SlideShare a Scribd company logo

Control Towerでマルチアカウント管理をはじめよう

K
Kanako Kodera

JAWS-UG朝会 #47

Technology
1 of 25
Download to read offline
Copyright © IDS Corporation. All rights reserved. 1 Confidential Control Towerで マルチアカウント管理をはじめよう JAWS-UG朝会 #47
Copyright © IDS Corporation. All rights reserved. 2 Confidential 2 自己紹介 株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード 【ミッション】 日越でのAWSのビジネスグロース 【好きなAWSサービス】 Cost Explorer
Copyright © IDS Corporation. All rights reserved. 3 Confidential 3 本日のゴール  アジェンダ ・AWSのマルチアカウント管理とは? ・マルチアカウントについての理解  ゴール ・マルチアカウントなAWS環境を構築する上でのベ ストプラクティスを理解いただく
Copyright © IDS Corporation. All rights reserved. 4 Confidential AWSのマルチアカウント 管理とは?
Copyright © IDS Corporation. All rights reserved. 5 Confidential 5 Why?マルチアカウント管理? こんなお悩みありませんか  お客様ごとにAWSアカウントを分ける必要が 出てきた  さまざまなAWSサービスでセンシティブな情 報を扱う必要が出てきた  社内の部門毎、プロジェクト毎にアカウント を分けた方がいい?  さまざまな部門関係者/ベンダーが関わる大規 模PJになりそう
Copyright © IDS Corporation. All rights reserved. 6 Confidential 6 AWSでは、個別アカウントごとにワークロードを整理し、機 能、コンプライアンス要件、共通のコントロールセットに基 づいてアカウントをグループ化することを推奨しています AWSでのマルチアカウント管理 AWS Organizations ✔アカウント作成後の制御を自動化 ✔ワークロードの要件と目的に応じた異なる環 境の組織単位 (OU) でアカウントをグループ化
Copyright © IDS Corporation. All rights reserved. 7 Confidential 7 マルチアカウント管理のメリット  さまざまなAWSアカウント要件に対応  請求の管理が簡単になる →プロジェクト単位、本番、開発環境単位など  柔軟なセキュリティ制御 特定のセキュリティ要件や業界要件を 持つワークロードに強力なポリシーが適用できる
Copyright © IDS Corporation. All rights reserved. 8 Confidential 8 どのOUを分ければよい? SCPについての定義 サービスコントロールポリシー(SCP)を OUに対し設定することで、そのOUに紐づく全ての AWSアカウントに各AWSアカウントのルートユーザー権限で も操作できない強力なポリシーを強制することができます。 OUを分ける前に考えたい・・・ プロダクトおよびソフトウェア開発ライフサイクル (SDLC)
Copyright © IDS Corporation. All rights reserved. 9 Confidential 9 プロダクトおよびソフトウェア開発ライフサイクル (SDLC) 【前提】 本番ワークロードと非本番環境以外ではポリシー要件が異な る 非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU をもつことが多い。 非本番環境のアカウントから本番環境への依存関係を持つべ きではない
Copyright © IDS Corporation. All rights reserved. 10 Confidential 10 OUの分け方(例) 例)本番環境と非本番環境でOUを区別する場合 •Prod OU • Prod Account •SDLC OU • stg Account • dev Account  インフラストラクチャOU (Infrastructure) ネットワークや IT サービスなどの 共有インフラストラクチャサービス  セキュリティ(Security)OU セキュリティ関連のアクセスおよび サービスをホスト
Copyright © IDS Corporation. All rights reserved. 11 Confidential 11 OUの分け方(例)さらに踏み込んで  OU: サンドボックス (Sandbox) 個々の技術者の AWS アカウントを対象とし、 AWS のサービスの学習用  OU: ワークロード (Workloads) ソフトウェアライフサイクルに関連する AWS ア カウントが作成される OU
Copyright © IDS Corporation. All rights reserved. 12 Confidential 12 セキュリティOU Security OU は基本となる OU です。セキュリティ組織は、 OU を子OU および関連するアカウントとともに所有・管理 が推奨です!  ログアーカイブ:Log archive  セキュリティ ツーリング: Security tooling  セキュリティの読み取り専 用アクセス:Security read-only access  セキュリティ ブレークグラ ス:Security break-glass
