WNI20200908マルチアカウント運用の開始までの取り組み

株式会社ウェザーニューズ
Cloud Initiative / 小野　晃路
2020/09/08
マルチアカウント運用の
開始までの取り組み

Copyright©Weathernews Inc.2
株式会社ウェザーニューズ
　Cloud Initiative チームリーダー
　　小野　晃路 (Terumichi ONO)
自己紹介
1994年、株式会社ウェザーニューズ入社
　カスタマーサポート、営業を経て、
　携帯電話向けサービスの立ち上げ、企画、
　コンテンツの開発を担当。
2014年にインフラチームに異動し、
　ネットワーク、アカウント管理などを担当
　2016年より、Public Cloud も担当
2019年に、Cloud Initiative チームが立ち上がり
　現在に至る。

本日の内容
■ウェザーニューズの紹介
■AWSを始めた頃
■少しずつ利用が増え始めたけど・・・
■マルチアカウントにかじを切った理由は？
■実際の運用では
■まとめ

■まとめ

■名　称：株式会社ウェザーニューズ
■創　業：1986年6月
■代表者：代表取締役社長　草開　千仁
■本　社：千葉県千葉市美浜区
■社員数：約1,000人
■主なサービス：
　気象情報を活用したリスクコミュニケーションサービス
　海、空、陸上の各業界向けに気象状況に合わせた対応策を提案。
　個人向けでは、参加型の天気予報も展開。
会社概要

スマートフォンアプリ「ウェザーニュース」最近CM
やってます。見たことありますか？
ウェザーニュースの紹介

■まとめ

グローバルの天気アプリを作りました。
Sunnycomb 
アプリ 
AWSを使い始めたのは？

元々、オンプレがメイン
天気予報は、毎日何度もデータが更新
　＞オンプレのサーバールームにて、管理・運営
　　システムもオンプレインフラをベースに構築
　＞自分の運命は、自分でコントロールする！
密結合

インフラ担当者の声・・・
○サーバー、ルータ、HUBが死んだー
○絡み合うケーブル
○ビルの法定停電
クラウド使ったら、
幸せになるのに。
よし！
クラウドを使うようにして
いこう！！
現地に向かう（移動だけでも時
間がかかる）
不要になったケーブルの片付
けに、半日を費やすことも
朝から夜までシフト
組んで対応

■まとめ

初期のアカウント構成
開発アカウント
チームA
チームB
チームC
...
チームA
チームB
チームC
...
運用アカウント

チームA
PoC用
チームB
PoC用
チームC
PoC用
チームD
PoC用
チームE
PoC用
チームF
PoC用
PoC用アカウントの発行
AWS利用を促すために
PoC用として、
アカウントを発行
ただし、オンプレとは
接続せず。

管理者側の意見
○同じアカウントを使うと
　＞チーム毎のコスト分担が面倒。
　　タグ付けできないものもある。（消費税、サポート費用、RI/SPsなど）
　＞IAM ポリシーを最低限に設定したいが、手間と時間がかかる
　　最初に割り当てたチームは、権限がゆるい
　＞サービスの上限にひっかかる
　　いつの間にかリソースが作られている

利用者側の意見
○PoC環境を、オンプレと接続してほしい
　＞PoC用と言いつつ、そこで開発もしてしまっている
○開発アカウントでもっと試したいが、権限が無い
　＞だから追加して、というやり取りを管理者との間で必要となり、時間もかかる
○運用アカウントで、
　自チームのリソースが、他チームのリソースと
　バッティングして上限に当たってしまわないか？
それだったら、オンプレで
システム組めばいいや

■まとめ

マルチアカウント向けサービスが充実
AWS Summit 2017
「AWSにおけるマルチアカウント管理の手法とベストプラクティス」より
https://d0.awsstatic.com/events/jp/2017/summit/slide/D4T2-2.pdf
・マルチアカウントの
　ベストプラクティスが
　参考になった
- Organizations
- SCP(Service Control Policy)
- CloudTrail
- GuardDuty

○AWS Transit Gateway
　オンプレ、複数のアカウント間のVPCとの接続が管理しやすくなった
　＞re:Invent 2017で、Direct Connect Gateway が発表され、
　　マルチRegionとの閉域接続が可能となった
　＞re:Invent 2018で、Transit Gateway が発表され、さらにVPC間の接続、
　　管理がしやすくなった。
https://aws.amazon.com/jp/transit-gateway/
TGWなし TGWあり

○AWS SSO (Single Sign-On)
　複数のアカウントへのログインの一元管理が可能
　＞G suiteでアカウント管理をしているが、SAML連携はせず。
　　各アカウントに対する細かい権限設定が難しそうだった。
　＞AWS SSO でのユーザー管理を選択
　　CLI で一覧情報が取得できないのが目先の課題

○なぜIAMユーザーや、スイッチRoleのやり方を選択しなかったか？
IAMユーザーはアカウント毎に設定しないといけない
＞管理者：アカウントにログインして設定する手間
　利用者：パスワード設定、MFAの設定の手間
スイッチRoleもアカウント毎にRoleを
設定する必要がある
＞管理者：アカウントに設定する手間

