場合はIAM Policyをカスタムすることで実現する
(4)AWS SSO
外部IdPサービスの利⽤もしくは、
SSO(IDフェデレーション)環境を⾃前で構築
(もしくは踏み台アカウントでSwitch Role)
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
マルチアカウントの認証認可をどう実現するか
© 2021, Amazon Web Services, Inc. or its Affiliates.
管理⽤権限の発⾏/アクセス環境の実現
対象アカウントを管理するための権限を作成
• ID管理 / アカウントへの
フェデレーティッドアクセス
アプリケーションアカウント
アプリケーションアカウント
SSO Active
Directory
など
アプリケーションアカウント A
アカウント管理者Role (PowerUser)
LZ管理者Role (Administrator)
参照専⽤Role (ReadOnly)
その他ログ管理等に必要なRole
アカウントA⽤
グループ
LZ管理者
アカウントB⽤
グループ
認証
ロール選択
B
C
• 認証にはIAM Userではなくシングルサインオ
ン(SSO) の仕組みを使い、各アカウントにロー
ルのみを作成することを推奨
⽅法1︓AWS SSO
⽅法2︓IDフェデレーション環境を⾃前で構築
⽅法3︓AWSと連携できる外部IdPを利⽤
<=AWS Organizations必須
© 2021, Amazon Web Services, Inc. or its Affiliates.
課題
• 1つの中央IDストアで全システムの全ユーザの認証情報を管理するか︖
• 中央IDストアでは各アカウントの管理者アカウントのみ管理︖
• 各アカウントのIDは、IAM Userで管理してしまう︖別途IDストアとSSOを⽤意︖
アプリケーションアカウント
アプリケーションアカウント
IdP Active
Directory
など
アプリケーションアカウント A
アカウント管理者Role (PowerUser)
LZ管理者Role (Administrator)
参照専⽤Role (ReadOnly)
アカウントA⽤
グループ
LZ管理者
アカウントB⽤
グループ
認証
ロール選択
B
C
IdP
アプリケーションアカウント A
アカウント管理者Role
運⽤者Role
LZ側認証
アカウントA
管理者
開発者
開発者IAMUser
アプリ
アカウント側
認証
運⽤者
IdP
AD等
AD等
全ユーザを統⼀管理
アカウント管理者はLZで払い出し
アカウント内のユーザは個別管理
© 2021, Amazon Web Services, Inc. or its Affiliates.
【参考】IDフェデレーション with SAML 概要図
AWS マネジメントコンソール
SAML ⽤の
AWS サインイ
ンエンドポイン
ト
ユーザーがポータルサイ
トをブラウジングする
ユーザー
を認証す
る
認証応答として
SAMLアサー
ションを受信す
る
クライアントを
コンソールに
リダイレクトす
る
1
2
3
4
6
5
企業データセンター AWS Cloud (サービスプロバイダー)
ポータルサイト/
IDプロバイダー
(IdP)
アイデンティ
ティストア
属性情報に基づいて
ロールの⼀時セキュ
リティ認証情報を⽣
成
SAMLアサーションをポスト
ユーザー
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
シングルサインオンの設計と運⽤
詳しくはBlackBeltを参照
https://aws.amazon.com/jp/blogs/news/webinar-bb-awsaccountsso-2020/
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you

More Related Content

What's hot

20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM 20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM Amazon Web Services Japan
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems ManagerAmazon Web Services Japan
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)Amazon Web Services Japan
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...Amazon Web Services Japan
 
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...Amazon Web Services Japan
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipelineAmazon Web Services Japan
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAmazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-RayAmazon Web Services Japan
 
AWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate ManagerAWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate ManagerAmazon Web Services Japan
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 ResolverAmazon Web Services Japan
 
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...Amazon Web Services Japan
 
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration ServiceAmazon Web Services Japan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...Amazon Web Services Japan
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatchAmazon Web Services Japan
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQLAmazon Web Services Japan
 
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch ServiceAmazon Web Services Japan
 
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要Amazon Web Services Japan
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS GlueAmazon Web Services Japan
 

What's hot (20)

20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM 20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
 
AWS Organizations
AWS OrganizationsAWS Organizations
AWS Organizations
 
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
20190402 AWS Black Belt Online Seminar Let's Dive Deep into AWS Lambda Part1 ...
 
