Submit Search
Upload
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
•
2 likes
•
3,381 views
Takayuki Ishikawa
Follow
2021/02/09 第二回 AWSマルチアカウント事例祭り
Read less
Read more
Technology
Report
Share
Report
Share
1 of 47
Download now
Download to read offline
Recommended
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon Aurora
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
Recommended
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018
cyberagent
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
20211203 AWS Black Belt Online Seminar AWS re:Invent 2021アップデート速報
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
AWS Black Belt Online Seminar Amazon Aurora
AWS Black Belt Online Seminar Amazon Aurora
Amazon Web Services Japan
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
AWS CURのデータを安く楽に可視化して共有したい
AWS CURのデータを安く楽に可視化して共有したい
Takayuki Ishikawa
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
Amazon Web Services Japan
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
AWS CLIでAssumeRole
AWS CLIでAssumeRole
Tetsunori Nishizawa
おひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
Makio Tsukamoto
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
AWS の IoT 向けサービス
AWS の IoT 向けサービス
Amazon Web Services Japan
More Related Content
What's hot
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
AWS CURのデータを安く楽に可視化して共有したい
AWS CURのデータを安く楽に可視化して共有したい
Takayuki Ishikawa
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
DevOps with Database on AWS
DevOps with Database on AWS
Amazon Web Services Japan
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
Amazon Web Services Japan
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
Akihiro Kuwano
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
Amazon Web Services Japan
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
Amazon Web Services Japan
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
Amazon Web Services Japan
AWS CLIでAssumeRole
AWS CLIでAssumeRole
Tetsunori Nishizawa
おひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
Makio Tsukamoto
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
What's hot
(20)
20200212 AWS Black Belt Online Seminar AWS Systems Manager
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
AWS CURのデータを安く楽に可視化して共有したい
AWS CURのデータを安く楽に可視化して共有したい
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
DevOps with Database on AWS
DevOps with Database on AWS
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続
AWSのログ管理ベストプラクティス
AWSのログ管理ベストプラクティス
20190522 AWS Black Belt Online Seminar AWS Step Functions
20190522 AWS Black Belt Online Seminar AWS Step Functions
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
20210127 AWS Black Belt Online Seminar Amazon Redshift 運用管理
AWS BlackBelt AWS上でのDDoS対策
AWS BlackBelt AWS上でのDDoS対策
AWS CLIでAssumeRole
AWS CLIでAssumeRole
おひとりさまAWS Organizationsのススメ
おひとりさまAWS Organizationsのススメ
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Similar to AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
AWS の IoT 向けサービス
AWS の IoT 向けサービス
Amazon Web Services Japan
クラウドネイティブガバナンスの実現
クラウドネイティブガバナンスの実現
Minoru Naito
[JAWS DAYS 2017 ワークショップ] 不安で夜眠れないAWSアカウント管理者に送る処方箋という名のハンズオン
[JAWS DAYS 2017 ワークショップ] 不安で夜眠れないAWSアカウント管理者に送る処方箋という名のハンズオン
Keisuke Kadoyama
AWS Ops系サービスが更に便利になる中、それでもなおZabbixとセットで考えたほうが良いのか?
AWS Ops系サービスが更に便利になる中、それでもなおZabbixとセットで考えたほうが良いのか?
Daisuke Ikeda
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
NHN テコラス株式会社
Demystifying Identities for Azure Kubernetes Service
Demystifying Identities for Azure Kubernetes Service
Toru Makabe
Security hub workshop
Security hub workshop
Ryuhei Shibata
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
それでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使う
Masaki Takeda
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
Tomohiro Nakashima
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
Amazon Web Services Japan
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
Amazon Web Services Japan
aws-Organizations-aroud
aws-Organizations-aroud
kota tomimatsu
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
Masanori KAMAYAMA
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
junkoy66
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターン
seiichi arai
JAWS re:Mote 2015 Nagoya
JAWS re:Mote 2015 Nagoya
陽平 山口
Similar to AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
(20)
Reinforce2021 recap session2
Reinforce2021 recap session2
AWS の IoT 向けサービス
AWS の IoT 向けサービス
クラウドネイティブガバナンスの実現
クラウドネイティブガバナンスの実現
[JAWS DAYS 2017 ワークショップ] 不安で夜眠れないAWSアカウント管理者に送る処方箋という名のハンズオン
[JAWS DAYS 2017 ワークショップ] 不安で夜眠れないAWSアカウント管理者に送る処方箋という名のハンズオン
AWS Ops系サービスが更に便利になる中、それでもなおZabbixとセットで考えたほうが良いのか?
