SlideShare a Scribd company logo

JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた

Yutaro Ono
Yutaro Ono

AWSマルチアカウント運用のはじめかた

Technology
1 of 38
Download to read offline
2020年1月29日 マルチアカウント運用のはじめかた - JAWS-UG 初心者支部 -
Japan Digital Design, Inc. 2 小野 雄太郎 VP of Infrastructure, Technology and Design Division. Japan Digital Designにてインフラストラクチ ャの設計運用等をメインに、パブリッククラウ ドのみで構成されたプラットフォームを実装中 これまでWindows Server, Visual Studio, IPv6などを中心に、コミュニティ運営など。 ここ最近はAWSメイン 個人事業主で普通のIT屋さんもしています Twitter: @chamreo LinkedIn: linkedin.com/in/yutaro
Japan Digital Design, Inc. 3 三菱UFJフィナンシ ャルグループ 持株会社 三菱UFJ銀行 34,000人 … 三菱UFJ信託銀行 7,000人 三菱UFJ証券 ホールディングス 三菱UFJモルガンス タンレー証券 5,300人 Kabu.com … 三菱UFJニコス 3,100人 … Japan Digital Design < 100人
Classified as Confidential by Japan Digital Design, Inc. 4 マルチアカウント?
Classified as Confidential by Japan Digital Design, Inc. 5 AWSアカウント ⚫ サインアップしたルートユーザーと1:1 ◼ ルートユーザー = 登録時のメールアドレスがID ⚫ 利用したリソースの代金が請求される
Classified as Confidential by Japan Digital Design, Inc. 6 1つの組織(会社)でAWSアカウントを複数使う ⚫ 部署単位で分ける. ⚫ 経費の精算単位で分ける.. ⚫ 開発環境とサービス提供環境を分ける… マルチアカウントとは? 情シス 開発 社内 向け アプリ 本番 開発チ ーム テスト チーム 情シス 運用部 アプリA アプリB 子会社C
Question #1 複数のアカウントを利用していますか? A) 1つ B) 2つ C) 3個-10個 D) 10個以上 Classified as Confidential by Japan Digital Design, Inc. 7
Question #2 複数アカウントはどのように使い分けていますか? A)本番環境と開発環境 B) 部署(チーム/個人)ごと C) 部署ごとに本番と開発環境 D)プロジェクトごと E) 1プロジェクトで複数使い分け Classified as Confidential by Japan Digital Design, Inc. 8
Question #3 AWS Organizationsを利用していますか? Classified as Confidential by Japan Digital Design, Inc. 9
Classified as Confidential by Japan Digital Design, Inc. 10 マルチアカウントのための機能
AWS Organizations ⚫ 会社で利用するAWSアカウントを一括管理する仕組み ◼ 1つのアカウントを組織のルートとして、複数AWSアカウント を子アカウントとして管理できる ◼ 全AWSアカウントの利用料金を一括請求で払える Classified as Confidential by Japan Digital Design, Inc. 11
一括請求 AWSアカウントの請求を集約できる ⚫ AWS Organizations のルートアカウントから請求される Organizations では一括請求のみも選択できる ⚫ アカウント管理の統合をしない使い方 ◼ 今回は対象外 (統合管理をする仕組みをご紹介) Classified as Confidential by Japan Digital Design, Inc. 12
Classified as Confidential by Japan Digital Design, Inc. 13 OU (Organization Units) によるアカウントの管理 ⚫ AWSアカウントをOUでグループ化して階層管理 ⚫ Service Control Policy によるポリシー管理 ◼ 子アカウントで使える機能を制限できる
Classified as Confidential by Japan Digital Design, Inc. 14 マルチアカウントのはじめかた
Classified as Confidential by Japan Digital Design, Inc. 15 1. ルートになるAWSアカウントを決める 2. AWS Organizationを有効化する 3. 既存のAWSアカウントを子アカウントに招待 4. OUでAWSアカウントを整理 5. 新しいAWSアカウント追加時はルートで行う AWS Organizationを始める
Classified as Confidential by Japan Digital Design, Inc. 16 ルートAWSアカウントは強い権限を持つ ⚫ 課金 ⚫ 子アカウントへのスイッチロール権限 ◼ OrganizationAccountAccessRole というIAMロールが 子アカウントにできる 通常利用はしない前提 ⚫ 新しいAWSアカウントを作成して、ルートにするのが良い ⚫ 最小限の管理者IAMユーザーのみで運用 1. ルートAWSアカウントを 決める
