Submit Search
Upload
201806_OperationsByorganizatinAdmin_jaws-ug12
•
Download as PPTX, PDF
•
1 like
•
539 views
Taiga Ishii
Follow
published at JAWS-UG BGNR #12
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 30
Download now
Recommended
Control towerとsie monossであっちこっちした件
Control towerとsie monossであっちこっちした件
ssuser868e2d
AWS Config RulesでIAMポリシーを自動適用する話
AWS Config RulesでIAMポリシーを自動適用する話
Serverworks Co.,Ltd.
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
Kanako Kodera
2015年12月 Amazon RDS for Aurora セミナー in 関西 「Aurora検証のご紹介」
2015年12月 Amazon RDS for Aurora セミナー in 関西 「Aurora検証のご紹介」
Serverworks Co.,Ltd.
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
クラウド時代の人材育成
クラウド時代の人材育成
Trainocate Japan, Ltd.
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
Trainocate Japan, Ltd.
20160514 jawsug白山
20160514 jawsug白山
Serverworks Co.,Ltd.
Recommended
Control towerとsie monossであっちこっちした件
Control towerとsie monossであっちこっちした件
ssuser868e2d
AWS Config RulesでIAMポリシーを自動適用する話
AWS Config RulesでIAMポリシーを自動適用する話
Serverworks Co.,Ltd.
Jawsug asakai27 kanako_kodera
Jawsug asakai27 kanako_kodera
Kanako Kodera
2015年12月 Amazon RDS for Aurora セミナー in 関西 「Aurora検証のご紹介」
2015年12月 Amazon RDS for Aurora セミナー in 関西 「Aurora検証のご紹介」
Serverworks Co.,Ltd.
AWS エンジニア育成における効果的なトレーニング活用のすすめ
AWS エンジニア育成における効果的なトレーニング活用のすすめ
Trainocate Japan, Ltd.
クラウド時代の人材育成
クラウド時代の人材育成
Trainocate Japan, Ltd.
AWS設計ガイドラインで取り組むクラウドシフト
AWS設計ガイドラインで取り組むクラウドシフト
Trainocate Japan, Ltd.
20160514 jawsug白山
20160514 jawsug白山
Serverworks Co.,Ltd.
20200813 fin-jaws #14 オープニング渥美
20200813 fin-jaws #14 オープニング渥美
Toshihide Atsumi
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
Trainocate Japan, Ltd.
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
Trainocate Japan, Ltd.
20160608 JAWS-UG磐田
20160608 JAWS-UG磐田
Serverworks Co.,Ltd.
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
KenjiroHirata
ノンコーディングでビジネスアプリ作成 PowerApps入門
ノンコーディングでビジネスアプリ作成 PowerApps入門
Trainocate Japan, Ltd.
AZ障害を想定したブログのマイグレーション
AZ障害を想定したブログのマイグレーション
Mitsuhiro Yamashita
20191015 cloud-for-manager-seminor
20191015 cloud-for-manager-seminor
Trainocate Japan, Ltd.
クラウド時代の人材育成 ~AWS移行時のつまずきポイント ~
クラウド時代の人材育成 ~AWS移行時のつまずきポイント ~
Trainocate Japan, Ltd.
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
アトラシアン株式会社
小出塾Fin-JAWSバージョン
小出塾Fin-JAWSバージョン
Junji Koide
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話
Hiroyuki Sato
2016年4月【Druvaソリューションアップデートセミナー】クラウド専業インテグレーターが考える次世代のデータ保護
2016年4月【Druvaソリューションアップデートセミナー】クラウド専業インテグレーターが考える次世代のデータ保護
Serverworks Co.,Ltd.
SREチームとしてSREしてみた話
SREチームとしてSREしてみた話
Yahoo!デベロッパーネットワーク
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
MSPサービスを支えるCircleCI
MSPサービスを支えるCircleCI
Takeo Saga
20190924 cer-nagoya-ppt
20190924 cer-nagoya-ppt
Trainocate Japan, Ltd.
20150901 ops jaws_araya_v2
20150901 ops jaws_araya_v2
Mitsuru Araya
AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays
真吾 吉田
AWSについて @ JAWS-UG 沖縄 CMS祭り!
AWSについて @ JAWS-UG 沖縄 CMS祭り!
Yasuhiro Horiuchi
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
More Related Content
What's hot
20200813 fin-jaws #14 オープニング渥美
20200813 fin-jaws #14 オープニング渥美
Toshihide Atsumi
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
Trainocate Japan, Ltd.
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
Trainocate Japan, Ltd.
20160608 JAWS-UG磐田
20160608 JAWS-UG磐田
Serverworks Co.,Ltd.