Copyright © IDS Corporation. All rights reserved. 13 Confidential 13 セキュリティOUの推奨アカウント  ログアーカイブ:Log archive すべての AWS アカウントから収集されたセキュリティに関 連する AWS アクセスログおよび監査ログを統合  セキュリティ ツーリング:Security tooling セキュリティ関連のワークロードとサービス、ツール、お よびデータをホストする 1 つ以上の AWS アカウント  セキュリティの読み取り専用アクセス セキュリティチームのメンバーが、監査、セキュリティテス ト、および調査のために、組織内の他の AWS アカウントに 読み取り専用の権限を使用してアクセス  セキュリティ ブレークグラス:Security break-glass 平常時は使わず、セキュリティインシデント時にセキュリ ティチームのメンバーが使用できる AWS アカウント
Copyright © IDS Corporation. All rights reserved. 14 Confidential マルチアカウント管理の ベストプラクティス
Copyright © IDS Corporation. All rights reserved. 15 Confidential 15 マルチアカウント管理を始める AWS ControlTowerはAWSアカウントを 統制する上のベストサービス!  セットアップの自動化  セキュリティ・ログ統制の維持  無償で利⽤可能
Copyright © IDS Corporation. All rights reserved. 16 Confidential 16 Control Towerまず有効化してみよう 2つの以下のアカウントが自動で作成されるので、 削除しないよう運用します!  すべてのアカウント監査を実施する 監査アカウント(Audit)  すべてのアカウントのログを集約・管理する ログアーカイブアカウント
Copyright © IDS Corporation. All rights reserved. 17 Confidential 17 Control Towerまず有効化してみよう AWS Control Tower がランディングゾーンに対して求める 許可を行う。  ランディングゾーンは、Well-Architected による マルチアカウントの AWS 環境で、 セキュリティとコンプライアンスのベストプラクティスに基 づいています。
Copyright © IDS Corporation. All rights reserved. 18 Confidential 18 Landing Zoneとは? Landing Zoneでできること  マルチアカウント環境をセットアップ  AWS IAM アイデンティティセンター を使ったID 管理や フェデレーティッドアクセス  AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログ を集中管理  AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントのセキュリティ監査
Copyright © IDS Corporation. All rights reserved. 19 Confidential 19 ガードレールとは? ガードレールは、セキュリティ、オペレーション、コンプラ イアンス向けの事前にパッケージ化されたガバナンスルール です。 利用者が「どのようなルールを?」「何のために?」有効化 するのかを選択します。 特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。
Copyright © IDS Corporation. All rights reserved. 20 Confidential 20 2つのガードレール  必須および任意のガードレール 必須はセットアップ時に自動的に有効化 任意のガードレールはいつでも有効化できます  予防用および検出用のガードレール 予防用ガードレールでは、意図を確立し、ポリシーに違反す るリソースのデプロイを防止
Copyright © IDS Corporation. All rights reserved. 21 Confidential 21 予防用および検出用ガードレールを有効活用する  予防用および検出用のガードレール •AWS CloudFormation を使用して基本設定を確立する •サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する •AWS Config ルール (検出用ガードレール向け) を使用して 設定変更を継続的に検出する •AWS Control Tower ダッシュボードでガードレールのス テータスを更新する
Copyright © IDS Corporation. All rights reserved. 22 Confidential 22 2つのガードレール  必須ガードレール例 •AWS Control Tower や AWS CloudFormation で設定され た AWS IAM ロールの変更を不許可にする •ログアーカイブの公開読み取りアクセス設定の検出 •ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない •クロスリージョンのネットワークを禁止する
Copyright © IDS Corporation. All rights reserved. 23 Confidential 23 2つのガードレール  任意ガードレール例 •Amazon S3 バケットへの公開書き込みアクセスが許可され ているかどうかの検出 •ルートユーザーの MFA が有効であるかどうかの検出 •Amazon EC2 インスタンスに接続された Amazon EBS ボ リュームの暗号化が有効であるかどうかの検出
Copyright © IDS Corporation. All rights reserved. 24 Confidential 24 Well-Architectedフレームワークでも出てくる •SEC01-BP01 アカウントを使用してワークロードを分ける: •SEC01-BP02 セキュアアカウントのルートユーザーおよび プロパティ
Copyright © IDS Corporation. All rights reserved. 25 Confidential 25 まとめ AWS アカウントの管理と分離がポイント  アカウントを一元管理する→Organizations  制御を一括設定する→SCP  サービスとリソースを一括設定する →CloudTrail,Config