Classified as Confidential by Japan Digital Design, Inc. 17 ルートAWSアカウントでOrganizationsを有効化 ⚫ 有効化したAWSアカウントがルートになる 2. AWS Organization 有効化
Classified as Confidential by Japan Digital Design, Inc. 18 既存アカウントをOrganizationsに招待します ⚫ Organizationsに入ると、請求が一括請求になります ◼ 請求書は個別に出すこともできます 3. 既存アカウントの招待
Classified as Confidential by Japan Digital Design, Inc. 19 OUにAWSアカウントを移動する ⚫ アカウントを選択してOUを変更 ◼ 階層構造で管理できる ◼ 最近は、OU単位でポリシーの条件を書けることも 4. OUによる整理
Classified as Confidential by Japan Digital Design, Inc. 20 OrganizationsからAWSアカウントを作成 ⚫ 自動的に子アカウントとして紐づけられて作成される ⚫ ルートアカウントのパスワードは指定できない ◼ 初回にパスワードリカバリを行って設定する 5. アカウントの追加作成
Classified as Confidential by Japan Digital Design, Inc. 21 アカウントの分けかた
Classified as Confidential by Japan Digital Design, Inc. 22 1つのアカウントを共有するデメリット ⚫ 権限の制限が難しくなる ◼ 全員が管理者権限を持っていると間違ってリソースを削除して しまえる ⚫ 現実世界では電源を入れなおせば済むかもしれない ⚫ クラウドの世界では、インスタンスを削除したら、もう復活 できない AWSの世界で使いやすい分けかたを考える ⚫ 会社の組織構造で分けるのはお勧めできない ◼ 会社の組織は良く変わる ◼ 会社の組織はAWSの管理方法と一致しない アカウントを分ける
Classified as Confidential by Japan Digital Design, Inc. 23 あとで困らない始めかた ⚫ 1アカウント 1用途を基本にして考える ◼ ルートAWSアカウント ⚫ Organizations 管理専用 (+ルート必須のサービス利用) ◼ IAMユーザー認証アカウント ⚫ 会社内のユーザーのIAMをまとめて作成する ⚫ 他のアカウントは、このアカウントにサインイン後、ロール切り 替えをして使う ◼ セキュリティ通知用アカウント ⚫ GuardDutyやAWS Configの通知を集約 ◼ ルートAWSアカウント以外に集約できるものはここに集約 ◼ 検証環境 ⚫ 普段使う開発環境 ◼ 運用環境 ⚫ サービス提供環境 ◼ 規模によりシステムごと、複数システム混在も 完全無欠パターンはない root Partners OU Corporate OU Infra OU ID Security Service OU Production A Production B Dev OU Dev 用途別AWSアカウント
Classified as Confidential by Japan Digital Design, Inc. 24 課金管理 ⚫ ルートAWSアカウントに課金管理用IAMロールを作成 ◼ ID管理アカウントからAssume Roleできるようにする CloudTrail ⚫ 組織のCloudTrailという機能が利用可能に ◼ Organizationsにある全AWSアカウントに一括設定可能 ◼ 組織CloudTrailを有効化し、セキュリティアカウントに作ったS3バ ケットに保存 OrganizationAccountAccessRole ⚫ 子アカウントにOrganizationAccountAccessRoleというロールができる ◼ ルートAWSアカウントからAssume Roleできるようになっている ◼ AdministratorAccessポリシーを持っている ⚫ ルートAWSアカウントのユーザーはすべての子アカウントで Adminになれてしまう ⚫ ルートAWSアカウントを利用するユーザーを限定 ルートAWSアカウント管理
Classified as Confidential by Japan Digital Design, Inc. 25 組織で使うIAMユーザーを作成 ⚫ ここに登録されているユーザーが組織でAWSを使っているユーザ ーと一致することになる ◼ 入退社に合わせたアカウント管理が楽に ⚫ グループを使って利用できるIAMロール/AWSアカウントを制御 ◼ インフラ管理者グループは、全部のAWSアカウントのロールを 使える ◼ 開発者グループは、開発環境AWSアカウントのロールを使える ◼ 経理担当グループは、ルートAWSアカウントの課金管理ロール を使える ⚫ パスワードリセット、MFA管理、その他もろもろに便利 IAM認証アカウント
Classified as Confidential by Japan Digital Design, Inc. 26 セキュリティ系通知を集約 ⚫ GuardDutyのマスターアカウントにする ⚫ 組織のCloudTrailログをS3に保存する ⚫ AWS Configやその他の管理系通知を集約 AWS運用管理者だけが使うAWSアカウントとする セキュリティアカウント
Classified as Confidential by Japan Digital Design, Inc. 27 検証環境用AWSアカウント ⚫ AWSのサービスを試したり開発する環境 ◼ 開発者ごとにAWSアカウントを用意するケースと、共用のアカ ウントを用意するケースどちらもありうる ◼ 共用アカウントだと、AWSサポートを共有できるメリット 運用環境AWSアカウント ⚫ サービス提供を行っている運用環境 ⚫ 運用に携わるユーザーだけが使える ⚫ サービスごとにAWSアカウントを分けると、特定の運用メンテナ ンス作業による影響を、アカウント内に限定できる ◼ 発展すると、1システムを複数のAWSアカウントで構成する 検証/運用環境