■まとめ

○AWS利用のガバナンスの決定
　ガバナンスと権限移譲のバランスを取ったタイプを選択
マルチアカウント利用に向けて
アプローチ  クラウド統制部門の負荷  
案 
ガバナンス強度  利用部門の自由度 
バランス型 2
リスクの高い箇所など特
定の範囲のみルールを
適用して管理する
AWS利用の自由度を完
全には損なわないよう  
調整することも可能 
特定の範囲のルール化
が必要 
ガバナンス 
重視型 
1
ユーザーの利用範囲を全
て管理し、利用方法を
ルール化する
自社でカタログ化されたメ
ニューからのみAWS利用
が可能 
利用可能な範囲をカタロ
グ化し、メニューを作成す
るなど運用の負荷が高い  
権限移譲型 3 特別な管理は行わない
どのようなサービスも自
由に利用可能であり  
アジリティを損なわない  
管理しない分、負荷は低
いがインシデント時の対
応負荷が高い可能性が
ある 
方針案 
比較

○アクターの整理
　AWSを利用する管理者と利用者の役割を定義し、AWS SSOで権限セットを定義
アクター  役割 
アプリ開発担当  開発環境のシステムアカウント内でネットワーク、その他リソースを自由に使って開発、テストを行う。 
アプリ管理者担当  システム系内の運用環境アカウントを操作する権限を持つ。アプリログの異常検知はアプリアカウントで行う。 
事業部の管理者  事業部内の全アカウントを管理できる権限を持つ。事業部内で共通する監視・運用を行う。 
監視担当  インフラの監視を行う。ウェザーニューズ全体の監視に関わる情報を参照できる 
インフラ管理担当  共通リソースの構築や各事業部からのリクエストに応じて共通リソース利用を許可する 
セキュリティー管理担当  セキュリティーに関する情報収集やインシデント対応を行う 
コスト管理者  AWS利用全体に関するコスト管理、およびコスト最適化、提案を行う

○アカウント名、メールアドレスの命名規則
【環境：env】環境タイプ（運用、開発、PoCなど）{prod|stg|dev|poc}
【所属：team】事業部、チーム名　{sea|sky|land|with|...}
【目的：system】（オプション）システム名
・アカウント命名規則：{env}-{team}[-system]
　環境がわかるように、先頭に付けてます。
・メールアドレス命名規則：ml-aws-{team}[-system]{+env}@wni.com
　環境毎にメールアドレスを作成する手間を減らすため、
　{+env} を使って分けています。
○VPC の払い出し CIDR の検討

マスター
アカウント
共通基盤
アカウント
運用アカウントA
運用アカウントB
検証アカウントA
検証アカウントB
開発アカウントA
開発アカウントB
セキュリティ
監査
アカウント
ロギング
アカウント
マルチアカウント構成
PoCアカウントA
PoCアカウントB
【インフラ管理者側】
マスターアカウント、共通基盤、セキュリティ、ログ関連のアカウントを管理
【利用者側】
各事業部毎に運用、検証、開発、PoCアカウントを利用

オンプレ
データ配信共通基盤
ネットワーク接続
データ配信は
Direct Connect
経由
共通基盤や
社内との通信は
TGW経由
○オンプレ環境とのネットワーク構成
【共通基盤アカウント】
【利用者アカウント】

CDKを使っての管理
○インフラ管理面でAWS CDKを利用
・CloudFormation、AWS CDKを利用してなかったが、
　マルチアカウントの管理では、効率的に行うために、AWS CDKを採用
　＞標準ガイドの構築に合わせて、AWS CDKの検証も実施
　　・アカウント作成
　　・VPC作成
　　・CloudTrailなどのセキュリティ設定

■まとめ

まとめ
○マルチアカウント運用をするには
・AWS SSOを使いましょう
・運用ルールを事前に決めておきましょう。
・コード管理で運用をしましょう。
・課題
　　マスターアカウント＝運用アカウントだったため、
　　運用アカウントからのシステム移行が今後のテーマ。
　　マスターアカウントは、支払いアカウントであり、SSOの管理があるため。

お願い
実際にPublic Cloud を使っている皆様と
情報交換をしたいと思っています。
・アカウント管理ってどうしてる？
・コスト管理のやり方は？
・実際に使っているアーキテクチャは、どういうものがある？
・社内の情報共有ってどうやってるの？
・CCoEの意見
などなど。
実際の現場で進めている内容で、うまくいったことや、逆の話も含めて、
情報交換が可能な方がいらっしゃったら
twitter: @teru_o_k までDMいただければ幸いです。

エンジニア採用中！
コミュニティ内で情報を共有
AWSの方とのslack相談
成果などを発表したい人が
ランチタイムに発表する場
海浜幕張周辺のエンジニアと交流

https://www.talent-book.jp/weathernews
エン
ジニ
アブ
ログ
エンジニア採用中！

WNI20200908マルチアカウント運用の開始までの取り組み

WNI20200908マルチアカウント運用の開始までの取り組み

Recommended

Recommended

More Related Content

Similar to WNI20200908マルチアカウント運用の開始までの取り組み

Similar to WNI20200908マルチアカウント運用の開始までの取り組み (20)

Recently uploaded

Recently uploaded (11)

WNI20200908マルチアカウント運用の開始までの取り組み