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
20180425 AWS Black Belt Online Seminar Amazon Relational Database Service (Am...
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
 
AWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティスAWS Well-Architected Security とベストプラクティス
AWS Well-Architected Security とベストプラクティス
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
 
AWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate ManagerAWS Black Belt Online Seminar 2018 AWS Certificate Manager
AWS Black Belt Online Seminar 2018 AWS Certificate Manager
 
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
20191016 AWS Black Belt Online Seminar Amazon Route 53 Resolver
 
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
20200422 AWS Black Belt Online Seminar Amazon Elastic Container Service (Amaz...
 
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service20210216 AWS Black Belt Online Seminar AWS Database Migration Service
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
 
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
20200623 AWS Black Belt Online Seminar Amazon Elasticsearch Service
 
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
20190730 AWS Black Belt Online Seminar Amazon CloudFrontの概要
 
20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue20190806 AWS Black Belt Online Seminar AWS Glue
20190806 AWS Black Belt Online Seminar AWS Glue
 

Similar to 20210526 AWS Expert Online マルチアカウント管理の基本

20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit ManagerAmazon Web Services Japan
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点Tomohiro Nakashima
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2Shogo Matsumoto
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Yusuke Kodama
 
Management & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできますManagement & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできますAmazon Web Services Japan
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfHayato Kiriyama
 
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについてAmazon Web Services Japan
 
20180417 AWS White Belt Online Seminar クラウドジャーニー
20180417 AWS White Belt Online Seminar クラウドジャーニー20180417 AWS White Belt Online Seminar クラウドジャーニー
20180417 AWS White Belt Online Seminar クラウドジャーニーAmazon Web Services Japan
 
FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...
FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...
FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...New Relic
 
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)オラクルエンジニア通信
 
クラウドを積極活用した サービスの開発のために
クラウドを積極活用したサービスの開発のためにクラウドを積極活用したサービスの開発のために
クラウドを積極活用した サービスの開発のためにYuichiro Saito
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨Amazon Web Services Japan
 
20200610 hccjp azure-stackhci
20200610 hccjp azure-stackhci20200610 hccjp azure-stackhci
20200610 hccjp azure-stackhciosamut
 
Modernizing Big Data Workload Using Amazon EMR & AWS Glue
Modernizing Big Data Workload Using Amazon EMR & AWS GlueModernizing Big Data Workload Using Amazon EMR & AWS Glue
Modernizing Big Data Workload Using Amazon EMR & AWS GlueNoritaka Sekiyama
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用Amazon Web Services Japan
 
Control Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめようControl Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめようKanako Kodera
 

Similar to 20210526 AWS Expert Online マルチアカウント管理の基本 (20)

20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager
 
Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
Reinforce2021 recap session2
Reinforce2021 recap session2Reinforce2021 recap session2
Reinforce2021 recap session2
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
 
Management & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできますManagement & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできます
 
AWS の IoT 向けサービス
AWS の IoT 向けサービスAWS の IoT 向けサービス
AWS の IoT 向けサービス
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
[20210519 Security-JAWS] AWS エッジサービス入門ハンズオンの紹介と AWS WAF のアップデートについて
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
 
20180417 AWS White Belt Online Seminar クラウドジャーニー
20180417 AWS White Belt Online Seminar クラウドジャーニー20180417 AWS White Belt Online Seminar クラウドジャーニー
20180417 AWS White Belt Online Seminar クラウドジャーニー
 
FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...
FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...
FutureStack Tokyo 19 -[パートナー講演]アマゾン ウェブ サービス ジャパン株式会社: New Relicを活用したAWSへのアプリ...
 
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
Oracle Databaseはクラウドに移行するべきか否か 全10ケースをご紹介 (Oracle Cloudウェビナーシリーズ: 2021年11月30日)
 
クラウドを積極活用した サービスの開発のために
クラウドを積極活用したサービスの開発のためにクラウドを積極活用したサービスの開発のために
クラウドを積極活用した サービスの開発のために
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
 
20200610 hccjp azure-stackhci
20200610 hccjp azure-stackhci20200610 hccjp azure-stackhci
20200610 hccjp azure-stackhci
 
Modernizing Big Data Workload Using Amazon EMR & AWS Glue
Modernizing Big Data Workload Using Amazon EMR & AWS GlueModernizing Big Data Workload Using Amazon EMR & AWS Glue
Modernizing Big Data Workload Using Amazon EMR & AWS Glue
 
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
202202 AWS Black Belt Online Seminar AWS Managed Rules for AWS WAF の活用
 
Control Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめようControl Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめよう
 

More from Amazon Web Services Japan

202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFSAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device DefenderAmazon Web Services Japan
 
