SlideShare a Scribd company logo

Jaws controltower

AWS control tower I looked up control tower's cloudformation and draw diagram.

1 of 33
Download to read offline
AWS control towerの中身をみる
自己紹介
名前:富松 広太(とみまつ こうた)
Blog:https://cloud-aws-gcp.hateblo.jp/
twitter:@kotamemento
所属:株式会社 Turn and Frontier(関西クラウドベンダー)
2020 APN ALL AWS Certifications Engineer
from:滋賀県
Control Towerのnewsが
AWS Control Towerの前に(multi accounts)
Master
Account
Core OU
管理
Custom OU
通常利用
Log Archive
Account
Audit
Account
your account...
Other
Purpose(NW)
your account...
your account...
your account... AWS Account
OU
(グループ)
凡例
AWS Control Towerの前に(multi accounts)
AWS Control Towerの前に(multi accounts)
管理用のリソースを配置
目的別にアカウントを分ける

Recommended

Organizations周りの機能
Organizations周りの機能Organizations周りの機能
Organizations周りの機能kota tomimatsu
 
aws-multiaccount-notify
aws-multiaccount-notifyaws-multiaccount-notify
aws-multiaccount-notifykota tomimatsu
 
aws-Organizations-aroud
aws-Organizations-aroudaws-Organizations-aroud
aws-Organizations-aroudkota tomimatsu
 
Aws organization multi_accounts
Aws organization multi_accountsAws organization multi_accounts
Aws organization multi_accountskota tomimatsu
 
おひとりさまAWS Organizationsのススメ
おひとりさまAWS OrganizationsのススメおひとりさまAWS Organizationsのススメ
おひとりさまAWS OrganizationsのススメMakio Tsukamoto
 
aws health organizations notifications
aws health organizations notificationsaws health organizations notifications
aws health organizations notificationskota tomimatsu
 

More Related Content

What's hot

Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみたSophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみたmorisshi
 
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」morisshi
 
AWSが誕生するまでの秘話
AWSが誕生するまでの秘話AWSが誕生するまでの秘話
AWSが誕生するまでの秘話Yasuhiro Horiuchi
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てHinemos
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...Amazon Web Services Japan
 
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったことAWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったことTakayuki Ishikawa
 
AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方morisshi
 
Introduction to New CloudWatch Agent
Introduction to New CloudWatch AgentIntroduction to New CloudWatch Agent
Introduction to New CloudWatch AgentNoritaka Sekiyama
 
いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013SORACOM, INC
 
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編Amazon Web Services Japan
 
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービスAWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービスAi Hayakawa
 
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction20211111 Security-JAWS Introduction
20211111 Security-JAWS IntroductionTyphon 666
 
AWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデート
AWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデートAWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデート
AWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデートAmazon Web Services Japan
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWSNoritaka Sekiyama
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamHayato Kiriyama
 
AWS Solution Architect Associate試験勉強メモ
AWS Solution Architect Associate試験勉強メモAWS Solution Architect Associate試験勉強メモ
AWS Solution Architect Associate試験勉強メモTadayasu Yotsu
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) Amazon Web Services Japan
 

What's hot (20)

Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみたSophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみた
 
AWS Organizations
AWS OrganizationsAWS Organizations
AWS Organizations
 
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
 
AWSが誕生するまでの秘話
AWSが誕生するまでの秘話AWSが誕生するまでの秘話
AWSが誕生するまでの秘話
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
 
Amazon Inspectorについて
Amazon InspectorについてAmazon Inspectorについて
Amazon Inspectorについて
 
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったことAWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
 
ElasticCloud
ElasticCloudElasticCloud
ElasticCloud
 
AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方AWSにおけるセキュリティの考え方
AWSにおけるセキュリティの考え方
 
Introduction to New CloudWatch Agent
Introduction to New CloudWatch AgentIntroduction to New CloudWatch Agent
Introduction to New CloudWatch Agent
 
いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013いまさら聞けないAWSクラウド - Java Festa 2013
いまさら聞けないAWSクラウド - Java Festa 2013
 
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編
[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編
 
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービスAWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービス
 
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
 
AWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデート
AWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデートAWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデート
AWS Blackbelt 2015シリーズ AWS Summit Tokyo 2015 ふりかえり&最新アップデート
 
Security Operations and Automation on AWS
Security Operations and Automation on AWSSecurity Operations and Automation on AWS
Security Operations and Automation on AWS
 
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyamIVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
IVS_CTO_Night_and_Day_2016_Morning_Session_B-4_hkiriyam
 
AWS Solution Architect Associate試験勉強メモ
AWS Solution Architect Associate試験勉強メモAWS Solution Architect Associate試験勉強メモ
AWS Solution Architect Associate試験勉強メモ
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
 

