AWS re:Invent 2016 Security Follow Up（2016 年 12 月 21 日開催)セミナー https://aws.amazon.com/jp/about-aws/events/2016/securityfollowup-20161221/ セッション：「セキュリティ新サービス紹介① AWS Organizations 他」の発表資料です。

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
桐山 隼人
セキュリティ ソリューション アーキテクト
アマゾン ウェブ サービス ジャパン 株式会社
2016年12月21日
AWS re:Invent 2016 Security Follow Up
セキュリティ新サービス紹介① AWS Organizations 他

2. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

3. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations サービス概要
複数アカウント
の一元管理
AWSアカウント
管理の自動化
請求の簡素化
 アプリケーション、
環境、チーム毎の
グループ化
 グループポリシー
適用
 コンソール、SDK、
CLIでの管理操作
 全ての管理操作の
ロギング(CloudTrail)
 複数アカウントの
一括請求
(Consolidated Billing)
 CBファミリーの自
動移行

4. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
主要なコンセプト
用語 説明
組織  一元管理可能な複数AWSアカウントのセット
AWSアカウント  Organizationsで管理する最小単位
 IAMの統制下で、AWSリソースへアクセス
マスターアカウント  組織内の他アカウントの作成・招待・削除
 組織コントロールポリシーの適用
 組織における支払いアカウント
組織単位 (OU)  複数のAWSアカウントのグループ
 更に細かい単位にネストして管理可
管理用ルート  組織単位(OU)の階層化の開始点
組織コントロールポリシー
(OCP)
 適用するコントロールを定義する 1 つ以上の
ステートメントが記述されたドキュメント

5. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations の構成例
開発環境 テスト環境 本番環境
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織 管理用ルート
OCP
OCP
OCP
MA

6. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
組織の作成
MA
server:~$ aws organizations create-organization --mode FULL_CONTROL
 マスターアカウントは組織の支払いアカウントになるので
慎重に選択
 CLIからFull_Controlモードで作成する例：
 モードにはFull_ControlとBillingの2種類がある

7. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例：組織の作成
組織
MA

8. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSアカウントの自動作成
 新しいアカウントはマスターアカウントからのみ作成される
 作成時に必要な情報：
 Eメールアドレス (必須)
 アカウント名 (必須)
 IAMロール名 (必須)
 デフォルト名 : OrganizationAccountAccessRole
 BillingへのIAMユーザーアクセス (任意)
 作成されたアカウントは自動的に組織のメンバーアカウントになる

9. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
既存AWSアカウントの組織への招待
 招待はマスターアカウントからのみ行える
 招待されたアカウントは、受ける(Accept)か断る(Decline)か選択
 デフォルトは Decline
 招待をアカウントした場合：
 そのAWSアカウントは組織のメンバーアカウントになる
 その時点で適用されるべきOCPが自動的に適用される
 CLIから既存AWSアカウントを招待する例：
server:~$ aws organizations invite-account-to-organization --target id=data.processing.prod@example.corp,type=EMAIL

10. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例：アカウントの追加
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織
MA

11. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSアカウントのグループ化
 管理しやすいようにAWSアカウントを組織単位(OU)にグループ化
 アプリケーション
 環境
 チーム
 AWSアカウントは複数のOUに所属できる
 OUのメンバーになれるのはAWSアカウント

12. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例：AWSアカウントのグループ化
開発環境 テスト環境 本番環境
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織 管理用ルート
MA

13. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
組織コントロールポリシー (OCP)
 適応すべきコントロールを記述したもの
 ユースケースごとに異なる種類のOCPが使用される
 OCPが適用される対象：
 組織全体
 組織単位(OU)
 AWSアカウント
 組織の階層構造に基づいて継承される

14. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例：OCPの適用
開発環境 テスト環境 本番環境
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織 管理用ルート
OCP
OCP
OCP
MA

15. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー (SCP)
 OCPの一種。AWSリソースやAPIへのアクセス制限を実現
 呼び出しを許可するAPIを定義 – ホワイトリスト
 呼び出しを禁止するAPIを定義 – ブラックリスト
 ローカルの管理者からは上書きできない
 必要条件だが十分条件ではない
 IAMユーザーやロールの権限は、SCPと割り当て済みIAM権限の
共有項
 IAMポリシーシミュレーターはSCPにも利用可能

16. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
請求の簡素化
 全てのAWSアカウントに対する唯一の支払いアカウント
 組織内のAWSアカウントの全ての課金が、一つの請求とボリューム
価格にまとめられる
 既存の一括請求(Consolidated Billing)ファミリーは、Billingモード
でAWS Organizationsに移行される

17. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
管理レベルの選択
 新しい組織を作成する時は、どちらのモードで作成するかを選択
 Billing モード
 現行の一括請求(CB)との互換性あり
 FinancialコントロールのOCPのみ管理可
 一括請求(CB)ファミリーからの組織作成は自動でBillingモード
 Full_Control モード
 Billingモードを包含
 あらゆる種類のOCPを管理可
 BillingモードからFull_Controlモードへの変更は組織内の全ての
AWSアカウントの同意が必要

18. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ユースケース
 ヘルスケア業界の規制に準拠したソフトウェアをAWS上で稼働
 限られたAWSサービスでのみ情報を処理・保管・転送する必要あり
 本番環境(Production)では規制に基づいた統制
 開発者(Developer Research)は業務上、他のAWSサービスを試す
必要がある
この組織が本番環境で利用可能なAWSサービス：
DynamoDB, Glacier, EMR, RDS, EC2, S3
開発者にアクセス許可させるAWSサービス：
Redshift, Lambda, Kinesis

19. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー(SCP) の適用

20. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー(SCP) の継承

21. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations の AWS SA ブログ
http://aws.typepad.com/sajp/2016/12/announcing-aws-organizations-centrally-manage-multiple-aws-accounts.html

22. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

23. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
コンプライアンスプログラムのAWS対象サービス
https://aws.amazon.com/jp/compliance/services-in-scope/

24. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!
桐山 隼人
セキュリティ ソリューション アーキテクト
アマゾン ウェブ サービス ジャパン 株式会社