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現Amazon Web Services Japan
 
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...Amazon Web Services Japan
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したことAmazon Web Services Japan
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdfAmazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon Web Services Japan
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチAmazon Web Services Japan
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介Amazon Web Services Japan
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer ProfilesAmazon Web Services Japan
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Web Services Japan
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介Amazon Web Services Japan
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介Amazon Web Services Japan
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...Amazon Web Services Japan
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピAmazon Web Services Japan
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operationsAmazon Web Services Japan
 

More from Amazon Web Services Japan (20)

202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
202205 AWS Black Belt Online Seminar Amazon FSx for OpenZFS
 
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
202204 AWS Black Belt Online Seminar Amazon Connect を活用したオンコール対応の実現
 
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
202204 AWS Black Belt Online Seminar Amazon Connect Salesforce連携(第1回 CTI Adap...
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
 
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
202203 AWS Black Belt Online Seminar Amazon Connect Tasks.pdf
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
Amazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDDAmazon QuickSight の組み込み方法をちょっぴりDD
Amazon QuickSight の組み込み方法をちょっぴりDD
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
機密データとSaaSは共存しうるのか!?セキュリティー重視のユーザー層を取り込む為のネットワーク通信のアプローチ
 
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
パッケージソフトウェアを簡単にSaaS化!?既存の資産を使ったSaaS化手法のご紹介
 
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
202202 AWS Black Belt Online Seminar Amazon Connect Customer Profiles
 
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するためにAmazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
Amazon Game Tech Night #24 KPIダッシュボードを最速で用意するために
 
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
 
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
202111 AWS Black Belt Online Seminar AWSで構築するSmart Mirrorのご紹介
 
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
202201 AWS Black Belt Online Seminar Apache Spark Performnace Tuning for AWS ...
 
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
202112 AWS Black Belt Online Seminar 店内の「今」をお届けする小売業向けリアルタイム配信基盤のレシピ
 
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations20211209 Ops-JAWS Re invent2021re-cap-cloud operations
20211209 Ops-JAWS Re invent2021re-cap-cloud operations
 