Classified as Confidential by Japan Digital Design, Inc. 28 実際の利用例
Classified as Confidential by Japan Digital Design, Inc. 29 オンラインで完結する中小企業向け融資 ⚫ 紙の書類なしで、中小企業向けの融資ができるように ⚫ 既存顧客の口座取引履歴から与信スコアを付与 2019年6月にリリースしています!
これを作るために… 自動で与信結果を返すモデルを開発しました そのために全情報をAWSで分析しています • 三菱UFJ銀行 3,400万 顧客口座 • 過去 10年分 の取引明細・顧客情報* Classified as Confidential by Japan Digital Design, Inc. 30
M-AIS Infrastructure EC2 Analysis Zone M-AIS Infra Services Zone Databricks Zone M-AIS Platform Classified as Confidential by Japan Digital Design, Inc. 31 Japan Digital DesignData Analysis Area Data Exchange Zones ETL ZonesETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area STS Gateway subnet Databricks Instances Spark Clusters AWS-STS EC2 Analysis Servers Databricks Enterprise Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists On-Premise Office Analysis UI
M-AIS Infrastructure EC2 Analysis Zone M-AIS Infra Services Zone Databricks Zone M-AIS Platform Classified as Confidential by Japan Digital Design, Inc. 32 Japan Digital DesignData Analysis Area Data Exchange Zones ETL ZonesETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area STS Gateway subnet Databricks Instances Spark Clusters AWS-STS EC2 Analysis Servers Databricks Enterprise Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists On-Premise Office Analysis UI AWSアカウント
Classified as Confidential by Japan Digital Design, Inc. 33 まとめ
Classified as Confidential by Japan Digital Design, Inc. 34 1つ1つのAWSアカウントをシンプルに使う ⚫ AWSアカウントを作るだけなら無料です ⚫ 利用料金をアカウント単位で管理 ⚫ AWS Control Tower等、マルチアカウント管理向け機能も強化さ れてきている 偶発的な間違いを防止 ⚫ クラウド上での削除はやり直しできない ⚫ そもそも触れる作業範囲をAWSアカウントで分離 明日からマルチアカウントへ ⚫ 1つにまとまったリソースをあとから分離するのは大変 ⚫ 複数のアカウントにあるリソースは、IAMロールの活用で簡単に 使える マルチアカウント運用
Classified as Confidential by Japan Digital Design, Inc. 35 たくさんのAWSアカウントでMFAどうする? ⚫ それぞれルートアカウントIDで設定する ⚫ 物理カード買うの? ◼ ルートアカウントは物理MFAが良い (個人的意見) ⚫ トークン型よりカード型が個人的に好き ⚫ テプラ貼れます ◼ 子アカウントはOTPでもいいかも ⚫ YubiKeyだと複数アカウントに紐づけられる ◼ 会社で使うには物理的に共有できるので便利 (物理的管理 は必要) ◼ ただYubiKey壊れたらMFA全滅リスク… 雑多なもの #1
Classified as Confidential by Japan Digital Design, Inc. 36 AWSサポート契約するの? ⚫ Business Support は1アカウントごとの契約 ◼ 1アカウント 100ドル/月 ⚫ うーん、払えるけどね… ⚫ 検証用と運用環境だけ払う ◼ 検証環境で再現させて、サポートに問い合わせる ◼ 開発環境はサポートなしで頑張る…とか ⚫ EnterpriseだとOrganizations全体を1契約にできる ◼ 15,000ドル/月だってさ 雑多なもの #2
Classified as Confidential by Japan Digital Design, Inc. 37 AWSアカウント作った後に最初にやること ⚫ 毎回やるの!? ◼ やります… ◼ AWS CLIでバッチ化したり… IAMロール作ったり、VPC作ったり… ⚫ 子アカウントで同じような作業を繰り返すことが多い ◼ CloudFormationという機能でテンプレートを開発する ◼ みんなが同じようなものを作る… GitHubでテンプレートを公開しました ⚫ https://github.com/japan-d2/secure-stack-template-aws ⚫ テンプレートをオープンソース化しています ◼ セキュアに開発を始められるテンプレート ⚫ VPC, S3, KMS, etc… 雑多なもの #3
2020年1月29日 Thank you!