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
KenjiroHirata
ノンコーディングでビジネスアプリ作成 PowerApps入門
ノンコーディングでビジネスアプリ作成 PowerApps入門
Trainocate Japan, Ltd.
AZ障害を想定したブログのマイグレーション
AZ障害を想定したブログのマイグレーション
Mitsuhiro Yamashita
20191015 cloud-for-manager-seminor
20191015 cloud-for-manager-seminor
Trainocate Japan, Ltd.
クラウド時代の人材育成 ~AWS移行時のつまずきポイント ~
クラウド時代の人材育成 ~AWS移行時のつまずきポイント ~
Trainocate Japan, Ltd.
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
アトラシアン株式会社
小出塾Fin-JAWSバージョン
小出塾Fin-JAWSバージョン
Junji Koide
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話
Hiroyuki Sato
2016年4月【Druvaソリューションアップデートセミナー】クラウド専業インテグレーターが考える次世代のデータ保護
2016年4月【Druvaソリューションアップデートセミナー】クラウド専業インテグレーターが考える次世代のデータ保護
Serverworks Co.,Ltd.
SREチームとしてSREしてみた話
SREチームとしてSREしてみた話
Yahoo!デベロッパーネットワーク
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
MSPサービスを支えるCircleCI
MSPサービスを支えるCircleCI
Takeo Saga
20190924 cer-nagoya-ppt
20190924 cer-nagoya-ppt
Trainocate Japan, Ltd.
20150901 ops jaws_araya_v2
20150901 ops jaws_araya_v2
Mitsuru Araya
AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays
真吾 吉田
What's hot
(19)
20200813 fin-jaws #14 オープニング渥美
20200813 fin-jaws #14 オープニング渥美
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
AWS Organizationsでマルチアカウントハンズオン環境を構築した話
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
アンチパターンで気づくAWS Well-Architected Framework入門編 信頼性の柱 総集編
20160608 JAWS-UG磐田
20160608 JAWS-UG磐田
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
Azure勉強会 20201028 azure monitor のアラートを様々なコミュニケーションツールに通知する
ノンコーディングでビジネスアプリ作成 PowerApps入門
ノンコーディングでビジネスアプリ作成 PowerApps入門
AZ障害を想定したブログのマイグレーション
AZ障害を想定したブログのマイグレーション
20191015 cloud-for-manager-seminor
20191015 cloud-for-manager-seminor
クラウド時代の人材育成 ~AWS移行時のつまずきポイント ~
クラウド時代の人材育成 ~AWS移行時のつまずきポイント ~
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
2019年9月18日開催AWS Japan × Atlassianセミナー_セッション2「AmazonカルチャーとDevOps」
小出塾Fin-JAWSバージョン
小出塾Fin-JAWSバージョン
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話
AlibabaCloudでのSAML(SSO)はAWSとは別物だったお話
2016年4月【Druvaソリューションアップデートセミナー】クラウド専業インテグレーターが考える次世代のデータ保護
2016年4月【Druvaソリューションアップデートセミナー】クラウド専業インテグレーターが考える次世代のデータ保護
SREチームとしてSREしてみた話
SREチームとしてSREしてみた話
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
MSPサービスを支えるCircleCI
MSPサービスを支えるCircleCI
20190924 cer-nagoya-ppt
20190924 cer-nagoya-ppt
20150901 ops jaws_araya_v2
20150901 ops jaws_araya_v2
AWSサムライハンズオン CDPから始めよう #jawsdays
AWSサムライハンズオン CDPから始めよう #jawsdays
Similar to 201806_OperationsByorganizatinAdmin_jaws-ug12
AWSについて @ JAWS-UG 沖縄 CMS祭り!
AWSについて @ JAWS-UG 沖縄 CMS祭り!
Yasuhiro Horiuchi
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
AWSへのシステム移行に伴うクラウドマインドへの移行
AWSへのシステム移行に伴うクラウドマインドへの移行
Trainocate Japan, Ltd.
おひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
Makio Tsukamoto
AmazonManagedGrafanaを使ってAWSマルチアカウントで監視ダッシュボード構築してみた
AmazonManagedGrafanaを使ってAWSマルチアカウントで監視ダッシュボード構築してみた
takaakiinada
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)
Nobuhiro Nakayama
20140712 エフサミ2014 AWS SAMURAI ハンズオン
20140712 エフサミ2014 AWS SAMURAI ハンズオン
Tomoya Ishida
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
Amazon Web Services Japan
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
Aws first step_v2
Aws first step_v2
Trainocate Japan, Ltd.
デフォルトAWS時代にインフラエンジニアはどう向き合うべきか?
デフォルトAWS時代にインフラエンジニアはどう向き合うべきか?