20210526 AWS Expert Online マルチアカウント管理の基本

  • 1. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Web Services Japan Manager, Solutions Architect Yukitaka Ohmura 2021/05/25 マルチアカウント管理の基本
  • 2. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アジェンダ 1. マルチアカウント管理の必要性と考え⽅ 2. マルチアカウント構成のベストプラクティス 3. ControlTowerによるLandingZoneの実現 4. 具体的なガードレールの実装 Appendix • Organizationsが使えない場合どうするか • 認証認可をどう実現するか
  • 3. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. なぜマルチアカウント管理が 必要なのか
  • 4. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. お客様がAWSに求めているもの ビジネス価値の創出に フォーカスしたい アイディア実現を 迅速化したい セキュアかつ 準拠した(Compliant) 環境を維持したい
  • 5. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. お客様が求めている環境 組織のセキュリティや 監査要件に適合する ⾼可⽤性で スケーラブルな ワークロードに 対応できる ビジネス要件の変更に 対応するよう 設定変更が可能
  • 6. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 実現するための課題 請求 多数のチーム セキュリティ / コンプライアンス統制 ビジネスプロセス 分離
  • 7. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS アカウント = リソースのコンテナ(⼊れ物) アカウント分割で以下の管理が可能 環境 ビジネス推進 請求 部⾨単位や システムの単位で AWSのコストが 明確に分離できる 開発、テスト、本 番などの環境を セキュリティや ガバナンス、規制 のために分離でき る(PCIなど) ワークロード 外部向け/社内向け サービスや、 リスクやデータ分類、 顧客の違いなどに 応じてワークロード を分離できる 事前定義された ガバナンスフレー ムワークの中で 特定のビジネス部 ⾨に対する権限の 委譲が⾏える ※VPCの分割はネットワークを分離するのみ。APIを分離するにはアカウントの分割が必要
  • 8. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1アカウントでIAMやVPCによる分離はどうか︖ 「グレーな」境界 時間経過に伴って複雑で管理が⾯倒に リソースのトラッキングが困難 責任の押し付け合いが発⽣ AWS Account Everything
  • 9. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. マルチアカウント管理のポイント
  • 10. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSはBuilderを⽀えるプラットフォーム - Self Service Platform - Biilderに⾃由を与え、適切な箇所で適切なツールを使えるようにする それによってビジネス価値を早期に実現できる
  • 11. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Builderに必要なものは︖ Gatekeeper Guardrail V.S. ツールの利⽤を事前承認(Gatekeeper)すると管理業務がボトルネックになる。 各システムで⾃由に使わせる⼀⽅で、Builderを守るためガードレール(Guardrail)を⽤意する。 やってはいけない操作を未然に防ぐこと(予防的統制)、逸脱を検知すること(発⾒的統制)の2種類。
  • 12. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Governance at Scale - スケーラブルなガバナンスのために 1. Account Management 1. Policy Automation 2. Identity Federation 3. Account Automation 2. Budget & Cost Management 1. Budget Planning 2. Budget Enforcement 3. Security & Compliance Automation 1. Identity & Access Automation 2. Security Automation 3. Policy Enforcement https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
  • 13. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Governance at Scale - 職務に求められる役割 1. Executive • 予算とセキュリティポリシーを社内全体に割り当てる • データが収集されコンプライアンスと財務状況を確認できる 2. Senior Leadership • 担当領域の財務状況を確認できる • 予算、⼈員、追加のセキュリティポリシーの適⽤に責任 3. Upper Management • 予算の監視、個⼈へプロジェクトへのアクセスを許可、特定領域向けセ キュリティポリシーの割り当て • アプリケーションを担当するビジネスユニットやチームに予算とセキュリ ティポリシーを割り当てる 4. Employee • クラウド環境に直接アクセスし、現在の予算消化状況を把握 • 他のプロジェクトへのアクセス、財務あるいはセキュリティポリシーへの 例外、を申請可能 https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
  • 14. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Governance at Scale - 実現にあたって 従来のアプローチ(スケールしない) • 中央集権的で⼿動の承認プロセス(かつ役職間での受け渡しを伴う) • 個別AWSアカウントへの、強制されない、⾮集中管理なアクセス • クラウドブローカーの使⽤ スケールするアプローチの考え⽅ 1. マルチアカウントによるシステムごとの分離 2. 管理権限の委譲 3. 中央集権による最低限の予防的・発⾒的ガードレール https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
  • 15. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. マルチアカウント構成のベストプラクティス 2021年3⽉に新しいホワイトペーパーが出ています Organizing Your AWS Environment Using Multiple Accounts https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html
