Mais conteúdo relacionado
Mais de Hayato Kiriyama (20)
Aws re:Invent 2016 Security Follow Up AWS Organizations
- 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
桐山 隼人
セキュリティ ソリューション アーキテクト
アマゾン ウェブ サービス ジャパン 株式会社
2016年12月21日
AWS re:Invent 2016 Security Follow Up
セキュリティ新サービス紹介① AWS Organizations 他
- 2. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
- 3. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations サービス概要
複数アカウント
の一元管理
AWSアカウント
管理の自動化
請求の簡素化
アプリケーション、
環境、チーム毎の
グループ化
グループポリシー
適用
コンソール、SDK、
CLIでの管理操作
全ての管理操作の
ロギング(CloudTrail)
複数アカウントの
一括請求
(Consolidated Billing)
CBファミリーの自
動移行
- 4. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
主要なコンセプト
用語 説明
組織 一元管理可能な複数AWSアカウントのセット
AWSアカウント Organizationsで管理する最小単位
IAMの統制下で、AWSリソースへアクセス
マスターアカウント 組織内の他アカウントの作成・招待・削除
組織コントロールポリシーの適用
組織における支払いアカウント
組織単位 (OU) 複数のAWSアカウントのグループ
更に細かい単位にネストして管理可
管理用ルート 組織単位(OU)の階層化の開始点
組織コントロールポリシー
(OCP)
適用するコントロールを定義する 1 つ以上の
ステートメントが記述されたドキュメント
- 5. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations の構成例
開発環境 テスト環境 本番環境
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織 管理用ルート
OCP
OCP
OCP
MA
- 6. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
組織の作成
MA
server:~$ aws organizations create-organization --mode FULL_CONTROL
マスターアカウントは組織の支払いアカウントになるので
慎重に選択
CLIからFull_Controlモードで作成する例:
モードにはFull_ControlとBillingの2種類がある
- 7. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:組織の作成
組織
MA
- 8. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSアカウントの自動作成
新しいアカウントはマスターアカウントからのみ作成される
作成時に必要な情報:
Eメールアドレス (必須)
アカウント名 (必須)
IAMロール名 (必須)
デフォルト名 : OrganizationAccountAccessRole
BillingへのIAMユーザーアクセス (任意)
作成されたアカウントは自動的に組織のメンバーアカウントになる
- 9. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
既存AWSアカウントの組織への招待
招待はマスターアカウントからのみ行える
招待されたアカウントは、受ける(Accept)か断る(Decline)か選択
デフォルトは Decline
招待をアカウントした場合:
そのAWSアカウントは組織のメンバーアカウントになる
その時点で適用されるべきOCPが自動的に適用される
CLIから既存AWSアカウントを招待する例:
server:~$ aws organizations invite-account-to-organization --target id=data.processing.prod@example.corp,type=EMAIL
- 10. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:アカウントの追加
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織
MA
- 11. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSアカウントのグループ化
管理しやすいようにAWSアカウントを組織単位(OU)にグループ化
アプリケーション
環境
チーム
AWSアカウントは複数のOUに所属できる
OUのメンバーになれるのはAWSアカウント
- 12. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:AWSアカウントのグループ化
開発環境 テスト環境 本番環境
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織 管理用ルート
MA
- 13. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
組織コントロールポリシー (OCP)
適応すべきコントロールを記述したもの
ユースケースごとに異なる種類のOCPが使用される
OCPが適用される対象:
組織全体
組織単位(OU)
AWSアカウント
組織の階層構造に基づいて継承される
- 14. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:OCPの適用
開発環境 テスト環境 本番環境
A1 A2
A3 A4
A5
A6
A7 A8
A9
組織 管理用ルート
OCP
OCP
OCP
MA
- 15. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー (SCP)
OCPの一種。AWSリソースやAPIへのアクセス制限を実現
呼び出しを許可するAPIを定義 – ホワイトリスト
呼び出しを禁止するAPIを定義 – ブラックリスト
ローカルの管理者からは上書きできない
必要条件だが十分条件ではない
IAMユーザーやロールの権限は、SCPと割り当て済みIAM権限の
共有項
IAMポリシーシミュレーターはSCPにも利用可能
- 16. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
請求の簡素化
全てのAWSアカウントに対する唯一の支払いアカウント
組織内のAWSアカウントの全ての課金が、一つの請求とボリューム
価格にまとめられる
既存の一括請求(Consolidated Billing)ファミリーは、Billingモード
でAWS Organizationsに移行される
- 17. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
管理レベルの選択
新しい組織を作成する時は、どちらのモードで作成するかを選択
Billing モード
現行の一括請求(CB)との互換性あり
FinancialコントロールのOCPのみ管理可
一括請求(CB)ファミリーからの組織作成は自動でBillingモード
Full_Control モード
Billingモードを包含
あらゆる種類のOCPを管理可
BillingモードからFull_Controlモードへの変更は組織内の全ての
AWSアカウントの同意が必要
- 18. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ユースケース
ヘルスケア業界の規制に準拠したソフトウェアをAWS上で稼働
限られたAWSサービスでのみ情報を処理・保管・転送する必要あり
本番環境(Production)では規制に基づいた統制
開発者(Developer Research)は業務上、他のAWSサービスを試す
必要がある
この組織が本番環境で利用可能なAWSサービス:
DynamoDB, Glacier, EMR, RDS, EC2, S3
開発者にアクセス許可させるAWSサービス:
Redshift, Lambda, Kinesis
- 19. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー(SCP) の適用
- 20. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー(SCP) の継承
- 21. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations の AWS SA ブログ
http://aws.typepad.com/sajp/2016/12/announcing-aws-organizations-centrally-manage-multiple-aws-accounts.html
- 22. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
- 23. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
コンプライアンスプログラムのAWS対象サービス
https://aws.amazon.com/jp/compliance/services-in-scope/
- 24. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!
桐山 隼人
セキュリティ ソリューション アーキテクト
アマゾン ウェブ サービス ジャパン 株式会社