Similar to Jaws controltower

AWSアカウントに関する不正使用を整理してみた
AWSアカウントに関する不正使用を整理してみたAWSアカウントに関する不正使用を整理してみた
AWSアカウントに関する不正使用を整理してみたNaoto Katsumi
 
Control Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめようControl Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめようKanako Kodera
 
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のことDay 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のことAmazon Web Services Japan
 
初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)
初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)
初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)Yutaka Fujisaki
 
I have a problem when operating AWS with multiple accounts
I have a problem when operating AWS with multiple accountsI have a problem when operating AWS with multiple accounts
I have a problem when operating AWS with multiple accountsYukiya Hayashi
 
Serverless Architecture on AWS(20151023版)
Serverless Architecture on AWS(20151023版)Serverless Architecture on AWS(20151023版)
Serverless Architecture on AWS(20151023版)Keisuke Nishitani
 
Serverless Architecture on AWS (20151201版)
Serverless Architecture on AWS (20151201版)Serverless Architecture on AWS (20151201版)
Serverless Architecture on AWS (20151201版)Keisuke Nishitani
 
Serverless Architecture on AWS(20151121版)
Serverless Architecture on AWS(20151121版)Serverless Architecture on AWS(20151121版)
Serverless Architecture on AWS(20151121版)Keisuke Nishitani
 
クラウド連携のキモは管理用API
クラウド連携のキモは管理用APIクラウド連携のキモは管理用API
クラウド連携のキモは管理用APIAtsushi Nakada
 
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜Hiroki Uchida
 
Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013Yasuhiro Horiuchi
 
AWSのサービスをできるだけ説明するv2 @jaws福島
AWSのサービスをできるだけ説明するv2 @jaws福島AWSのサービスをできるだけ説明するv2 @jaws福島
AWSのサービスをできるだけ説明するv2 @jaws福島Masayuki Sakamoto
 
20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit ManagerAmazon Web Services Japan
 
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows PowershellAWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows PowershellAmazon Web Services Japan
 
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShellAmazon Web Services Japan
 
Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223Hayato Kiriyama
 

Similar to Jaws controltower (20)

AWSアカウントに関する不正使用を整理してみた
AWSアカウントに関する不正使用を整理してみたAWSアカウントに関する不正使用を整理してみた
AWSアカウントに関する不正使用を整理してみた
 
Control Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめようControl Towerでマルチアカウント管理をはじめよう
Control Towerでマルチアカウント管理をはじめよう
 
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
 
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のことDay 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
 
初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)
初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)
初心者向けクラウド勉強会EC2ハンズオン資料(2014/05/31)
 
I have a problem when operating AWS with multiple accounts
I have a problem when operating AWS with multiple accountsI have a problem when operating AWS with multiple accounts
I have a problem when operating AWS with multiple accounts
 
Serverless Architecture on AWS(20151023版)
Serverless Architecture on AWS(20151023版)Serverless Architecture on AWS(20151023版)
Serverless Architecture on AWS(20151023版)
 
Serverless Architecture on AWS (20151201版)
Serverless Architecture on AWS (20151201版)Serverless Architecture on AWS (20151201版)
Serverless Architecture on AWS (20151201版)
 
Serverless Architecture on AWS(20151121版)
Serverless Architecture on AWS(20151121版)Serverless Architecture on AWS(20151121版)
Serverless Architecture on AWS(20151121版)
 
クラウド連携のキモは管理用API
クラウド連携のキモは管理用APIクラウド連携のキモは管理用API
クラウド連携のキモは管理用API
 
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
AWS Command Line Interface (AWS CLI) version 2 GA記念! 〜今からでも間に合う機能のおさらい〜
 
Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013
 
Black Belt Online Seminar Amazon CloudWatch
Black Belt Online Seminar Amazon CloudWatchBlack Belt Online Seminar Amazon CloudWatch
Black Belt Online Seminar Amazon CloudWatch
 
AWSのサービスをできるだけ説明するv2 @jaws福島
AWSのサービスをできるだけ説明するv2 @jaws福島AWSのサービスをできるだけ説明するv2 @jaws福島
AWSのサービスをできるだけ説明するv2 @jaws福島
 
Security hub workshop
Security hub workshopSecurity hub workshop
Security hub workshop
 
20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager20210309 AWS Black Belt Online Seminar AWS Audit Manager
20210309 AWS Black Belt Online Seminar AWS Audit Manager
 
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows PowershellAWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
AWS Black Belt Tech シリーズ 2015 AWS CLI & AWS Tools for Windows Powershell
 