  • 16. フルスペックの推奨マルチアカウント構成 AWS Cloud AWS Organizations Management Account Foundational (OU) Infrastructure Δ Shared Services Δ Network Additional OU Security
  • 18. ⽤語: Organizational Units (OU) • AWS アカウントのグループ • SCPを割り当て可能 • パーミッションのグルーピングに使う (組織構成のグルーピングには使わない)
  • 19. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ⽤語: Service Control Policies (SCPs) • 予防的統制に使えるOrganizationsの機能 • AWS サービスAPIのアクセス可否を制御 - 許可されるAPI呼び出しを定義 – ホワイトリスティング - ブロックされるAPI呼び出しを定義 – ブラックリスティング • SCPの特徴 • すべてのメンバーアカウントから設定が⾒えない。rootユーザを含む • すべてのメンバーアカウントに適⽤される。rootユーザを含む • パーミッション • SCPとIAMパーミッションのANDを取る • IAM policy simulator は SCP を認識する • 注意 • Organizations Management Account には適⽤されない • 1つのOUやアカウントに対してアタッチ可能なSCPは最⼤5つ https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_reference_limits.html#min-max-values
  • 20. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Organizing Your AWS Environment Using Multiple Accounts AWSアカウント構成のデザイン原則 1. セキュリティと運⽤のニーズに基づいて構成する 2. セキュリティガードレールをアカウントでなくOUに適⽤する 3. 深いOU階層構造を避ける 4. ⼩さく始めて必要に応じて拡張する 5. Organizationsのマネジメントアカウントにワークロードをデプロイしない 6. 本番ワークロードと⾮本番ワークロードを分ける 7. 本番アカウントには1つ、または関連する少数のワークロードのみ割り当てる 8. アカウントへの⼈のアクセス管理を省⼒化するためフェデレーションを使う 9. アジリティとスケールのために⾃動化を⾏う https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/design-principles-for-organizing-your-aws-accounts.html
  • 21. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Patterns for organizing your AWS accounts 1. Production startar organization 2. Basic organization 3. Advanced organization ご注意 • 次ページから提⽰しているベストプラクティスはマルチアカウント環境のセキュリティ、 ガバナンス、運⽤の要求を実現する近道ですが、ゴールではありません • 適切な構成はAWSの活⽤フェーズや利⽤規模、カルチャーによって変わり、One-size- fits-allではありません • ControlTowerが作るアカウント構成は最⼩限です • このベストプラクティスをマルチアカウント検討のたたき台としてご利⽤ください https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/patterns-for-organizing-your-aws-accounts.html
  • 22. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 1. Production starter organization https://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/production-starter-organization.html
  • 23. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 2. Basic organization https://docs.aws.amazon.com /ja_jp/whitepapers/latest/org anizing-your-aws- environment/basic- organization.html
  • 24. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 3. Advanced Organization https://docs.aws.amaz on.com/ja_jp/whitepap ers/latest/organizing- your-aws- environment/basic- organization.html
  • 25. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ControlTowerによる Landing Zoneの実現
  • 26. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 「Landing Zone」の実装 • Landing Zoneとは • セキュアで事前設定済みのAWSアカウントを提供する仕組みの総称 • ツールを活⽤してスケーラブルかつ ⾼い柔軟性を提供 • ビジネスのアジリティとイノベーションを実現 • 実装1: AWS Control Tower • AWSサービスとして提供される Landing Zone (東京リージョンは未対応) • 最⼩限のマルチアカウント管理を迅速に開始できる • 特に新規にAWSを使い始める場合に有効 • 実装2: 独⾃実装の Landing Zone • マルチアカウント戦略に基づき独⾃に実装する Landing Zone • ⾃社の⽅針にしたがって⾃由にカスタマイズ可能 • すでに管理の仕組みがあってControlTowerの適合が難しい場合に有効 ※AWS Solutionsに掲載されているLanding Zone(Automated Landing Zone)はメンテナンスモードであり今後はControlTowerを推奨します
  • 27. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Control Tower 新規のマルチアカウント AWS 環境をセットアップおよび管理するための 最も簡単な⽅法 ベストプラクティスに 基づくランディングゾ ーンとガードレール 新規アカウント払い出 しの標準化を⾏うアカ ウントファクトリー ポリシー適合状況を可視 化するダッシュボード マルチアカウント環境の セットアップを⽀援する マネージドサービス
