Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
What to Upload to SlideShare
Next
Download to read offline and view in fullscreen.

Share

Jaws controltower

Download to read offline

AWS control tower
I looked up control tower's cloudformation and draw diagram.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Jaws controltower

  1. 1. AWS control towerの中身をみる
  2. 2. 自己紹介 名前:富松 広太(とみまつ こうた) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 所属:株式会社 Turn and Frontier(関西クラウドベンダー) 2020 APN ALL AWS Certifications Engineer from:滋賀県
  3. 3. Control Towerのnewsが
  4. 4. AWS Control Towerの前に(multi accounts) Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account... AWS Account OU (グループ) 凡例
  5. 5. AWS Control Towerの前に(multi accounts)
  6. 6. AWS Control Towerの前に(multi accounts) 管理用のリソースを配置 目的別にアカウントを分ける
  7. 7. AWS Control Towerの前に(multi accounts) 通常のアプリケーション用の アカウント
  8. 8. AWS Control Towerの前に(multi accounts) 複数アカウントで共有するリソースをまと める
  9. 9. AWS Control Towerの前に Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account...
  10. 10. AWS Control Tower適応前 Master Account your account... your account... your account... your account... Master Accountの下に 複数のアカウントが存在 する
  11. 11. AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 管理用アカウントが生成される (1)Log Archievアカウント (2)Auditアカウント 即座に既存アカウントへの影響はな し
  12. 12. ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account...
  13. 13. AWS Control Towerを有効化すると Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  14. 14. AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... Landing Zone ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い
  15. 15. AWS Control Towerを有効化すると Control Towerを有効化すると自動作成してくれる どう実現しているのか? Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  16. 16. AWS Control Towerを有効化すると Cloudformation(stack sets)でconfigを有効化することで実現 Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  17. 17. AWS Control Towerを有効化すると 5~10個ぐらいcloudformaiton(stack sets)がdeployされている AWSControlTowerBP-BASELINE-CLOUDTRAIL AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES ・・・・・・ It is a good idea to review the templates of these stack sets and make sure that they don’t conflict with your existing policies. cloudformationを全部読めってことか・・・
  18. 18. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ configを無効化させないと controltower適応時にエラーとなる
  19. 19. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  20. 20. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  21. 21. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  22. 22. AWS Control Towerを有効化すると ほぼSCPで実現 SCPの方はドキュメントに分かりやすい記述がある(量は多いが) Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を不可となるよう制限 =>SCP(OrganizationレベルのIAM)で制限する
  23. 23. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ SCPを(強制)適応 controltower関連リソース を削除不可に SCPを(強制)適応 controltower関連リソース を削除不可に
  24. 24. AWS Control Towerで困ったこと configが自由に設定できなくなる・・・
  25. 25. AWS Control Towerで困ったこと Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 都合の異なる組織が利用しており SCPによる縛りが 自社ビジネスに適さないかも
  26. 26. AWS Control Tower vs Organizations Organizationsの機能で、ほぼ同様の機能が存在する
  27. 27. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  28. 28. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ cloudformation stack sets でconfigを有効化
  29. 29. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations config 権限移譲 cloudformation stack sets でconfigを有効化
  30. 30. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations cloudtrail 権限移譲 organizations config 権限移譲 cloudformation stack sets でconfigを有効化
  31. 31. 振り返り これから multiaccount管理 config利用していないor 一時的に無効化可能 ControlTower Organizations 子アカウントへの SCP縛りが 問題ない ControlTower 対応リージョンを 利用している No No No Yes Yes Yes
  32. 32. まとめ ・Control Tower は数クリックでマルチアカウント管理を構築可能 ・ControlTower便利だけど何が起きるかは知っておいた方が良い Cloudformation読み解くの面倒な場合は、本資料をご参考ください ・Organizations運用されてる or これからされる方、絡んでください ※営業ではなく  (twitter:@kotamemento)
  33. 33. 参考リンク AWS マルチアカウント のBest Practice https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2 AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~ まとめ~ https://fu3ak1.hatenablog.com/entry/2021/01/28/002536 zozoテクノロジーズ AWSマルチアカウント事例祭り https://techblog.zozo.com/entry/20210209-meetup-report AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制 https://www.youtube.com/watch?v=JpJjJ39c5oQ

AWS control tower I looked up control tower's cloudformation and draw diagram.

Views

Total views

3,431

On Slideshare

0

From embeds

0

Number of embeds

2,828

Actions

Downloads

5

Shares

0

Comments

0

Likes

0

×