Yasuhiro Horiuchi
サバソニ-005 Cloud Automatorの裏側
サバソニ-005 Cloud Automatorの裏側
Tetsuya Chiba
skyarch2023.pptx
skyarch2023.pptx
スカイアーチ 採用チーム
エンジニア向け初めてのAWS (2015年1月6日)
エンジニア向け初めてのAWS (2015年1月6日)
Koichiro Nishijima
20190314 aws first_stepv2
20190314 aws first_stepv2
Trainocate Japan, Ltd.
20140705 JAWS-UG三都物語2014
20140705 JAWS-UG三都物語2014
Tomoya Ishida
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
Amazon Web Services Japan
2014/5/14-16 クラウドコンピューティングEXPO春
2014/5/14-16 クラウドコンピューティングEXPO春
Tomoya Ishida
Similar to 201806_OperationsByorganizatinAdmin_jaws-ug12
(20)
AWSについて @ JAWS-UG 沖縄 CMS祭り!
AWSについて @ JAWS-UG 沖縄 CMS祭り!
Serverless Application Security on AWS
Serverless Application Security on AWS
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
AWSへのシステム移行に伴うクラウドマインドへの移行
AWSへのシステム移行に伴うクラウドマインドへの移行
おひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
AmazonManagedGrafanaを使ってAWSマルチアカウントで監視ダッシュボード構築してみた
AmazonManagedGrafanaを使ってAWSマルチアカウントで監視ダッシュボード構築してみた
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)
20140712 エフサミ2014 AWS SAMURAI ハンズオン
20140712 エフサミ2014 AWS SAMURAI ハンズオン
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS Black Belt Online Seminar 2018 ReInvent recap security other
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Aws first step_v2
Aws first step_v2
デフォルトAWS時代にインフラエンジニアはどう向き合うべきか?
デフォルトAWS時代にインフラエンジニアはどう向き合うべきか?
サバソニ-005 Cloud Automatorの裏側
サバソニ-005 Cloud Automatorの裏側
skyarch2023.pptx
skyarch2023.pptx
エンジニア向け初めてのAWS (2015年1月6日)
エンジニア向け初めてのAWS (2015年1月6日)
20190314 aws first_stepv2
20190314 aws first_stepv2
20140705 JAWS-UG三都物語2014
20140705 JAWS-UG三都物語2014
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
2014/5/14-16 クラウドコンピューティングEXPO春
2014/5/14-16 クラウドコンピューティングEXPO春
201806_OperationsByorganizatinAdmin_jaws-ug12
1.
Organization管理者から見た 運用管理の話 石井大河
2.
自己紹介 名前: 石井 大河
(イシイ タイガ) 所属; 某自動車メーカー システム部門 好きなサービス: Organizations 仕事:クラウドサービスの検証 趣味:クラウドサービスの検証
3.
話すこと ・AWSサミット2018で得た刺激 ・初心者向けの話 ・運用管理の話 話さないこと ・自社のAWS活用状況 ・AWS資格保有者向けの話 ・開発の話
4.
資料は後で公開するので Twitterに集中してください! @jawsug_bgnr #jawsug #jawsug_bgnr
5.
物足りなかったら... 専門支部へGO!
6.
AWS Summit Tokyo
2018 運用系セッション Tech系セッション -AWSのオペレーション最適化の 勘所 -DevSecOps on AWS -AWSによるセキュリティオート メーションの実践 -AWSアカウントの認証管理 ユーザ系セッション -「これ危ない設定じゃないでしょうか」 とヒアリングするための仕組み /サイバーエージェントさん
7.
サイバーエージェントさんの セッション ・パブリッククラウド管理者は2名のみ ・自由と責任 -守るところは守る -制限とのバランスが難しい ・ヒアリングする仕組み -イベントベース -スケジュールベース ・診断 -Trusted
Advisor -CIS AWS Foundations Benchmark https://developers.cyberagent.co.jp/blog/archives/16009/
8.
運用管理は奥が深い
9.
Organizations ・マルチアカウント戦略 ・アカウント発行作業 ・落とし穴
10.
Organizations マルチアカウント戦略 -機能分離(Master, Log,
Shared Service...) -プロジェクトごとの特性 -そもそも組織が大きいので マルチアカウント/Organizationになる AWS Landing Zone マルチアカウント構成のテンプレート2018/6/14公開 https://aws.amazon.com/jp/answers/aws-landing-zone/
11.
Organizations 運用管理 自由度を与えるならエンドユーザのIAMユーザはPowerUserでいい -制約をつけたい箇所はSCP(サービスコントロールポリシー)でDenyできる -CloudTrail, Config等ログ系に触らせたくない⇨SCPでDeny
12.
Organizations メンバーアカウントを作るコマンド aws organizations
create-account --email "hogehoge@example.com" --account-name "test" --role-name "OrganizationAccountAccessRole" ポチポチしなくていいので楽
13.