AWS Ops系サービスが更に便利になる中、それでもなおZabbixとセットで考えたほうが良いのか?
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
働き方改革を後押しする Office 365 + リモートワークソリューション ~Azure Active Directoryとの組み合わせで実現する~リ...
Demystifying Identities for Azure Kubernetes Service
Demystifying Identities for Azure Kubernetes Service
Security hub workshop
Security hub workshop
Security Operations and Automation on AWS
Security Operations and Automation on AWS
それでもボクはMicrosoft Azure を使う
それでもボクはMicrosoft Azure を使う
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
aws-Organizations-aroud
aws-Organizations-aroud
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
超基本! AWS 認定 SA アソシエイト 受験準備 (2020年3月10日)
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターン
JAWS re:Mote 2015 Nagoya
JAWS re:Mote 2015 Nagoya
Recently uploaded
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
furutsuka
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
Atomu Hidaka
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
Shota Ito
Recently uploaded
(7)
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
UPWARD_share_company_information_20240415.pdf
UPWARD_share_company_information_20240415.pdf
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
IoT in the era of generative AI, Thanks IoT ALGYAN.pptx
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
PHP-Conference-Odawara-2024-04-000000000
PHP-Conference-Odawara-2024-04-000000000
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
1.
AWS導入から3年 AWSマルチアカウント管理で 変わらなかったこと変えていったこと 第二回 AWSマルチアカウント事例祭り 2021/02/09 ニフティ株式会社 基幹システムグループ 石川 貴之
2.
ニフティ株式会社 基幹システムグループ N1! 石川 貴之
(Ishikawa Takayuki) 担当業務 AWS/GCP管理 Atlassian製品管理 WEBサービスのバックエンド 好きなAWSのサービス CloudFormation, Athena, Organizations 自己紹介 登壇するならカッコつくか と思ったので年末に 2つ資格取ってきました 2
3.
会社紹介:ニフティ株式会社 3
4.
本日話す内容について 4 本日話すこと 1. AWS導入前にしっかり決めておいてよかったこと 2. AWS導入後に段階的に整えていったことの詳細 3.
なんでこれを採用していないのか 本日話さないこと ● 導入前に決めたことの詳細 ○ すでに公開している資料の紹介のみ ● AWSの機能自体についての説明
5.
はじめに 管理方針や利用状況 5
6.
AWS管理者としての方針 ● 権限のあるアカウントにはAdministratorレベルの権限を与える(権限移譲) ● 本当にやってほしくないものだけ制限する(予防) ●
危険な行為や設定があったら伝える(検知&通知) 利用者の成長を見守る ゆるやかなセキュリティを敷く ● AWS管理においては なるべくAWSの機能だけで完結させる ● なるべく自動化する AWSの進化に期待しつつ推奨に沿う 6
7.
AWS利用状況 AWS導入から3年 システムやサービス、 環境ごとに分割 AWSアカウント 200個 AWS管理者 1人 AWS依頼対応
2人 AWS利用者 240人 7
8.
AWS導入前に 決めておいて よかったこと 2018年1月当時 8
9.
導入前に決めたこと ● 気軽に分離や移行できないものや、絶対にカオスになるだろうものが対象 ● 少なくとも
3~5年 は持つだろう構成にしたい あとから変更しづらいものは先にしっかりした構成にしたい! ● 導入時は最低限、あとから良くしていく ● 最初は速度を優先する あとから変更しやすいものは段階的に整えていく! 9
10.
あとから変更しづらいもの AWSアカウントの粒度 ● サービスやシステム単位で環境ごとに作成、一番の目的はコストの分割 ● 参考:15分で教えるAWSの複数アカウント管理 コンソールログインアカウント ●
Idpを使用した SAML2.0 ベースのフェデレーション( AWS SSOはこのときまだGA前) ● 参考:IDaaSを用いた複数AWSアカウントのログインで良かったこと困ったこと マルチアカウントへ設定配布 ● CloudFormation StackSetsに決め打ち ● Lambda&AssumeRoleも併用 10
11.