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
 
Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223Security JAWS Amazon GuardDuty 20180223
Security JAWS Amazon GuardDuty 20180223
 
はじめてのAWS CLI
はじめてのAWS CLIはじめてのAWS CLI
はじめてのAWS CLI
 

More from kota tomimatsu

Aws github-actions-with-role
Aws github-actions-with-roleAws github-actions-with-role
Aws github-actions-with-rolekota tomimatsu
 
Cloudnative online-2021-stepfunction
Cloudnative online-2021-stepfunctionCloudnative online-2021-stepfunction
Cloudnative online-2021-stepfunctionkota tomimatsu
 
AWS Client vpn pattern
AWS Client vpn patternAWS Client vpn pattern
AWS Client vpn patternkota tomimatsu
 

More from kota tomimatsu (7)

Aws github-actions-with-role
Aws github-actions-with-roleAws github-actions-with-role
Aws github-actions-with-role
 
jaws securityhub
jaws securityhubjaws securityhub
jaws securityhub
 
Cloudnative online-2021-stepfunction
Cloudnative online-2021-stepfunctionCloudnative online-2021-stepfunction
Cloudnative online-2021-stepfunction
 
Cloudfront cli tips
Cloudfront cli tipsCloudfront cli tips
Cloudfront cli tips
 
AWS Client vpn pattern
AWS Client vpn patternAWS Client vpn pattern
AWS Client vpn pattern
 
ClientVPNとPrivateca
ClientVPNとPrivatecaClientVPNとPrivateca
ClientVPNとPrivateca
 
AWS Client VPN
AWS Client VPNAWS Client VPN
AWS Client VPN
 

Jaws controltower

  • 2. 自己紹介 名前:富松 広太(とみまつ こうた) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 所属:株式会社 Turn and Frontier(関西クラウドベンダー) 2020 APN ALL AWS Certifications Engineer from:滋賀県
  • 4. AWS Control Towerの前に(multi accounts) Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account... AWS Account OU (グループ) 凡例
  • 6. AWS Control Towerの前に(multi accounts) 管理用のリソースを配置 目的別にアカウントを分ける
  • 7. AWS Control Towerの前に(multi accounts) 通常のアプリケーション用の アカウント
  • 8. AWS Control Towerの前に(multi accounts) 複数アカウントで共有するリソースをまと める
  • 9. AWS Control Towerの前に Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account...
  • 10. AWS Control Tower適応前 Master Account your account... your account... your account... your account... Master Accountの下に 複数のアカウントが存在 する
  • 11. AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 管理用アカウントが生成される (1)Log Archievアカウント (2)Auditアカウント 即座に既存アカウントへの影響はな し
  • 12. ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account...
  • 13. AWS Control Towerを有効化すると Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 14. AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... Landing Zone ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い
  • 15. AWS Control Towerを有効化すると Control Towerを有効化すると自動作成してくれる どう実現しているのか? Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 16. AWS Control Towerを有効化すると Cloudformation(stack sets)でconfigを有効化することで実現 Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 17. AWS Control Towerを有効化すると 5~10個ぐらいcloudformaiton(stack sets)がdeployされている AWSControlTowerBP-BASELINE-CLOUDTRAIL AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES ・・・・・・ It is a good idea to review the templates of these stack sets and make sure that they don’t conflict with your existing policies. cloudformationを全部読めってことか・・・
  • 18. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ configを無効化させないと controltower適応時にエラーとなる
  • 19. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 20. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 21. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 22. AWS Control Towerを有効化すると ほぼSCPで実現 SCPの方はドキュメントに分かりやすい記述がある(量は多いが) Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を不可となるよう制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 23. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ SCPを(強制)適応 controltower関連リソース を削除不可に SCPを(強制)適応 controltower関連リソース を削除不可に
  • 25. AWS Control Towerで困ったこと Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 都合の異なる組織が利用しており SCPによる縛りが 自社ビジネスに適さないかも
  • 26. AWS Control Tower vs Organizations Organizationsの機能で、ほぼ同様の機能が存在する
  • 27. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 28. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ cloudformation stack sets でconfigを有効化
  • 29. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations config 権限移譲 cloudformation stack sets でconfigを有効化
  • 30. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations cloudtrail 権限移譲 organizations config 権限移譲 cloudformation stack sets でconfigを有効化
  • 33. 参考リンク AWS マルチアカウント のBest Practice https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2 AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~ まとめ~ https://fu3ak1.hatenablog.com/entry/2021/01/28/002536 zozoテクノロジーズ AWSマルチアカウント事例祭り https://techblog.zozo.com/entry/20210209-meetup-report AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制 https://www.youtube.com/watch?v=JpJjJ39c5oQ