Recommended

The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation 20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
Amazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
 

Recommended

The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発The Twelve-Factor Appで考えるAWSのサービス開発
The Twelve-Factor Appで考えるAWSのサービス開発
Amazon Web Services Japan
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation 20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
 
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
 
20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes20211109 JAWS-UG SRE keynotes
20211109 JAWS-UG SRE keynotes
Amazon Web Services Japan
 
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormationAWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
 
ぼくがAthenaで死ぬまで
ぼくがAthenaで死ぬまでぼくがAthenaで死ぬまで
ぼくがAthenaで死ぬまで
Shinichi Takahashi
 
コンテナ時代にインフラエンジニアは何をするのか
コンテナ時代にインフラエンジニアは何をするのかコンテナ時代にインフラエンジニアは何をするのか
コンテナ時代にインフラエンジニアは何をするのか
gree_tech
 
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
Amazon Web Services Japan
 
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic BeanstalkAWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版
Masahito Zembutsu
 
Serverless時代のJavaについて
Serverless時代のJavaについてServerless時代のJavaについて
Serverless時代のJavaについて
Amazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
Serverless Application Security on AWS
Serverless Application Security on AWSServerless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
 

More Related Content

What's hot

20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormationAWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
 
ぼくがAthenaで死ぬまで
ぼくがAthenaで死ぬまでぼくがAthenaで死ぬまで
ぼくがAthenaで死ぬまで
Shinichi Takahashi
 
コンテナ時代にインフラエンジニアは何をするのか
コンテナ時代にインフラエンジニアは何をするのかコンテナ時代にインフラエンジニアは何をするのか
コンテナ時代にインフラエンジニアは何をするのか
gree_tech
 
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
Amazon Web Services Japan
 
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic BeanstalkAWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
Amazon Web Services Japan
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
Amazon Web Services Japan
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版
Masahito Zembutsu
 
Serverless時代のJavaについて
Serverless時代のJavaについてServerless時代のJavaについて
Serverless時代のJavaについて
Amazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 

What's hot (20)

20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
 
DevOps with Database on AWS
DevOps with Database on AWSDevOps with Database on AWS
DevOps with Database on AWS
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray20200526 AWS Black Belt Online Seminar AWS X-Ray
20200526 AWS Black Belt Online Seminar AWS X-Ray
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormationAWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormation
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
 
ぼくがAthenaで死ぬまで
ぼくがAthenaで死ぬまでぼくがAthenaで死ぬまで
ぼくがAthenaで死ぬまで
 
コンテナ時代にインフラエンジニアは何をするのか
コンテナ時代にインフラエンジニアは何をするのかコンテナ時代にインフラエンジニアは何をするのか
コンテナ時代にインフラエンジニアは何をするのか
 
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
AWS Black Belt Online Seminar 2017 AWSにおけるアプリ認証パターンのご紹介
 
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
 
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
 
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic BeanstalkAWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
AWS Black Belt Online Seminar 2017 AWS Elastic Beanstalk
 
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
20190424 AWS Black Belt Online Seminar Amazon Aurora MySQL
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
 
Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版
 
Serverless時代のJavaについて
Serverless時代のJavaについてServerless時代のJavaについて
Serverless時代のJavaについて
 
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
 

Similar to Control Towerでマルチアカウント管理をはじめよう

20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
Serverless Application Security on AWS
Serverless Application Security on AWSServerless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
 
20190913 awscli
20190913 awscli20190913 awscli
20190913 awscli
yamamotomsc
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
 
Aws organization multi_accounts
Aws organization multi_accountsAws organization multi_accounts
Aws organization multi_accounts
kota tomimatsu
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
Jaws controltower
Jaws controltowerJaws controltower
Jaws controltower
kota tomimatsu
 
IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​
IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​
IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​
Takayuki Ishikawa
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
Recruit Technologies
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
Hayato Kiriyama
 
AWS Introduction for Startups
AWS Introduction for StartupsAWS Introduction for Startups
AWS Introduction for Startups
akitsukada
 
skyarch2023.pptx
skyarch2023.pptxskyarch2023.pptx
skyarch2023.pptx
スカイアーチ 採用チーム
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
 
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
KotaSato3
 
受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術
Hiroshi Koyama
 
Management & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできますManagement & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできます
Amazon Web Services Japan
 
JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3
Nobuhiro Nakayama
 
Awsについて
AwsについてAwsについて
Awsについて
Naoyuki Sano
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Hinemos
 

Similar to Control Towerでマルチアカウント管理をはじめよう (20)

20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
Serverless Application Security on AWS
Serverless Application Security on AWSServerless Application Security on AWS
Serverless Application Security on AWS
 
20190913 awscli
20190913 awscli20190913 awscli
20190913 awscli
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
 