参考:アカウントの粒度と役割 11
12.
参考:コンソールへのログインは IDaaS経由 12
13.
AWS導入後に 段階的に 整えていったこと 2018年~現在 13
14.
本日はここについて導入時と現状どうなっているか話していきます。 AWS管理における運用改善 ● AWSアカウント払い出しと初期設定 共通セキュリティ設定 ● 情報取得・予防・検知・通知の
設定 ● マルチアカウント情報の 集約 ● 検知したアラートの通知 あとから変更しやすいもの 14
15.
15 AWSアカウント払い出しと初期設定 AWS管理における運用改善
16.
大量に作らないといけなくなる前に自動化していきました。 PoC段階:完全手動 ● 全部GUIで実行して3時間はかかる 導入最初期:一部自動化&フロー実行は手動 ● 1時間くらいかかる ●
実処理をセキュリティアカウントで実行 ○ Lambda&CloudFormation StackSets 導入から1年後:ほぼ自動化 ● 新規アカウント情報を S3に投げて20分待つとできてる ● ワークフロー部分はマスターアカウントに設定(権限分離のつもりが少々歪だった) ○ StepFunction (Lambda&CloudFormation StackSets) AWSアカウント払い出しと初期設定 16
17.
AWSアカウント新規作成と初期設定の自動化 17
18.
AWSアカウント新規作成と初期設定の自動化 セキュリティ設定を追加・変更したいときは StackSetsのテンプレートの更新で行う 18
19.
● アカウントエイリアス名の変更 ● IAMパスワードポリシーの変更 ●
Idpの作成 ● AWSCloudFormationStackSetExecutionRole の作成 ● SSM Documentの作成 ○ 同一名DocumentがすでにあるとCFnでは対処できないため ● GuardDutyの有効化と招待 ○ 今はOrganizationsの機能で自動有効化 ● OUの変更 ○ 初期設定が終わったら SCPが効いているOUへ移動 Lambda+AssumeRoleで設定を入れているところ 19
20.
● AWSルートユーザーのパスワード再発行 ● ルートユーザーの物理MFAデバイスの登録 ○
リモートワークと相性が悪い。。 手動のままのところ 20
21.
21 情報取得・予防・検知・通知の設定 共通セキュリティ設定
22.
導入初期のセキュリティ設定 ● 情報取得 ○ AWS
CloudTrail ○ AWS Config ○ Personal Health Dashboard ● 予防 ○ AWS Organizations SCPs ● 検知 ○ AWS CloudWatch Events ○ Amazon GuardDuty ● 通知 ○ AWS CloudWatch Alarm リフト&シフトがメインだったため、サービス環境というよりも AWS独特のもの(アカウントや IAM)を守ることを主として考えていた 22
23.
● 情報取得 ○ AWS
CloudTrail ○ AWS Config ○ Personal Health Dashboard ● 予防 ○ AWS Organizations SCPs ○ ルートユーザーのMFA 現在のセキュリティ設定 ● 検知 ○ AWS CloudWatch Events ○ Amazon GuardDuty (+ S3保護) ○ AWS ConfigRule ○ IAM Access Analyzer ● 通知 ○ AWS CloudWatch Alarm State Change ○ ConfigRule Compliance Change ○ Amazon GuardDuty Findings ○ Health Event このほかにもAWSアカウント個別に入れている設定もあります (記載したのは共通で入れているもの) 23
24.
ConfigRuleの導入 ● 2019年8月に安くなったのが導入したきっかけ ● コンプラチェックはほとんどこれで行っている ●
最初は CIS / Control Tower をベースにして抜粋して追加 ● その後 PCI DSS / AWS Foundational Security Best Practices から抜粋して追加 ● データロス事故が起きたのでバックアップ系のチェックも追加 検知したものを利用者向けに通知 ● 管理者向けには通知を送っていたが、利用者向けにも Slackで通知を送るようにした(後述) ● 情報の集約には Organizations と EventBus を利用 SCPによる共通設定内容の保護 ● 2019年3月にConditionやワイルドカードに対応、入れた設定の保護が簡単になった 追加要素ピックアップ 24
25.
