Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

子育てで覚える AWS Organizations 〜ITエンジニア英才教育〜

2,116 views

Published on

JAWS DAYS 2019 で発表した資料です。
子育てのシナリオを使って、
AWS Organizations の機能を理解しましょう

Published in: Technology
  • Be the first to comment

子育てで覚える AWS Organizations 〜ITエンジニア英才教育〜

  1. 1. 子育てで覚える AWS Organizations ~ITエンジニア英才教育~ JawsDays 2019 Opsセッション #jd2019_g
  2. 2. 自己紹介 ▪ PN:九龍真乙 ▪ Twitter: @qryuu ▪ SlideShre: https://www.slideshare.net/qryuu ▪ GitHub: https://github.com/qryuu ▪ クックパッド: https://cookpad.com/kitchen/4142562 ▪ Youtube: https://www.youtube.com/channel/UCcPidyLCfGp49pmF4Zb761Q ▪ 専門:Zabbix, テクニカルサポート, クラウドアーキテクト 2
  3. 3. 注意 登壇者は独身です。 このシナリオは妄想に基づいて作成されています。 3
  4. 4. 子供にAWSを使わせたい ▪ 2020年プログラミング教育が始まります。 – LambdaやStep Functions でプログラム組んでみたり ▪ 夏休みの自由研究に – Amplify Console で観察日記を書いたり。 – AWS IoTで気温や湿度を記録してみたり。 – RekognitionやSageMakerで画像分類してみたり。 4
  5. 5. Organizationsでアカウント管理 家族1人1アカウント 5
  6. 6. Organizationsでアカウント作成 ▪ AWSの英才教育を行うならIAMやVPCではなく、 AWSアカウントを渡したい。 ▪ クレジットカード番号は渡したくない。 6
  7. 7. Organizationsでアカウント作成 ▪ カード情報無しでAWSアカウントが作れる ▪ Organizations 7
  8. 8. Organizationsでアカウント作成 ▪ Organizationsで「アカウントを追加」を行います。 8
  9. 9. Organizationsでアカウント作成 ▪ 表示名とEメールアドレスだけでアカウント作成ができます。 ▪ IAMロール名を入力しておくと、マスターアカウントからロー ル切り替えでAdministrator権限でスイッチできるIAMロールが自 動作成されます。 9
  10. 10. Organizationsでアカウント作成 ▪ アカウントが作成されます。 10
  11. 11. Organizationsでアカウント作成 ▪ IAMロールが自動的に作成されます。 11
  12. 12. Organizationsでアカウント作成 ▪ マスターアカウントが信頼されたエンティティになります。 12
  13. 13. Organizationsでアカウント作成 ▪ 「アカウントの管理」でアカウントの権限を階層的に管理でき ます。 13
  14. 14. Organizationsでアカウント作成 ▪ 子供の成長に合わせて許可するサービスを増減させる事もでき ます。 14
  15. 15. Organizationsでアカウント作成 ▪ 登録したメールアドレスに通知が届きます。 15
  16. 16. Organizationsでアカウント作成 ▪ Organizationsで作成されたアカウントにはパスワードが作られ ていません。 ▪ 「パスワードをお忘れですか?」からパスワード発行をします。 16
  17. 17. Organizationsでアカウント作成 ▪ Organizationsで作成したアカウントにはカード情報がありませ ん。 17
  18. 18. Organizationsでアカウント作成 ▪ これで安心して子供にAWSアカウントを渡せます。 18
  19. 19. PrivateMarketPlace ソリューション購入のペアレンタルコントロール 19
  20. 20. PrivateMarketPlace ▪ AWSを自由に使わせたい。 ▪ でも、クラウド破産は避けたい 20
  21. 21. PrivateMarketPlace ▪ 許可したMarketPlace製品だけを触れるようにしたい。 ▪ PrivateMarketPlace 21
  22. 22. PrivateMarketPlaceの設定 ▪ URLにアクセスしてPrivateMarketPlaceを有効化します。 ▪ https://aws.amazon.com/marketplace/privatemarketplace/getstart ed 22
  23. 23. PrivateMarketPlaceの設定 ▪ PrivateMarketPlaceの管理URLにアクセスします。 ▪ https://aws.amazon.com/marketplace/privatemarketplace/admin 23