Aws organization multi_accounts
Aws organization multi_accountsAws organization multi_accounts
Aws organization multi_accounts
 
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdfAWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
 
Jaws controltower
Jaws controltowerJaws controltower
Jaws controltower
 
IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​
IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​
IDaaSを用いた複数AWSアカウントの​ログインで良かったこと困ったこと​
 
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
 
リクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティリクルートの利用事例から考える AWSの各サービスとセキュリティ
リクルートの利用事例から考える AWSの各サービスとセキュリティ
 
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
 
AWS Introduction for Startups
AWS Introduction for StartupsAWS Introduction for Startups
AWS Introduction for Startups
 
skyarch2023.pptx
skyarch2023.pptxskyarch2023.pptx
skyarch2023.pptx
 
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
 
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
IBM Cloudのアカウント管理を学ぶ。リソースグループってなに?
 
受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術受託開発時におけるAWSクラウド活用術
受託開発時におけるAWSクラウド活用術
 
Management & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできますManagement & Governance on AWS こんなこともできます
Management & Governance on AWS こんなこともできます
 
JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3JAWS-UG 情シス支部 #3
JAWS-UG 情シス支部 #3
 
Awsについて
AwsについてAwsについて
Awsについて
 
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全てAWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
 

More from Kanako Kodera

jawsug_bgnr_20230527.pdf
jawsug_bgnr_20230527.pdfjawsug_bgnr_20230527.pdf
jawsug_bgnr_20230527.pdf
Kanako Kodera
 
20230502_jawsug_nagoya_kodera.pdf
20230502_jawsug_nagoya_kodera.pdf20230502_jawsug_nagoya_kodera.pdf
20230502_jawsug_nagoya_kodera.pdf
Kanako Kodera
 
20230127-SRE-LT3.pdf
20230127-SRE-LT3.pdf20230127-SRE-LT3.pdf
20230127-SRE-LT3.pdf
Kanako Kodera
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
Kanako Kodera
 
Jawsug asakai18 sesssion2_kanako_kodera
Jawsug asakai18 sesssion2_kanako_koderaJawsug asakai18 sesssion2_kanako_kodera
Jawsug asakai18 sesssion2_kanako_kodera
Kanako Kodera
 
20201027 jawsug 14
20201027 jawsug 1420201027 jawsug 14
20201027 jawsug 14
Kanako Kodera
 

More from Kanako Kodera (6)

jawsug_bgnr_20230527.pdf
jawsug_bgnr_20230527.pdfjawsug_bgnr_20230527.pdf
jawsug_bgnr_20230527.pdf
 
20230502_jawsug_nagoya_kodera.pdf
20230502_jawsug_nagoya_kodera.pdf20230502_jawsug_nagoya_kodera.pdf
20230502_jawsug_nagoya_kodera.pdf
 
20230127-SRE-LT3.pdf
20230127-SRE-LT3.pdf20230127-SRE-LT3.pdf
20230127-SRE-LT3.pdf
 
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_koderaJawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
 
Jawsug asakai18 sesssion2_kanako_kodera
Jawsug asakai18 sesssion2_kanako_koderaJawsug asakai18 sesssion2_kanako_kodera
Jawsug asakai18 sesssion2_kanako_kodera
 
20201027 jawsug 14
20201027 jawsug 1420201027 jawsug 14
20201027 jawsug 14
 

Recently uploaded

【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
ARISE analytics
 
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobodyロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
azuma satoshi
 
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライドHumanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
tazaki1
 
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
嶋 是一 (Yoshikazu SHIMA)
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
Osaka University
 
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptxiMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
kitamisetagayaxxx
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
Yuki Miyazaki
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
sugiuralab
 
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMMハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
osamut
 
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
Osaka University
 

Recently uploaded (10)

【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
【JSAI2024】LLMエージェントの人間との対話における反芻的返答の親近感向上効果_v1.1.pdf
 
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobodyロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
 
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライドHumanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
 
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
 
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
協働AIがもたらす業務効率革命 -日本企業が押さえるべきポイント-Collaborative AI Revolutionizing Busines...
 
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptxiMacwoSu_Gong_de_barabaranishitaHua_.pptx
iMacwoSu_Gong_de_barabaranishitaHua_.pptx
 
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
無形価値を守り育てる社会における「デー タ」の責務について - Atlas, Inc.
 