Organizations 落とし穴 マスターアカウントは変更できない ・利用が拡大してから組織を作り直すのはかなり手間 -新マスターアカウントを作成する -旧Organizationから全メンバーアカウントを離脱させる -新Organizationにメンバーアカウントを追加していく ⇨トータルではOrganizationsによってだいぶ運用が楽になっている これなしでの運用は考えられない。
14.
CloudTrail ≒必須項目 ・ユーザーのアクションをロギングするサービス ・全アカウント、全リージョンで有効にする ・ロギングアカウントのS3Bucketに集約する ・集約したログはアラートやモニタリングに活用する
15.
CloudTrail ログの活用 ・CloudWatchLogsと連携 -アラート通知 -rootログインの検知、セキュリティグループの監視 ・ElasticsearchServiceと連携 -KibanaでログフォーマットをCloudTrailにするだけで簡単に可視化 ・AthenaとQuicksightでBIという手もある
16.
Config ・リソースの構成変更のログを取得 ←CloudTrailはユーザのアクションベースのログ ・アグリゲータを用いてマルチアカウントでの一元化が可能に (2018/04)
17.
Config Rules ・Configの取得値をもとに、ルールを守っているかチェックする ・ルールごとにコストが増えていく リージョン、アカウントごとにコストがかかる ⇨新米管理者としては、それでもマネージドにしたい
18.
GuardDuty ・CloudTrail, VPCフローログ、 DNSログから、 ・悪意のあるスキャン/インスタンス攻撃/アカウントへの攻撃を検知する。 ポートスキャン/ブルートフォース,暗号通貨マイニング/ログ無効化など ・通知したい ⇨CloudWatchEevnt,
Lambdaを使ってwebhookを叩いて... ⇨面倒
19.
GuardDuty Slack通知テンプレート ・GuardDutyの脅威検知結果をSlackに通知するCloudFormationテンプレート https://github.com/aws-samples/amazon-guardduty-to-slack
20.
GuardDuty 脅威検知の集約 ・各アカウントのダッシュボードを見にいくのが面倒 ⇨マスターアカウントにメンバーアカウントの検知結果を集約可能 *Organizationsのマスター/メンバーとは別の関係 ・マスターアカウントからメンバーアカウントを招待して、 メンバーアカウント側で承認して... ⇨面倒 Jenkins化する...?
21.
GuardDuty マルチアカウントスクリプト ・GuardDutyを有効化し、全てのメンバーアカウントで 招待を承認するpythonスクリプト https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts
22.
Trusted Adivser ・管理者になったら最初に見るべきもの ・無料サポートではセキュリティの一部とサービス制限が対象 ・ビジネスサポート以上では コスト最適化、パフォーマンス、フォールトトレランスなど範囲が拡大
23.
Trusted Advisor Tools ・使用率の低いEC2を止める ・バックアップのないEBSのスナップショットをとる ・晒されたアクセスキーを削除して、利用履歴を通知する https://github.com/aws/Trusted-Advisor-Tools
24.
CIS BenchMark インターネット・セキュリティの 標準化団体CIS(Center for
Internet Security) が定めたセキュリティ関する設定の ベストプラクティス
25.
CIS BenchMark クイックスタート ・Configルール ・CloudWatchアラーム ・CloudWatchEventルール などを設定するテンプレート
26.
CIS BenchMark チェックリスト ・権限管理 ・ログ ・監視 ・ネットワーク Total
52項目...
27.
InsightWatch CISベンチマーク準拠で診断できる! 無料! https://insightwatch.io/ AWS InspectorのCISベンチマークはOSを対象としているため、 AWSアカウントを対象とした診断はカバーできていない
28.
ちなみに... 運用管理を始めて2ヶ月 ミニマムでやるべきこと ・セキュリティ/運用の基準を知る Trusted Advisor,
CIS Benchmark, Well-Architected Framework ・ログを取る CloudTrail, Config... ・アカウント、権限管理を整理する Organizations, IAM, AD連携
29.
運用管理をもっと知りたい人は...OpsJAWSへ! https://opsjaws.doorkeeper.jp/
30.
さいごに 終わりなき運用管理の世界... ぜひ一緒に勉強して行きましょう!
Editor's Notes
Spheres@@2018
https://dev.classmethod.jp/cloud/aws/create-aws-account-by-cli/https://www.youtube.com/watch?v=71fD8Oenwxc
https://dev.classmethod.jp/cloud/aws/aws-reinvent2017-guardduty-intro-sid218/
https://dev.classmethod.jp/cloud/aws/aws-reinvent2017-guardduty-intro-sid218/
CFS SP800
https://aws.amazon.com/jp/quickstart/architecture/compliance-cis-benchmark/
Download now