  • 28. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Control Tower の特徴 ダッシュボード ランディングゾーン ガードレール Account factory アイデンティティとアクセス管理 ログアーカイブと監査メンバー⽤ のセットアップ済みアカウント モニタリング ⾃動アップデート https://aws.amazon.com/jp/blogs/news/aws-control-tower-set-up-govern-a-multi-account-aws-environment/
  • 29. © 2021, Amazon Web Services, Inc. or its Affiliates. ランディングゾーン Management Account AWS Control Tower AWS Organizations AWS Single Sign-On AWS CloudFormation StackSets AWS Service Catalog (Account Factory) Core OU Custom OU AWS SSO directory Log Archive Account Audit Account Provisioned accounts Account Baseline Centralized AWS CloudTrail and AWS Config logs Account Baseline Security Notifications Security Cross- account roles Amazon Config Aggregator Account Baseline Network Baseline • ベストプラクティスに基づいたマルチアカウントAWS環境
  • 30. © 2021, Amazon Web Services, Inc. or its Affiliates. Account Factory New Governed AWS account Network baseline Account baseline AWS Control Tower Applied Guardrails Account factory Defaults Network baseline Network CIDR Network regions OU Account baseline AWS Service Catalog Automation ①アカウントベースライン定義 ②AWS Service Catalogに よるアカウント払い出し ③ガードレールの適⽤ • アカウント払い出しの標準化を⾏うテンプレート
  • 31. © 2021, Amazon Web Services, Inc. or its Affiliates. ガードレール • 実施してはいけない操作の禁⽌、危険な設定の監視 • 予防的ガードレール • 対象の操作を実施できないようにするガードレール • Organizations Service Control Policy (SCP)で実装 • 発⾒的ガードレール • 望ましくない操作を⾏なった場合、それを発⾒するガードレール • 管理しつつ開発のスピードを上げるために効果的 • AWS Config Rulesで実装
  • 32. © 2021, Amazon Web Services, Inc. or its Affiliates. ダッシュボード • AWS環境を視覚的、継続的に確認 • 管理下のOUやアカウント、有効化されたガードレールの数 • ガードレールに違反しているリソースのリスト
  • 33. © 2021, Amazon Web Services, Inc. or its Affiliates. アイデンティティとアクセス管理 • AWS Single Sign-On (SSO) のデフォルトのディレクトリを使 ⽤した ID 管理 • AWS SSO を使⽤したフェデレーティッドアクセス • 事前定義済みグループ(e.g., AWS Control Tower administrators, auditors, AWS Service Catalog end users) • 事前定義済みアクセス許可セット (e.g., admin, read-only, write) • AWS SSO と サードパーティの IDP との統合も可能 (Microsoft Azure AD, PING, OKTA)
  • 34. © 2021, Amazon Web Services, Inc. or its Affiliates. 利⽤可能なリージョンと料⾦ ・利⽤可能リージョン ⽶国(バージニア北部、オハイ オ、オレゴン)、カナダ、シド ニー、シンガポール、アイルラ ンド、フランクフルト、ロンド ン、ストックホルム、東京、ム ンバイ、ソウル AWS Control Tower で有効に なっているサービス料⾦のみ お⽀払い(AWS Config rules, AWS CloudTrailなど) AWS Control Tower の使⽤ に伴う追加料⾦なし
  • 35. © 2021, Amazon Web Services, Inc. or its Affiliates. ControlTowerのカスタマイズ
  • 36. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Control Tower のカスタマイズソリューション https://aws.amazon.com/jp/solutions/implementations/customizations-for-aws-control-tower/ • ランディングゾーンにカスタマイズを追加するAWSソリューション
  • 37. © 2021, Amazon Web Services, Inc. or its Affiliates. ライフサイクルイベントを利⽤したカスタマイズの例 • Account Factoryによるアカウント払い出しの正常終了 (CreateManagedAccount)を契機にLambdaをトリガーし独⾃のカスタマイズ を⾃動適⽤ Account Stack Set Amazon GuardDuty AWS Security Hub IAM Roles Amazon VPC Flow logs Account Customizations 1. Launch Account Admin New Account 2. Account Created Amazon CloudWatch Rule 3. CreateManagedAccount AWS Lambda 4. Trigger Lambda AWS CloudFormation 5. Add a Stack 6a. Trigger customizations through stack additions 6b. Trigger customizations Directly Control Tower Management AWS Service Catalog
  • 38. © 2021, Amazon Web Services, Inc. or its Affiliates. Workloads Workloads Workloads 既存アカウントでも AWS Control Tower を利⽤可能 AWS Cloud 既存アカウント AWS Control Tower Existing Payer Account Dev Pre- Prod Prod Workloads Dev Pre- Prod Pro d Dev Pre-Prod Prod Dev Pre- Prod Pro d Δ Log Archive Δ Sec Read Only Δ Sec Break Glass Δ Security Tooling Δ Shared Services Δ Network Security Infrastructur e Prod SDLC Prod SDLC Workloads Dev Pre-Prod Prod Workloads Dev Pre-Prod Prod