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
ヒアラブルへの入力を想定したユーザ定義型ジェスチャ調査と IMUセンサによる耳タッチジェスチャの認識
 
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMMハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
 
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
 

Control Towerでマルチアカウント管理をはじめよう

  • 1. Copyright © IDS Corporation. All rights reserved. 1 Confidential Control Towerで マルチアカウント管理をはじめよう JAWS-UG朝会 #47
  • 2. Copyright © IDS Corporation. All rights reserved. 2 Confidential 2 自己紹介 株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード 【ミッション】 日越でのAWSのビジネスグロース 【好きなAWSサービス】 Cost Explorer
  • 3. Copyright © IDS Corporation. All rights reserved. 3 Confidential 3 本日のゴール  アジェンダ ・AWSのマルチアカウント管理とは? ・マルチアカウントについての理解  ゴール ・マルチアカウントなAWS環境を構築する上でのベ ストプラクティスを理解いただく
  • 4. Copyright © IDS Corporation. All rights reserved. 4 Confidential AWSのマルチアカウント 管理とは?
  • 5. Copyright © IDS Corporation. All rights reserved. 5 Confidential 5 Why?マルチアカウント管理? こんなお悩みありませんか  お客様ごとにAWSアカウントを分ける必要が 出てきた  さまざまなAWSサービスでセンシティブな情 報を扱う必要が出てきた  社内の部門毎、プロジェクト毎にアカウント を分けた方がいい?  さまざまな部門関係者/ベンダーが関わる大規 模PJになりそう
  • 6. Copyright © IDS Corporation. All rights reserved. 6 Confidential 6 AWSでは、個別アカウントごとにワークロードを整理し、機 能、コンプライアンス要件、共通のコントロールセットに基 づいてアカウントをグループ化することを推奨しています AWSでのマルチアカウント管理 AWS Organizations ✔アカウント作成後の制御を自動化 ✔ワークロードの要件と目的に応じた異なる環 境の組織単位 (OU) でアカウントをグループ化
  • 7. Copyright © IDS Corporation. All rights reserved. 7 Confidential 7 マルチアカウント管理のメリット  さまざまなAWSアカウント要件に対応  請求の管理が簡単になる →プロジェクト単位、本番、開発環境単位など  柔軟なセキュリティ制御 特定のセキュリティ要件や業界要件を 持つワークロードに強力なポリシーが適用できる
  • 8. Copyright © IDS Corporation. All rights reserved. 8 Confidential 8 どのOUを分ければよい? SCPについての定義 サービスコントロールポリシー(SCP)を OUに対し設定することで、そのOUに紐づく全ての AWSアカウントに各AWSアカウントのルートユーザー権限で も操作できない強力なポリシーを強制することができます。 OUを分ける前に考えたい・・・ プロダクトおよびソフトウェア開発ライフサイクル (SDLC)
  • 9. Copyright © IDS Corporation. All rights reserved. 9 Confidential 9 プロダクトおよびソフトウェア開発ライフサイクル (SDLC) 【前提】 本番ワークロードと非本番環境以外ではポリシー要件が異な る 非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU をもつことが多い。 非本番環境のアカウントから本番環境への依存関係を持つべ きではない
  • 10. Copyright © IDS Corporation. All rights reserved. 10 Confidential 10 OUの分け方(例) 例)本番環境と非本番環境でOUを区別する場合 •Prod OU • Prod Account •SDLC OU • stg Account • dev Account  インフラストラクチャOU (Infrastructure) ネットワークや IT サービスなどの 共有インフラストラクチャサービス  セキュリティ(Security)OU セキュリティ関連のアクセスおよび サービスをホスト
  • 11. Copyright © IDS Corporation. All rights reserved. 11 Confidential 11 OUの分け方(例)さらに踏み込んで  OU: サンドボックス (Sandbox) 個々の技術者の AWS アカウントを対象とし、 AWS のサービスの学習用  OU: ワークロード (Workloads) ソフトウェアライフサイクルに関連する AWS ア カウントが作成される OU
  • 12. Copyright © IDS Corporation. All rights reserved. 12 Confidential 12 セキュリティOU Security OU は基本となる OU です。セキュリティ組織は、 OU を子OU および関連するアカウントとともに所有・管理 が推奨です!  ログアーカイブ:Log archive  セキュリティ ツーリング: Security tooling  セキュリティの読み取り専 用アクセス:Security read-only access  セキュリティ ブレークグラ ス:Security break-glass