Recommended

BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理
BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理
BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理
Yutaro Ono
 
Fin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビュー
Fin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビューFin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビュー
Fin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビュー
Yutaro Ono
 
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
Yutaro Ono
 
JAWSUG & JAZUG Sendai Azure Update 20140517
JAWSUG & JAZUG Sendai Azure Update 20140517JAWSUG & JAZUG Sendai Azure Update 20140517
JAWSUG & JAZUG Sendai Azure Update 20140517
Ayako Omori
 
[簡易提案書]働き方改革にMSインフラストラクチャー
[簡易提案書]働き方改革にMSインフラストラクチャー[簡易提案書]働き方改革にMSインフラストラクチャー
[簡易提案書]働き方改革にMSインフラストラクチャー
Toshihiko Sawaki
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
Shinobu Yasuda
 
Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02
Toshihiko Sawaki
 
【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0
【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0
【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0
Kazuhiko Isaji
 

Recommended

BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理
BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理
BigData-JAWS 2020-11-30 - AWS Batchによるデータ変換処理
Yutaro Ono
 
Fin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビュー
Fin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビューFin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビュー
Fin-JAWS 2020-12-09 - 1年を振り返る公開自己業績評価レビュー
Yutaro Ono
 
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
Yutaro Ono
 
JAWSUG & JAZUG Sendai Azure Update 20140517
JAWSUG & JAZUG Sendai Azure Update 20140517JAWSUG & JAZUG Sendai Azure Update 20140517
JAWSUG & JAZUG Sendai Azure Update 20140517
Ayako Omori
 
[簡易提案書]働き方改革にMSインフラストラクチャー
[簡易提案書]働き方改革にMSインフラストラクチャー[簡易提案書]働き方改革にMSインフラストラクチャー
[簡易提案書]働き方改革にMSインフラストラクチャー
Toshihiko Sawaki
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
Shinobu Yasuda
 
Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02Azure overview 2019_feb_v1.02
Azure overview 2019_feb_v1.02
Toshihiko Sawaki
 
【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0
【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0
【共通版】 IBM Cloud (SoftLayer) 最新動向情報 2017年11月版 v1.0
Kazuhiko Isaji
 
Data & AI Update 情報 - 2020年8月版
Data & AI Update 情報 - 2020年8月版Data & AI Update 情報 - 2020年8月版
Data & AI Update 情報 - 2020年8月版
Takeshi Fukuhara
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
Shinobu Yasuda
 
パブリッククラウド動向とIBMの取り組み
パブリッククラウド動向とIBMの取り組みパブリッククラウド動向とIBMの取り組み
パブリッククラウド動向とIBMの取り組み
Kimihiko Kitase
 
[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...
[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...
[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...
Naoki (Neo) SATO
 
vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
Shinobu Yasuda
 
de:code 2019 Cloud トラック 総まとめ! 完全版
de:code 2019 Cloud トラック 総まとめ! 完全版de:code 2019 Cloud トラック 総まとめ! 完全版
de:code 2019 Cloud トラック 総まとめ! 完全版
Minoru Naito
 
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
Kimihiko Kitase
 
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
Trainocate Japan, Ltd.
 
Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~
Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~
Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~
Takashi Ushigami
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Azure 相談センター
 
JAZUG Nagoya Azure Update 20140607
JAZUG Nagoya Azure Update 20140607JAZUG Nagoya Azure Update 20140607
JAZUG Nagoya Azure Update 20140607
Ayako Omori
 
[簡易提案書]Azure overview 2017_sep_v0.9
[簡易提案書]Azure overview 2017_sep_v0.9[簡易提案書]Azure overview 2017_sep_v0.9
[簡易提案書]Azure overview 2017_sep_v0.9
Toshihiko Sawaki
 
【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版
【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版
【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版
Hayama Kyouhei
 
クラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイントクラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイント
真吾 吉田
 
Azure Kubernetes Service Overview
Azure Kubernetes Service OverviewAzure Kubernetes Service Overview
Azure Kubernetes Service Overview
Takeshi Fukuhara
 
Elastic on-microsoft-azure-0630-webinar-no-video
Elastic on-microsoft-azure-0630-webinar-no-videoElastic on-microsoft-azure-0630-webinar-no-video
Elastic on-microsoft-azure-0630-webinar-no-video
Shotaro Suzuki
 
Elastic7.10 newfeaturesintroduce 1216
Elastic7.10 newfeaturesintroduce 1216Elastic7.10 newfeaturesintroduce 1216
Elastic7.10 newfeaturesintroduce 1216
Shotaro Suzuki
 
Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)
Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)
Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)
Takeshi Fukuhara
 
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
Nissho-Blocks
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
Kimihiko Kitase
 
Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門
Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門
Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門
Daisuke Masubuchi
 
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
Hideaki Tokida
 

More Related Content

What's hot

日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
Nissho-Blocks
 

What's hot (20)

Data & AI Update 情報 - 2020年8月版
Data & AI Update 情報 - 2020年8月版Data & AI Update 情報 - 2020年8月版
Data & AI Update 情報 - 2020年8月版
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
パブリッククラウド動向とIBMの取り組み
パブリッククラウド動向とIBMの取り組みパブリッククラウド動向とIBMの取り組み
パブリッククラウド動向とIBMの取り組み
 
[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...
[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...
[Microsoft Tech Summit 2018] Azure Machine Learning サービスと Azure Databricks で実...
 
vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
vForum2016: VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
 
de:code 2019 Cloud トラック 総まとめ! 完全版
de:code 2019 Cloud トラック 総まとめ! 完全版de:code 2019 Cloud トラック 総まとめ! 完全版
de:code 2019 Cloud トラック 総まとめ! 完全版
 
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
 
AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価AWSの最新動向と事例から知る クラウド利用の進化と真価
AWSの最新動向と事例から知る クラウド利用の進化と真価
 
Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~
Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~
Virtual WAN × Citrix SD-WAN の衝撃! ~演習用資料~
 
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
Web制作会社様向け 知って得するMicrosoft Azureの概要と使い方!
 
JAZUG Nagoya Azure Update 20140607
JAZUG Nagoya Azure Update 20140607JAZUG Nagoya Azure Update 20140607
JAZUG Nagoya Azure Update 20140607
 
[簡易提案書]Azure overview 2017_sep_v0.9
[簡易提案書]Azure overview 2017_sep_v0.9[簡易提案書]Azure overview 2017_sep_v0.9
[簡易提案書]Azure overview 2017_sep_v0.9
 
【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版
【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版
【検証してみた】いま話題のVMware on IBM Cloud SoftLayer 配布版
 
クラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイントクラウドでPCI DSS環境を構築・運用するポイント
クラウドでPCI DSS環境を構築・運用するポイント
 
Azure Kubernetes Service Overview
Azure Kubernetes Service OverviewAzure Kubernetes Service Overview
Azure Kubernetes Service Overview
 
Elastic on-microsoft-azure-0630-webinar-no-video
Elastic on-microsoft-azure-0630-webinar-no-videoElastic on-microsoft-azure-0630-webinar-no-video
Elastic on-microsoft-azure-0630-webinar-no-video
 
Elastic7.10 newfeaturesintroduce 1216
Elastic7.10 newfeaturesintroduce 1216Elastic7.10 newfeaturesintroduce 1216
Elastic7.10 newfeaturesintroduce 1216
 
Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)
Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)
Part 4: Power Platform 概説 (製造リファレンス・アーキテクチャ勉強会)
 
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
 

Similar to JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた

クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へクラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へ
Cybozucommunity
 

Similar to JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた (20)

Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門
Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門
Linux / Mac ユーザーのための Microsoft Azure 仮想マシン 入門
 
OpenWhisk Serverless への期待
OpenWhisk Serverless への期待OpenWhisk Serverless への期待
OpenWhisk Serverless への期待
 
IoT@Loft - IoT開発を成功させるためのPoCの進め方と実践
IoT@Loft - IoT開発を成功させるためのPoCの進め方と実践IoT@Loft - IoT開発を成功させるためのPoCの進め方と実践
IoT@Loft - IoT開発を成功させるためのPoCの進め方と実践
 
Lt4 aws@loft #11 aws io-t for smart building
Lt4 aws@loft #11 aws io-t for smart buildingLt4 aws@loft #11 aws io-t for smart building
Lt4 aws@loft #11 aws io-t for smart building
 
03_AWS IoTのDRを考える
03_AWS IoTのDRを考える03_AWS IoTのDRを考える
03_AWS IoTのDRを考える
 
ぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic Cloudぐるなびが活用するElastic Cloud
ぐるなびが活用するElastic Cloud
 
JAWS-UG東京 - 2019-09-26 - Gateway祭
JAWS-UG東京 - 2019-09-26 - Gateway祭JAWS-UG東京 - 2019-09-26 - Gateway祭
JAWS-UG東京 - 2019-09-26 - Gateway祭
 
AWS IoT アップデート 2016.02.16
AWS IoT アップデート 2016.02.16AWS IoT アップデート 2016.02.16
AWS IoT アップデート 2016.02.16
 
