Reintroduction to AWS Multiple Account Management
>100 Views
January 25, 25
スライド概要
2024/01/25
https://jawsug-kumamoto.connpass.com/event/337992/
Oita(1988.03) → Tokyo(2010.04) → Fukuoka(2021.11)
関連スライド
各ページのテキスト
AWS複数アカウントの管理再入門 Reintroduction to AWS Multiple Account Management 2025-01-25 JAWS-UG熊本 #jawsugkmmt Copyright © Tetsuya Shibao
自己紹介 柴尾 哲也(しばお Tetsuya Shibao てつや) 大分(22年) → 東京(11年) → 福岡(2年)→ 佐賀(現 在) JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc… JAWS-UG佐賀 #jawsugkmmt AWS Startup Community 福岡 Copyright © Tetsuya Shibao
お話すること ・ AWSを複数アカウントは必要なのか ・ AWSの複数アカウントの管理 ・ 実際に管理してみる ・ まとめ #jawsugkmmt Copyright © Tetsuya Shibao
AWS アカウントを複数管理していますか? #jawsugkmmt Copyright © Tetsuya Shibao
AWS アカウントを複数管理していますか? 単一 派 ・複数アカウントを管理する手間やコストを抑えたい ・ 社員数が少なく、ITインフラ部門も兼任で行なっているスタートアップ ・小規模のWebサービスを1本だけ ・個人が趣味や学習のためにAWSを利用している ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) #jawsugkmmt 複数 派 ・大規模なサービスで開発・ステージング・本番を完全に分離したい ・部門別、事業別などで予算管理・コスト配分を明確に行いたい ・個人が趣味や学習のためにAWSを利用している ・複数アカウントを運用するほどもない(リソース作っては消しての繰り返し) Copyright © Tetsuya Shibao
AWSを複数アカウントは必要なのか (ここはあくまでも個人の意見です) ・ 企業はControl Tower導入が最優先だと考えます ・利用できるリージョン制限を施す ・請求書から逆算してリージョンにあるサービスを調査したことはありますか? ・ログアーカイブアカウントと監査アカウントが予めセットアップされる(Control Tower必須) ・CloudTrailにも操作履歴が残らない操作をされたことがありますか? ・AWS Config, Security Hubを導入することで管理対象のアカウントの統制を施す ・ 検証目的であろうとも最低限AWSアカウントは複数に分ける必要があると考えます ・ あなたは初めてAWSにサインインして、「最終ログイン ◯◯◯(365 x n) 日以上」のIAMアカウントを見たことはありますか? ・今見ているAWSアカウントの中で作業が継続しているのかどうかも分からない ・ 「このIAM Userは使っていますか?」と聞いて、「うーん、どこかで使っている気がする」と聞いたことはありますか? ・ 勉強で作ったAWSアカウントであっても可能な限り複数に分けて運用が望ましいと考えます ・クレジット(語弊がないように付け加えるとクーポン)は、支払いの管理アカウントにさえ登録すれば配下のアカウントに適用される ・勉強の過程で作成されたIAM Roleが気づかないうちに出来上がるケースがあり、管理が煩雑になる #jawsugkmmt Copyright © Tetsuya Shibao
ここからは個人で始めてみる AWS Organizations設定を交えての話となります #jawsugkmmt Copyright © Tetsuya Shibao
AWSの複数アカウントの管理 ・ AWS Organizations x AWS IAM Identity Center(旧Single-Sign On)で統制を施す ・ SCPs(Service Control Policy)を使って主に制限を施す ・2024年11月にRCPs(Resource Control Policy)、12月のre:InventでDeclarative Policy:宣言的なポリシーが発表 管理アカウント users/groups ou1 メンバアカウント 1−1 #jawsugkmmt ou2 メンバアカウント 1−2 メンバアカウント 2−1 Copyright © Tetsuya Shibao
実際に管理してみる ・ IdP(ID管理基盤)は、トラストログインに限りません ・企業であればAzure Entra ID(旧Azure AD)やGoogle Workspaceを利用している場合はそちらをIdPとすることを推奨です ・トラストログインでAWS IAM Identity Centerと連携する手順は公開されています https://support.trustlogin.com/hc/ja/articles/4407845138713 ・AWS Organizationsは、グローバルサービスです ・AWS IAM Identity Centerは、どこかの一つのRegionにインスタンス(無償)を起動する必要があるため指定が必要です ・特に問題がなければ、東京(ap-northeast-1)リージョンで大丈夫です #jawsugkmmt Copyright © Tetsuya Shibao
実際に管理してみる ・SCIM(System for Cross-domain Identity Management)対応していないIdPの場合は初回のみユーザ情報を作成する必要がある ・Username = Email Address で作成すること(トラストログインの場合、IdPによるが大抵はEmail Addressがキーになるはず) #jawsugkmmt Copyright © Tetsuya Shibao
実際に管理してみる ・2024年11月に発表された Centrally manage root access for member accounts ・2025年01月時点で確認できるのは、S3 バケット、SQSキュー、パスワードリセットの許可 に限られる https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_root-enable-root-access.html #jawsugkmmt Copyright © Tetsuya Shibao
実際に管理してみる ・AWS マネジメントコンソールも複数セッションに対応するになった(2025年1月) https://docs.aws.amazon.com/ja_jp/awsconsolehelpdocs/latest/gsg/multisession.html #jawsugkmmt Copyright © Tetsuya Shibao
まとめ ・AWSは複数アカウントで運用することを見越した構成が推奨です ・企業のセキュリティポリシーでも、本番環境と検証環境は分離を求められるケースもあるかと思います ・AWS Organizationsを使うのであれば、AWS IAM Identity Center + 外部IdPを組み合わせて使うとアカウントの管理が煩雑にならないです ・Azure Entra IDは、オンデマンド or 40分ごとにSCIMで組み合わせて使えるのでとても楽です ・Google Workspaceは、変更検知して順次動くので若干管理の自由は効かないです ・トラストログインは、個人で利用する分にはいい体験になるかと思います ・Azure Entra IDやGoogle Workspaceと比べて設定項目がシステムで隠されているので知識がなくても設定可能です ・メンバアカウントのルートアカウントアクセスを制限できるようになったので、SCPs、RCPs、DPの組み合わせで幅が広がります ・SCPsやRCPs、Decrative Policyについては、次回の福岡(2/8)で話すつもりです #jawsugkmmt Copyright © Tetsuya Shibao
Thanks for your time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480 2025-01-25 JAWS-UG熊本 #jawsugkmmt Copyright © Tetsuya Shibao