  • 13. Copyright © IDS Corporation. All rights reserved. 13 Confidential 13 セキュリティOUの推奨アカウント  ログアーカイブ:Log archive すべての AWS アカウントから収集されたセキュリティに関 連する AWS アクセスログおよび監査ログを統合  セキュリティ ツーリング:Security tooling セキュリティ関連のワークロードとサービス、ツール、お よびデータをホストする 1 つ以上の AWS アカウント  セキュリティの読み取り専用アクセス セキュリティチームのメンバーが、監査、セキュリティテス ト、および調査のために、組織内の他の AWS アカウントに 読み取り専用の権限を使用してアクセス  セキュリティ ブレークグラス:Security break-glass 平常時は使わず、セキュリティインシデント時にセキュリ ティチームのメンバーが使用できる AWS アカウント
  • 14. Copyright © IDS Corporation. All rights reserved. 14 Confidential マルチアカウント管理の ベストプラクティス
  • 15. Copyright © IDS Corporation. All rights reserved. 15 Confidential 15 マルチアカウント管理を始める AWS ControlTowerはAWSアカウントを 統制する上のベストサービス!  セットアップの自動化  セキュリティ・ログ統制の維持  無償で利⽤可能
  • 16. Copyright © IDS Corporation. All rights reserved. 16 Confidential 16 Control Towerまず有効化してみよう 2つの以下のアカウントが自動で作成されるので、 削除しないよう運用します!  すべてのアカウント監査を実施する 監査アカウント(Audit)  すべてのアカウントのログを集約・管理する ログアーカイブアカウント
  • 17. Copyright © IDS Corporation. All rights reserved. 17 Confidential 17 Control Towerまず有効化してみよう AWS Control Tower がランディングゾーンに対して求める 許可を行う。  ランディングゾーンは、Well-Architected による マルチアカウントの AWS 環境で、 セキュリティとコンプライアンスのベストプラクティスに基 づいています。
  • 18. Copyright © IDS Corporation. All rights reserved. 18 Confidential 18 Landing Zoneとは? Landing Zoneでできること  マルチアカウント環境をセットアップ  AWS IAM アイデンティティセンター を使ったID 管理や フェデレーティッドアクセス  AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログ を集中管理  AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントのセキュリティ監査
  • 19. Copyright © IDS Corporation. All rights reserved. 19 Confidential 19 ガードレールとは? ガードレールは、セキュリティ、オペレーション、コンプラ イアンス向けの事前にパッケージ化されたガバナンスルール です。 利用者が「どのようなルールを?」「何のために?」有効化 するのかを選択します。 特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。
  • 20. Copyright © IDS Corporation. All rights reserved. 20 Confidential 20 2つのガードレール  必須および任意のガードレール 必須はセットアップ時に自動的に有効化 任意のガードレールはいつでも有効化できます  予防用および検出用のガードレール 予防用ガードレールでは、意図を確立し、ポリシーに違反す るリソースのデプロイを防止
  • 21. Copyright © IDS Corporation. All rights reserved. 21 Confidential 21 予防用および検出用ガードレールを有効活用する  予防用および検出用のガードレール •AWS CloudFormation を使用して基本設定を確立する •サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する •AWS Config ルール (検出用ガードレール向け) を使用して 設定変更を継続的に検出する •AWS Control Tower ダッシュボードでガードレールのス テータスを更新する
  • 22. Copyright © IDS Corporation. All rights reserved. 22 Confidential 22 2つのガードレール  必須ガードレール例 •AWS Control Tower や AWS CloudFormation で設定され た AWS IAM ロールの変更を不許可にする •ログアーカイブの公開読み取りアクセス設定の検出 •ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない •クロスリージョンのネットワークを禁止する
  • 23. Copyright © IDS Corporation. All rights reserved. 23 Confidential 23 2つのガードレール  任意ガードレール例 •Amazon S3 バケットへの公開書き込みアクセスが許可され ているかどうかの検出 •ルートユーザーの MFA が有効であるかどうかの検出 •Amazon EC2 インスタンスに接続された Amazon EBS ボ リュームの暗号化が有効であるかどうかの検出
  • 24. Copyright © IDS Corporation. All rights reserved. 24 Confidential 24 Well-Architectedフレームワークでも出てくる •SEC01-BP01 アカウントを使用してワークロードを分ける: •SEC01-BP02 セキュアアカウントのルートユーザーおよび プロパティ
  • 25. Copyright © IDS Corporation. All rights reserved. 25 Confidential 25 まとめ AWS アカウントの管理と分離がポイント  アカウントを一元管理する→Organizations  制御を一括設定する→SCP  サービスとリソースを一括設定する →CloudTrail,Config