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
202202 AWS Black Belt Online Seminar AWS SaaS Boost で始めるSaaS開発⼊⾨
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
AWS re:Inforce 2019 re:Cap - 2019-07-30
AWS re:Inforce 2019 re:Cap - 2019-07-30AWS re:Inforce 2019 re:Cap - 2019-07-30
AWS re:Inforce 2019 re:Cap - 2019-07-30
 
AWS Introduction for Startups
AWS Introduction for StartupsAWS Introduction for Startups
AWS Introduction for Startups
 
クラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へクラウド鎖国からクラウド維新へ
クラウド鎖国からクラウド維新へ
 
Cm re growth-devio-mtup11-sapporo-004
Cm re growth-devio-mtup11-sapporo-004Cm re growth-devio-mtup11-sapporo-004
Cm re growth-devio-mtup11-sapporo-004
 
Scale Your Business without Servers
Scale Your Business without ServersScale Your Business without Servers
Scale Your Business without Servers
 
エッジコンピューティングで実現できる活用シナリオ3選
エッジコンピューティングで実現できる活用シナリオ3選エッジコンピューティングで実現できる活用シナリオ3選
エッジコンピューティングで実現できる活用シナリオ3選
 
Azure IoT 最前線!~ Microsoft Ignite 2019での発表と直近アップデート総まとめ ~
Azure IoT 最前線!~ Microsoft Ignite 2019での発表と直近アップデート総まとめ ~Azure IoT 最前線!~ Microsoft Ignite 2019での発表と直近アップデート総まとめ ~
Azure IoT 最前線!~ Microsoft Ignite 2019での発表と直近アップデート総まとめ ~
 
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
[CTO Night & Day 2019] CTO のためのセキュリティ for Seed ~ Mid Stage #ctonight
 
Jaws serverless 1026_kyoso
Jaws serverless 1026_kyosoJaws serverless 1026_kyoso
Jaws serverless 1026_kyoso
 
クラウド座談会資料
クラウド座談会資料クラウド座談会資料
クラウド座談会資料
 

Recently uploaded

Recently uploaded (12)

