More Related Content
Similar to Control Towerでマルチアカウント管理をはじめよう
Similar to Control Towerでマルチアカウント管理をはじめよう (20)
More from Kanako Kodera (6)
Control Towerでマルチアカウント管理をはじめよう
- 1. Copyright © IDS Corporation. All rights reserved.
1
Confidential
Control Towerで
マルチアカウント管理をはじめよう
JAWS-UG朝会 #47
- 2. Copyright © IDS Corporation. All rights reserved.
2
Confidential 2
自己紹介
株式会社アイディーエス 小寺 加奈子(こでら かなこ)
【仕事】
AWSアライアンスリード
【ミッション】
日越でのAWSのビジネスグロース
【好きなAWSサービス】
Cost Explorer
- 3. Copyright © IDS Corporation. All rights reserved.
3
Confidential 3
本日のゴール
アジェンダ
・AWSのマルチアカウント管理とは?
・マルチアカウントについての理解
ゴール
・マルチアカウントなAWS環境を構築する上でのベ
ストプラクティスを理解いただく
- 4. Copyright © IDS Corporation. All rights reserved.
4
Confidential
AWSのマルチアカウント
管理とは?
- 5. Copyright © IDS Corporation. All rights reserved.
5
Confidential 5
Why?マルチアカウント管理?
こんなお悩みありませんか
お客様ごとにAWSアカウントを分ける必要が
出てきた
さまざまなAWSサービスでセンシティブな情
報を扱う必要が出てきた
社内の部門毎、プロジェクト毎にアカウント
を分けた方がいい?
さまざまな部門関係者/ベンダーが関わる大規
模PJになりそう
- 6. Copyright © IDS Corporation. All rights reserved.
6
Confidential 6
AWSでは、個別アカウントごとにワークロードを整理し、機
能、コンプライアンス要件、共通のコントロールセットに基
づいてアカウントをグループ化することを推奨しています
AWSでのマルチアカウント管理
AWS
Organizations
✔アカウント作成後の制御を自動化
✔ワークロードの要件と目的に応じた異なる環
境の組織単位 (OU) でアカウントをグループ化
- 7. Copyright © IDS Corporation. All rights reserved.
7
Confidential 7
マルチアカウント管理のメリット
さまざまなAWSアカウント要件に対応
請求の管理が簡単になる
→プロジェクト単位、本番、開発環境単位など
柔軟なセキュリティ制御
特定のセキュリティ要件や業界要件を
持つワークロードに強力なポリシーが適用できる
- 8. Copyright © IDS Corporation. All rights reserved.
8
Confidential 8
どのOUを分ければよい?
SCPについての定義
サービスコントロールポリシー(SCP)を
OUに対し設定することで、そのOUに紐づく全ての
AWSアカウントに各AWSアカウントのルートユーザー権限で
も操作できない強力なポリシーを強制することができます。
OUを分ける前に考えたい・・・
プロダクトおよびソフトウェア開発ライフサイクル (SDLC)
- 9. Copyright © IDS Corporation. All rights reserved.
9
Confidential 9
プロダクトおよびソフトウェア開発ライフサイクル (SDLC)
【前提】
本番ワークロードと非本番環境以外ではポリシー要件が異な
る
非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU
をもつことが多い。
非本番環境のアカウントから本番環境への依存関係を持つべ
きではない
- 10. Copyright © IDS Corporation. All rights reserved.
10
Confidential 10
OUの分け方(例)
例)本番環境と非本番環境でOUを区別する場合
•Prod OU
• Prod Account
•SDLC OU
• stg Account
• dev Account
インフラストラクチャOU
(Infrastructure)
ネットワークや IT サービスなどの
共有インフラストラクチャサービス
セキュリティ(Security)OU
セキュリティ関連のアクセスおよび
サービスをホスト
- 11. Copyright © IDS Corporation. All rights reserved.
11
Confidential 11
OUの分け方(例)さらに踏み込んで
OU: サンドボックス (Sandbox)
個々の技術者の AWS アカウントを対象とし、
AWS のサービスの学習用
OU: ワークロード (Workloads)
ソフトウェアライフサイクルに関連する AWS ア
カウントが作成される OU
- 12. Copyright © IDS Corporation. All rights reserved.
12
Confidential 12
セキュリティOU
Security OU は基本となる OU です。セキュリティ組織は、
OU を子OU および関連するアカウントとともに所有・管理
が推奨です!
ログアーカイブ:Log
archive
セキュリティ ツーリング:
Security tooling
セキュリティの読み取り専
用アクセス:Security
read-only access
セキュリティ ブレークグラ
ス:Security break-glass
- 13. Copyright © IDS Corporation. All rights reserved.