  24. 24. PrivateMarketPlaceの設定 ▪ 許可するプロダクトをCheckして、 [Add to Private Marketplace]をクリックします。 24
  25. 25. PrivateMarketPlaceの設定 ▪ [Your Private Marketplace products] に選択したプロダクトが表示 されます。 25
  26. 26. PrivateMarketPlaceの設定 ▪ Childアカウントで https://aws.amazon.com/marketplace/privatemarketplace にアクセスします。 26
  27. 27. PrivateMarketPlaceの設定 ▪ [Explore your Private Marketplace]をクリックすると、 選択したプロダクトだけが表示されます。 27
  28. 28. Organization CloudTrail 操作見守り 28
  29. 29. Organization CloudTrail ▪ Organizationsの[設定]で[アクセスの有効化]を行う事で CloudTrailの組織機能が利用できるようになります。 29
  30. 30. Organization CloudTrail ▪ CloudTrailで「組織に証跡を適用」を「はい」にして設定すれば Organizations内のすべてのアカウントでCloudTrailが有効になり ます。 30
  31. 31. Organization CloudTrail ▪ OrganizationsでCloudTrailを設定すると、子アカウントではその 設定を無効化できません。 31
  32. 32. Organization CloudTrail ▪ S3にアカウントID毎のフォルダが作られて、CloudTrailのログが 保存されます。 32
  33. 33. Organization CloudTrail ▪ CloudTrailのデータは設定したバケットに保存されますので、マ スターアカウントのS3バケットにデータを集めるようにしてお けば、子供のアカウントの異常を確認できます。 ▪ 無効化できないので、反抗期が来ても安心。 ▪ 見守り設定があれば安心ですね。 33
  34. 34. Resource Access Manager 家族の共有サービスリソース 34
  35. 35. Resource Access Manager ▪ 以下のAWSリソースを共有できます。 – VPC Subnet – Transit Gateway – Resolver Rure – License Manager 35
  36. 36. Resource Access Manager ▪ [Create a resource share] をクリックします。 36
  37. 37. Resource Access Manager ▪ 共有名を設定します。 37
  38. 38. Resource Access Manager ▪ 共有するリソースタイプを選択します。 38
  39. 39. Resource Access Manager ▪ 共有するリソースを選択します。 – デフォルトVPCのリソースは選択できません。 39
  40. 40. Resource Access Manager ▪ 2019/02/18現在、初期設定時にPrincipalsを入力すると エラーになるので、ひとまず何も入れずに設定します。 40
  41. 41. Resource Access Manager ▪ [Create resource share] をクリックして設定を保存します。 41
  42. 42. Resource Access Manager ▪ 作成したResourceShare設定を選択して[Modify]をクリックしま す。 42
  43. 43. Resource Access Manager ▪ 共有先の組織ID、OU-IDもしくはAWSアカウントを入力します。 43
  44. 44. Resource Access Manager ▪ マスターアカウントで[Enable sharing within your AWS Organization]にCheckを入れ、[Save Settings]をクリックします。 44
  45. 45. Resource Access Manager ▪ 子アカウントでは共有されたアカウントが(shared)として表示さ れます。 45
  46. 46. Resource Access Manager ▪ 自宅とVPN接続したサブネットを共有サブネットにすることで、 アカウント毎にVPN設定を行わずに、家族の共有サブネットと して利用する事ができるようになります。 ▪ VPNやファイルサーバなど共有したいリソースを共有サブネッ トに配置、個別の学習や開発はそれぞれのアカウントで行う事 でリソースの重複を避ける事ができます。 46
  47. 47. まとめ 47
  48. 48. まとめ ▪ AWS Organizations で安心して子供にAWSアカウントを使わせて、 英才教育ができますね。 ▪ アカウントは切り離しができるので、成長して独立するときも 安心。 ▪ 子供だけではなく子会社や事業部のアカウント管理にも もちろん使えます。 48

×