25 マルチアカウント情報の集約 共通セキュリティ設定
26.
導入初期:組織のアカウント情報の検知と集約・通知 26
27.
導入中期:組織のアカウント情報の検知と集約・通知 27
28.
現在:組織のアカウント情報の検知と集約・通知 28
29.
なぜEventBusを使っているのか リソースベースのポリシーに大量の SNSからの権限を与えていくと20KB 制 限に引っかかる(70アカウント弱が限界) Conditionに aws:PrincipalOrgID
を使いたいが、Lambdaのリソースベース ポリシーでは使えない SNSアクセスポリシーなら Conditionに aws:PrincipalOrgID を使えるが、 CloudWatch Alarmからのアクセスに関してはaws:PrincipalOrgID が機能 しない仕様 参考:Unable to get aws:PrincipalOrgID to work with creating subscription filter EventBusならConditionに aws:PrincipalOrgID を問題なく使える EventBusのターゲットはクロスアカウントには対応しているが、 クロスリージョンには未対応 なので一旦それぞれのリージョンの 集約アカウントに集めて SNSで通知用Lambdaに送る 参考:AWS アカウント間のイベントの送受信 29
30.
このあたりの構成は知らずと似通ってくるのでしょうか。 AWS Configなどもっと詳しく知りたい!という方は、以下の資料を参考にしてください。 課題や効果はうちも一緒でしたので、本資料からは割愛して構成だけの紹介としています。 ● ZOZOテクノロジーズ様 ○
AWS Configを用いたマルチアカウント・マルチリージョンでのリソース把握とコンプライアンス維持への取り組みにつ いて / Using AWS Config for Multi-Account, Multi-Region Resource Understanding and Maintaining Compliance ● アカツキ様 ○ 6000個 セキュリティポリシーを自動監査!アカツキ流、AWSセキュリティ 取り組み紹介 似たような構成をしています 30
31.
31 検知したアラートの通知 共通セキュリティ設定
32.
アラートが多すぎて通知を見なくなることが習慣にならないようにする ● ConfigRule設定後、すぐに利用者に通知を送るのは控えた(全体で 1000近い非準拠があった) ●
すべてのConfigRule内容や非準拠要素を見て、 本当に必要なルールなのか再選定 ● 自社独自の対応レベルをConfigRuleごとに定義、危険性の高いルールのみ通知対象とした 危険性と対処法が書かれたドキュメントを用意する ● 対応レベルはざっくりなので、利用者側で優先度を決められる情報を提供する(まだ一部) ● サイバーエージェント様の通知例を目指した ○ 参考:「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018 利用者へ通知する上で気をつけたこと 32
33.
通知例:CloudWatch Alarm なるべくメッセージ本文に アラートの内容を日本語で記載する 33 アカウントIDだけでなくエイリアス名も記 載する
34.
通知例:GuardDuty GuardDutyのように通知パターンが 多い場合は定型文言で通知 本当は日本語でしっかり書きたい。。 34
35.
通知例:ConfigRule 35 非準拠になったときのアラート以外に加え、定期 的に非準拠項目を伝える
36.
ドキュメントサンプル 36 なにをチェックしているか 本来どうなっているべきか 非準拠の場合の危険性 対処する場合の方法など
37.
● 対応レベルが高かった検知項目は Jira
の issue にして解決まで管理する ● ConfigRuleで条件次第で必ず非準拠になる項目の対応 ● SIEM on Amazon Elasticsearch Service の利用 これからやりたいこと 37
38.
なぜなにコーナー 検証したが 採用しなかったものなど 38
39.
Control Towerに移行しないの? ● 運用管理がそこそこ変わり、その工数に見合うリターンが今はないため ●
既存Organization対応と既存アカウントの追加ができるようになったので、移行できる最低条件は整って きたかなと思います ○ 参考:Launch AWS Control Tower in an Existing Organization ○ 参考:既存のAWSアカウントを AWS Control Tower へ登録する | Amazon Web Services ● 自前Control Towerみたいな今の構成を維持・改善していくよりも、 Control Towerに乗っかった方が楽 だったり、Control Tower特有の利点が大きくなったら移行を検討すると思います Organizations周り 39
40.