13
Confidential 13
セキュリティOUの推奨アカウント
ログアーカイブ:Log archive
すべての AWS アカウントから収集されたセキュリティに関
連する AWS アクセスログおよび監査ログを統合
セキュリティ ツーリング:Security tooling
セキュリティ関連のワークロードとサービス、ツール、お
よびデータをホストする 1 つ以上の AWS アカウント
セキュリティの読み取り専用アクセス
セキュリティチームのメンバーが、監査、セキュリティテス
ト、および調査のために、組織内の他の AWS アカウントに
読み取り専用の権限を使用してアクセス
セキュリティ ブレークグラス:Security break-glass
平常時は使わず、セキュリティインシデント時にセキュリ
ティチームのメンバーが使用できる AWS アカウント
- 14. Copyright © IDS Corporation. All rights reserved.
14
Confidential
マルチアカウント管理の
ベストプラクティス
- 15. Copyright © IDS Corporation. All rights reserved.
15
Confidential 15
マルチアカウント管理を始める
AWS ControlTowerはAWSアカウントを
統制する上のベストサービス!
セットアップの自動化
セキュリティ・ログ統制の維持
無償で利⽤可能
- 16. Copyright © IDS Corporation. All rights reserved.
16
Confidential 16
Control Towerまず有効化してみよう
2つの以下のアカウントが自動で作成されるので、
削除しないよう運用します!
すべてのアカウント監査を実施する
監査アカウント(Audit)
すべてのアカウントのログを集約・管理する
ログアーカイブアカウント
- 17. Copyright © IDS Corporation. All rights reserved.
17
Confidential 17
Control Towerまず有効化してみよう
AWS Control Tower がランディングゾーンに対して求める
許可を行う。
ランディングゾーンは、Well-Architected による
マルチアカウントの AWS 環境で、
セキュリティとコンプライアンスのベストプラクティスに基
づいています。
- 18. Copyright © IDS Corporation. All rights reserved.
18
Confidential 18
Landing Zoneとは?
Landing Zoneでできること
マルチアカウント環境をセットアップ
AWS IAM アイデンティティセンター を使ったID 管理や
フェデレーティッドアクセス
AWS CloudTrail のログや、Amazon Simple Storage
Service (Amazon S3) に保存される AWS Config のログ
を集中管理
AWS IAM アイデンティティセンター (AWS SSO の後継)
を使用してクロスアカウントのセキュリティ監査
- 19. Copyright © IDS Corporation. All rights reserved.
19
Confidential 19
ガードレールとは?
ガードレールは、セキュリティ、オペレーション、コンプラ
イアンス向けの事前にパッケージ化されたガバナンスルール
です。
利用者が「どのようなルールを?」「何のために?」有効化
するのかを選択します。
特定のガバナンスポリシーが AWS 環境に適用され、AWS
Organizations の組織単位 (OU) 内で有効になります。
- 20. Copyright © IDS Corporation. All rights reserved.
20
Confidential 20
2つのガードレール
必須および任意のガードレール
必須はセットアップ時に自動的に有効化
任意のガードレールはいつでも有効化できます
予防用および検出用のガードレール
予防用ガードレールでは、意図を確立し、ポリシーに違反す
るリソースのデプロイを防止
- 21. Copyright © IDS Corporation. All rights reserved.
21
Confidential 21
予防用および検出用ガードレールを有効活用する
予防用および検出用のガードレール
•AWS CloudFormation を使用して基本設定を確立する
•サービスコントロールポリシー (予防用ガードレール向け)
を使用して基盤となる実装への設定変更を防止する
•AWS Config ルール (検出用ガードレール向け) を使用して
設定変更を継続的に検出する
•AWS Control Tower ダッシュボードでガードレールのス
テータスを更新する
- 22. Copyright © IDS Corporation. All rights reserved.
22
Confidential 22
2つのガードレール
必須ガードレール例
•AWS Control Tower や AWS CloudFormation で設定され
た AWS IAM ロールの変更を不許可にする
•ログアーカイブの公開読み取りアクセス設定の検出
•ログアーカイブの AWS Control Tower で作成された
Amazon S3 バケットのバケットポリシーの変更を許可しない
•クロスリージョンのネットワークを禁止する
- 23. Copyright © IDS Corporation. All rights reserved.
23
Confidential 23
2つのガードレール
任意ガードレール例
•Amazon S3 バケットへの公開書き込みアクセスが許可され
ているかどうかの検出
•ルートユーザーの MFA が有効であるかどうかの検出
•Amazon EC2 インスタンスに接続された Amazon EBS ボ
リュームの暗号化が有効であるかどうかの検出
- 24. Copyright © IDS Corporation. All rights reserved.
24
Confidential 24
Well-Architectedフレームワークでも出てくる
•SEC01-BP01 アカウントを使用してワークロードを分ける:
•SEC01-BP02 セキュアアカウントのルートユーザーおよび
プロパティ
- 25. Copyright © IDS Corporation. All rights reserved.
25
Confidential 25
まとめ
AWS アカウントの管理と分離がポイント
アカウントを一元管理する→Organizations
制御を一括設定する→SCP
サービスとリソースを一括設定する
→CloudTrail,Config