論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 

JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた

  • 2. Japan Digital Design, Inc. 2 小野 雄太郎 VP of Infrastructure, Technology and Design Division. Japan Digital Designにてインフラストラクチ ャの設計運用等をメインに、パブリッククラウ ドのみで構成されたプラットフォームを実装中 これまでWindows Server, Visual Studio, IPv6などを中心に、コミュニティ運営など。 ここ最近はAWSメイン 個人事業主で普通のIT屋さんもしています Twitter: @chamreo LinkedIn: linkedin.com/in/yutaro
  • 3. Japan Digital Design, Inc. 3 三菱UFJフィナンシ ャルグループ 持株会社 三菱UFJ銀行 34,000人 … 三菱UFJ信託銀行 7,000人 三菱UFJ証券 ホールディングス 三菱UFJモルガンス タンレー証券 5,300人 Kabu.com … 三菱UFJニコス 3,100人 … Japan Digital Design < 100人
  • 4. Classified as Confidential by Japan Digital Design, Inc. 4 マルチアカウント?
  • 5. Classified as Confidential by Japan Digital Design, Inc. 5 AWSアカウント ⚫ サインアップしたルートユーザーと1:1 ◼ ルートユーザー = 登録時のメールアドレスがID ⚫ 利用したリソースの代金が請求される
  • 6. Classified as Confidential by Japan Digital Design, Inc. 6 1つの組織(会社)でAWSアカウントを複数使う ⚫ 部署単位で分ける. ⚫ 経費の精算単位で分ける.. ⚫ 開発環境とサービス提供環境を分ける… マルチアカウントとは? 情シス 開発 社内 向け アプリ 本番 開発チ ーム テスト チーム 情シス 運用部 アプリA アプリB 子会社C
  • 7. Question #1 複数のアカウントを利用していますか? A) 1つ B) 2つ C) 3個-10個 D) 10個以上 Classified as Confidential by Japan Digital Design, Inc. 7
  • 8. Question #2 複数アカウントはどのように使い分けていますか? A)本番環境と開発環境 B) 部署(チーム/個人)ごと C) 部署ごとに本番と開発環境 D)プロジェクトごと E) 1プロジェクトで複数使い分け Classified as Confidential by Japan Digital Design, Inc. 8
  • 9. Question #3 AWS Organizationsを利用していますか? Classified as Confidential by Japan Digital Design, Inc. 9
  • 10. Classified as Confidential by Japan Digital Design, Inc. 10 マルチアカウントのための機能
  • 11. AWS Organizations ⚫ 会社で利用するAWSアカウントを一括管理する仕組み ◼ 1つのアカウントを組織のルートとして、複数AWSアカウント を子アカウントとして管理できる ◼ 全AWSアカウントの利用料金を一括請求で払える Classified as Confidential by Japan Digital Design, Inc. 11
  • 12. 一括請求 AWSアカウントの請求を集約できる ⚫ AWS Organizations のルートアカウントから請求される Organizations では一括請求のみも選択できる ⚫ アカウント管理の統合をしない使い方 ◼ 今回は対象外 (統合管理をする仕組みをご紹介) Classified as Confidential by Japan Digital Design, Inc. 12
  • 13. Classified as Confidential by Japan Digital Design, Inc. 13 OU (Organization Units) によるアカウントの管理 ⚫ AWSアカウントをOUでグループ化して階層管理 ⚫ Service Control Policy によるポリシー管理 ◼ 子アカウントで使える機能を制限できる
  • 14. Classified as Confidential by Japan Digital Design, Inc. 14 マルチアカウントのはじめかた
  • 15. Classified as Confidential by Japan Digital Design, Inc. 15 1. ルートになるAWSアカウントを決める 2. AWS Organizationを有効化する 3. 既存のAWSアカウントを子アカウントに招待 4. OUでAWSアカウントを整理 5. 新しいAWSアカウント追加時はルートで行う AWS Organizationを始める
  • 16. Classified as Confidential by Japan Digital Design, Inc. 16 ルートAWSアカウントは強い権限を持つ ⚫ 課金 ⚫ 子アカウントへのスイッチロール権限 ◼ OrganizationAccountAccessRole というIAMロールが 子アカウントにできる 通常利用はしない前提 ⚫ 新しいAWSアカウントを作成して、ルートにするのが良い ⚫ 最小限の管理者IAMユーザーのみで運用 1. ルートAWSアカウントを 決める
  • 17. Classified as Confidential by Japan Digital Design, Inc. 17 ルートAWSアカウントでOrganizationsを有効化 ⚫ 有効化したAWSアカウントがルートになる 2. AWS Organization 有効化
  • 18. Classified as Confidential by Japan Digital Design, Inc. 18 既存アカウントをOrganizationsに招待します ⚫ Organizationsに入ると、請求が一括請求になります ◼ 請求書は個別に出すこともできます 3. 既存アカウントの招待
  • 19. Classified as Confidential by Japan Digital Design, Inc. 19 OUにAWSアカウントを移動する ⚫ アカウントを選択してOUを変更 ◼ 階層構造で管理できる ◼ 最近は、OU単位でポリシーの条件を書けることも 4. OUによる整理
  • 20. Classified as Confidential by Japan Digital Design, Inc. 20 OrganizationsからAWSアカウントを作成 ⚫ 自動的に子アカウントとして紐づけられて作成される ⚫ ルートアカウントのパスワードは指定できない ◼ 初回にパスワードリカバリを行って設定する 5. アカウントの追加作成
  • 21. Classified as Confidential by Japan Digital Design, Inc. 21 アカウントの分けかた
  • 22. Classified as Confidential by Japan Digital Design, Inc. 22 1つのアカウントを共有するデメリット ⚫ 権限の制限が難しくなる ◼ 全員が管理者権限を持っていると間違ってリソースを削除して しまえる ⚫ 現実世界では電源を入れなおせば済むかもしれない ⚫ クラウドの世界では、インスタンスを削除したら、もう復活 できない AWSの世界で使いやすい分けかたを考える ⚫ 会社の組織構造で分けるのはお勧めできない ◼ 会社の組織は良く変わる ◼ 会社の組織はAWSの管理方法と一致しない アカウントを分ける