  • 39. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 具体的なガードレールの実装
  • 40. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 参考︓ControlTowerのガードレール • 必須のガードレール • ControlTowerを正常に稼働させるために必要な禁⽌事項をSCPで定義したもの • 独⾃に実装する場合は必須ではないが、ログ保存を停⽌させない実装などが参考になる • 強く推奨されるガードレール • マルチアカウントのベストプラクティスに基づく制限事項 • SCPの例︓rootユーザでアクセスキーを作らない、rootユーザで操作しないなど • ConfigRulesの例︓EBSボリュームが暗号化されていること、S3のパブリック読み書き禁⽌など • 選択的ガードレール • AWS エンタープライズ環境で⼀般的に利⽤されている制限事項 • SCPの例︓MFAなしのS3バケット削除禁⽌、S3バケットのクロスリージョンレプリカ禁⽌など • ConfigRulesの例︓MFAなしのIAMユーザアクセス禁⽌、バージョニングのないS3の禁⽌など
  • 41. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 予防的ガードレールの設定 • 設定⽅法 • Organizations SCP • IAM Permission boundary • IAM Policy • 特にSCPは本当に禁⽌しなければいけな い、権限昇格や管理リソースの破壊防 ⽌のみにフォーカスすることを推奨 • 頑張ると結局Gatekeeperになる [注意] SCPの権限制御は対象アカウントやOUのすべてのユー ザーに影響を与える可能性がある強⼒な機能です。必要最 低限の設定を⼗分なテストを⾏なって適⽤してください。 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-guardrails.html
  • 42. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 発⾒的ガードレールの設定 • 積極的に使⽤する • AWSのベストプラクティスと社内セキュリティポリシーをベース にルールを定め、設定する • 検知したら誰が何をするか決める • 設定⽅法 • ConfigRules • SecurityHub • GuardDuty • ルールセット • ControlTowrの推奨/選択的ガードレール • ConfigRules ConformancePack • SecurityHub CIS/AWSベストプラクティス • Next step • ControlTowerはガードレールを設定するがRemediationは別途必 要 • 設定後のRemediationには、SecurityHubのドキュメントが参考に なる • Remediationの中にはSSM Automationが⽤意されているものも ある(例:デフォルトセキュリティグループの閉塞) • 検知されたもののうち何を通知するかよく検討が必要 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-guardrails.html
  • 43. © 2021, Amazon Web Services, Inc. or its Affiliates. ControlTowerの情報源 • ワークショップ • https://controltower.aws-management.tools/ja/immersionday/ • ⽇本語ブログ • https://aws.amazon.com/jp/blogs/news/category/management-tools/aws-control-tower/ • https://aws.amazon.com/jp/blogs/news/category/management-tools/ • 英語ブログ • https://aws.amazon.com/jp/blogs/mt/category/management-tools/aws-control-tower/ • https://aws.amazon.com/jp/blogs/mt/ • 独⾃にLanding Zoneを実装する • AWS Innovate 2020 [S-7] 増加するシステムをマルチアカウントで効率よく管理する をご参照ください https://d1.awsstatic.com/events/jp/2020/innovate/pdf/S-7_AWSInnovate_Online_Conference_2020_Spring_MultiAccount.pdf
  • 44. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 参考資料(事例) • [AWS Security Roadshow] ⼤規模AWS共通基盤上の発⾒的統制への挑戦 • https://speakerdeck.com/rtechkouhou/da-gui-mo-awsgong-tong-ji-pan-shang-falsefa-jian-de-tong-zhi-hefalsetiao-zhan • [AWS Summit 2019] AWSコンサル事例でわかる パーソルが実現した ガバナ ンスとスピードを兼ね備えた次世代型AWS共通基盤とは • https://pages.awscloud.com/rs/112-TZM-766/images/L2-05.pdf • ZOZOテクノロジーズさんのマルチアカウント事例祭り • 第1回 https://zozotech-inc.connpass.com/event/185894/ • 第2回 https://zozotech-inc.connpass.com/event/200890/ • JAWS DAYS 2021のセッション(マルチアカウント周りの話題多し) • https://jawsdays2021.jaws-ug.jp/timetable/
  • 45. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. まとめ 1. マルチアカウント管理の必要性と考え⽅ 2. マルチアカウント構成のベストプラクティス 3. ControlTowerによるLandingZoneの実現 4. 具体的なガードレールの実装
  • 46. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Appendix • Organizationsが使えない場合どうするか • 認証認可をどう実現するか
  • 47. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Organizationsが使えない場合どうするか