なんでOU追加で自動で動くCloudFormation StackSets使っていないの? ● OU移動で消されたくないものと消してもいいものを分類 ●
複数StackSetsあると実行順番が考慮されないため 1つのStackSetにまとめる ● これら結構しんどいため なんでTerraform使ってないの? ● CFnで管理していた方が新機能などで恩恵受けられる可能性が高いかなという期待からです ● CDK使い出してからは辛さが減りましたし使い続けています ● Visional様がOrganizationsとTerraformをいいバランスで使って管理されていて、 これもいいなと思ってます。簡単には真似できそうにないですが。。 ○ 参考:100を超えるAWSアカウント運用におけるガードレール構築事例 ○ 参考:CUS-06:大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について デプロイ周り 40
41.
なんでSecurityHub使っていないの? ● SecurityHubで全部のConfigRuleを管理できないから ● 設定保護しようとしたら
SecurityHub自体を自由に利用者側で使いにくくなるから ● しかしいいところも多いため割り切って使おうかと何度も考えました ○ StandardsのON/OFF、Standardsごとのリソースの例外設定 ○ Organizationによる有効化と集約、集約アカウントからの自動修復 なんでOrganizationConfigRule使っていないの? ● 修復を入れることができないので、結局2カ所で管理することになるから ● デプロイと設定の保護はすでにできていたため利点があまりなかった なんで適合パック使っていないの? ● ConfigRuleは修復も含めCDKで管理しており扱いに困っていなかったため ● Control Tower使い出したら使うかもしれません。 ○ 参考:AWS Config 適合パックを使用したAWS Control Tower発見的ガードレールの実装 | Amazon Web Services ConfigRule周り 41
42.
いまはどれも使わず CDK +
CloudFormation StackSets で管理していますが、 私も悩んでいます。 結局ConfigRuleはどこで管理するのがいいの? ConfigRuleどこで管理するか問題 OrganizationConfigRule, SecuriyHub, 適合パック, Control Towerのガードレール と 管理できる場所が多々あり、それぞれに良し悪しがあります。 どれを選ぶか併用するかは、組織ごとになにを重視するかで決まると思います。 このあたりAWS側のマイルストーンがわかれば舵切りがしやすいんですが。。 42
43.
Masterアカウントのコストエクスプローラーだけ使える権限設定 ● IDaaSから請求アカウントで費用だけ確認できる Roleで入れるようにした ●
費用確認の習慣付けや自社サービス間での費用比較が気軽にできる 導入してみて特に良かったものはある? 43
44.
AWS Budgets Alert ●
固定額で入れておいて自由に金額を変更してもらう想定で入れていた ● 現場的には日次で月額費用を Slack通知されるものに需要があった ○ 使った分だけというのが怖いので日次で総額と増分が分かる方が嬉しい Auto Tag ● リソース作成時に自動で作成者と時間を Tagに記述するLambda ● 主に開発環境で正体不明なリソースをなくしたかった ● CloudFormationは大丈夫だがTerraformと相性が悪いので削除 ○ IaCが一般的に使われているなら正体不明リソースはそんなに増えないだろうし 導入してみて失敗だったものはある? 44
45.
まとめ 45
46.
● 利用者の成長を阻害しないセキュリティを敷いている ● あとから変更しにくい要素はAWS導入前にしっかり構成を決めた、 3年経った今でも困らず運用で きている(アカウントの粒度、コンソールログインアカウント、マルチアカウントへの設定配布方法) ●
時間のかかる新規アカウントの初期設定は自動化、無理のない運用に改善していった ● はじめは速度優先、利用状況に合わせて必要なセキュリティを増やしていった ○ すぐに設定できてコストに見合うものを最初に導入 ○ 推奨されたものや、ヒヤリハット・障害の再発防止策として追加導入 ○ 通知は利用者視点を持って量と内容を考える ● AWSの新機能は都度検証するが、ROIを考えて導入や移行を決めていく まとめ 46
47.
Copyright © NIFTY
Corporation All Rights Reserved.
Download now