  • 48. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. LandingZoneを⾃分で実装するには何が必要か 1. アカウントの発⾏ • 必要な初期設定の済んだアカウントを作成 2. 管理⽤権限の発⾏ • 対象アカウントを管理するための権限を作成 3. 共有サービスへのアクセス • ADなどの共有サービスやオンプレミスへの接続経路の確保 4. AWSログの集約 • 監査⽤ログの集中かつ安全な保存 5. ガードレールの設置 • 実施してはいけない操作の禁⽌、危険な設定の監視 AWS Innovate 2020 [S-7] 増加するシステムをマルチアカウントで効率よく管理する をご参照ください https://d1.awsstatic.com/events/jp/2020/innovate/pdf/S-7_AWSInnovate_Online_Conference_2020_Spring_MultiAccount.pdf
  • 49. © 2021, Amazon Web Services, Inc. or its Affiliates. Organizations がない場合のLandingZone - 基本⽅針 前提 • 基本的にAWSの各種サービスがマルチアカウント対応の⼀環で Organizationsを利⽤する⽅向で拡張されている • 従来からの機能の中にはアカウント個別指定で管理できるものもある 基本⽅針 • 「AWSアカウントを作ったら最初に必ずやるべき最低限のこと」 だけをアカウント個別に指定して集約 • 認証認可 / CloudTrail / Config / GuardDuty / SecurityHub • 他は無理に集約せずアカウント個別に設定
  • 50. © 2021, Amazon Web Services, Inc. or its Affiliates. OrganizationsなしでLandingZoneを実装するには LandingZoneで特に必要だが Organizationsがないと使えない機能 (1)アカウントの発⾏ (2)SCP (3)タグポリシー (4)AWS SSO
  • 51. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Organizations と密接に関連した機能 Organizations が使えない環境での実現⽅式は以下 (1)アカウントの発⾏ ・⼿動でアカウントを作成する ・リセラーアカウントの場合、リセラーのオペレーションで発⾏する 1.Organizations でアカウントを作成(CLI,SDK) 2.Organizations SCP の設定 3.ベースライン(基本設定)⽤の CloudFormation Stack を作成 • 管理⽤権限(IAM Role) の発⾏ • AWS Config Rules の設定 • 標準VPCの作成・設定 など マルチアカウント環境におけるアカウント発⾏のベストプラクティス AWS Organizations無しでは この部分が実現できない 上記のように、ベースラインを設定したアカウントの⾃動発⾏を実現する仕組みを、 AWSではアカウントファクトリー、またアカウントベンディングマシーン(AVM)として説明している 参考 https://github.com/aws-samples/aws-account-vending-machine
  • 52. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS Organizations と密接に関連した機能 Organizations が使えない環境での実現⽅式は以下 (2)SCP ルートユーザの権限管理だけはSCPが必須 リセラーアカウントの場合ルートユーザを渡さなければ、 IAM Boundaryで同様のことを実現できる (3)タグポリシー アカウント内で実現する場合はIAM Policyをカスタムすることで実現する (4)AWS SSO 外部IdPサービスの利⽤もしくは、 SSO(IDフェデレーション)環境を⾃前で構築 (もしくは踏み台アカウントでSwitch Role)
  • 53. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. マルチアカウントの認証認可をどう実現するか
  • 54. © 2021, Amazon Web Services, Inc. or its Affiliates. 管理⽤権限の発⾏/アクセス環境の実現 対象アカウントを管理するための権限を作成 • ID管理 / アカウントへの フェデレーティッドアクセス アプリケーションアカウント アプリケーションアカウント SSO Active Directory など アプリケーションアカウント A アカウント管理者Role (PowerUser) LZ管理者Role (Administrator) 参照専⽤Role (ReadOnly) その他ログ管理等に必要なRole アカウントA⽤ グループ LZ管理者 アカウントB⽤ グループ 認証 ロール選択 B C • 認証にはIAM Userではなくシングルサインオ ン(SSO) の仕組みを使い、各アカウントにロー ルのみを作成することを推奨 ⽅法1︓AWS SSO ⽅法2︓IDフェデレーション環境を⾃前で構築 ⽅法3︓AWSと連携できる外部IdPを利⽤ <=AWS Organizations必須
  • 55. © 2021, Amazon Web Services, Inc. or its Affiliates. 課題 • 1つの中央IDストアで全システムの全ユーザの認証情報を管理するか︖ • 中央IDストアでは各アカウントの管理者アカウントのみ管理︖ • 各アカウントのIDは、IAM Userで管理してしまう︖別途IDストアとSSOを⽤意︖ アプリケーションアカウント アプリケーションアカウント IdP Active Directory など アプリケーションアカウント A アカウント管理者Role (PowerUser) LZ管理者Role (Administrator) 参照専⽤Role (ReadOnly) アカウントA⽤ グループ LZ管理者 アカウントB⽤ グループ 認証 ロール選択 B C IdP アプリケーションアカウント A アカウント管理者Role 運⽤者Role LZ側認証 アカウントA 管理者 開発者 開発者IAMUser アプリ アカウント側 認証 運⽤者 IdP AD等 AD等 全ユーザを統⼀管理 アカウント管理者はLZで払い出し アカウント内のユーザは個別管理
  • 56. © 2021, Amazon Web Services, Inc. or its Affiliates. 【参考】IDフェデレーション with SAML 概要図 AWS マネジメントコンソール SAML ⽤の AWS サインイ ンエンドポイン ト ユーザーがポータルサイ トをブラウジングする ユーザー を認証す る 認証応答として SAMLアサー ションを受信す る クライアントを コンソールに リダイレクトす る 1 2 3 4 6 5 企業データセンター AWS Cloud (サービスプロバイダー) ポータルサイト/ IDプロバイダー (IdP) アイデンティ ティストア 属性情報に基づいて ロールの⼀時セキュ リティ認証情報を⽣ 成 SAMLアサーションをポスト ユーザー
  • 57. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. シングルサインオンの設計と運⽤ 詳しくはBlackBeltを参照 https://aws.amazon.com/jp/blogs/news/webinar-bb-awsaccountsso-2020/
  • 58. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Thank you