  • 23. Classified as Confidential by Japan Digital Design, Inc. 23 あとで困らない始めかた ⚫ 1アカウント 1用途を基本にして考える ◼ ルートAWSアカウント ⚫ Organizations 管理専用 (+ルート必須のサービス利用) ◼ IAMユーザー認証アカウント ⚫ 会社内のユーザーのIAMをまとめて作成する ⚫ 他のアカウントは、このアカウントにサインイン後、ロール切り 替えをして使う ◼ セキュリティ通知用アカウント ⚫ GuardDutyやAWS Configの通知を集約 ◼ ルートAWSアカウント以外に集約できるものはここに集約 ◼ 検証環境 ⚫ 普段使う開発環境 ◼ 運用環境 ⚫ サービス提供環境 ◼ 規模によりシステムごと、複数システム混在も 完全無欠パターンはない root Partners OU Corporate OU Infra OU ID Security Service OU Production A Production B Dev OU Dev 用途別AWSアカウント
  • 24. Classified as Confidential by Japan Digital Design, Inc. 24 課金管理 ⚫ ルートAWSアカウントに課金管理用IAMロールを作成 ◼ ID管理アカウントからAssume Roleできるようにする CloudTrail ⚫ 組織のCloudTrailという機能が利用可能に ◼ Organizationsにある全AWSアカウントに一括設定可能 ◼ 組織CloudTrailを有効化し、セキュリティアカウントに作ったS3バ ケットに保存 OrganizationAccountAccessRole ⚫ 子アカウントにOrganizationAccountAccessRoleというロールができる ◼ ルートAWSアカウントからAssume Roleできるようになっている ◼ AdministratorAccessポリシーを持っている ⚫ ルートAWSアカウントのユーザーはすべての子アカウントで Adminになれてしまう ⚫ ルートAWSアカウントを利用するユーザーを限定 ルートAWSアカウント管理
  • 25. Classified as Confidential by Japan Digital Design, Inc. 25 組織で使うIAMユーザーを作成 ⚫ ここに登録されているユーザーが組織でAWSを使っているユーザ ーと一致することになる ◼ 入退社に合わせたアカウント管理が楽に ⚫ グループを使って利用できるIAMロール/AWSアカウントを制御 ◼ インフラ管理者グループは、全部のAWSアカウントのロールを 使える ◼ 開発者グループは、開発環境AWSアカウントのロールを使える ◼ 経理担当グループは、ルートAWSアカウントの課金管理ロール を使える ⚫ パスワードリセット、MFA管理、その他もろもろに便利 IAM認証アカウント
  • 26. Classified as Confidential by Japan Digital Design, Inc. 26 セキュリティ系通知を集約 ⚫ GuardDutyのマスターアカウントにする ⚫ 組織のCloudTrailログをS3に保存する ⚫ AWS Configやその他の管理系通知を集約 AWS運用管理者だけが使うAWSアカウントとする セキュリティアカウント
  • 27. Classified as Confidential by Japan Digital Design, Inc. 27 検証環境用AWSアカウント ⚫ AWSのサービスを試したり開発する環境 ◼ 開発者ごとにAWSアカウントを用意するケースと、共用のアカ ウントを用意するケースどちらもありうる ◼ 共用アカウントだと、AWSサポートを共有できるメリット 運用環境AWSアカウント ⚫ サービス提供を行っている運用環境 ⚫ 運用に携わるユーザーだけが使える ⚫ サービスごとにAWSアカウントを分けると、特定の運用メンテナ ンス作業による影響を、アカウント内に限定できる ◼ 発展すると、1システムを複数のAWSアカウントで構成する 検証/運用環境
  • 28. Classified as Confidential by Japan Digital Design, Inc. 28 実際の利用例
  • 29. Classified as Confidential by Japan Digital Design, Inc. 29 オンラインで完結する中小企業向け融資 ⚫ 紙の書類なしで、中小企業向けの融資ができるように ⚫ 既存顧客の口座取引履歴から与信スコアを付与 2019年6月にリリースしています!
  • 30. これを作るために… 自動で与信結果を返すモデルを開発しました そのために全情報をAWSで分析しています • 三菱UFJ銀行 3,400万 顧客口座 • 過去 10年分 の取引明細・顧客情報* Classified as Confidential by Japan Digital Design, Inc. 30
  • 31. M-AIS Infrastructure EC2 Analysis Zone M-AIS Infra Services Zone Databricks Zone M-AIS Platform Classified as Confidential by Japan Digital Design, Inc. 31 Japan Digital DesignData Analysis Area Data Exchange Zones ETL ZonesETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area STS Gateway subnet Databricks Instances Spark Clusters AWS-STS EC2 Analysis Servers Databricks Enterprise Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists On-Premise Office Analysis UI
  • 32. M-AIS Infrastructure EC2 Analysis Zone M-AIS Infra Services Zone Databricks Zone M-AIS Platform Classified as Confidential by Japan Digital Design, Inc. 32 Japan Digital DesignData Analysis Area Data Exchange Zones ETL ZonesETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area STS Gateway subnet Databricks Instances Spark Clusters AWS-STS EC2 Analysis Servers Databricks Enterprise Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists On-Premise Office Analysis UI AWSアカウント
  • 33. Classified as Confidential by Japan Digital Design, Inc. 33 まとめ
  • 34. Classified as Confidential by Japan Digital Design, Inc. 34 1つ1つのAWSアカウントをシンプルに使う ⚫ AWSアカウントを作るだけなら無料です ⚫ 利用料金をアカウント単位で管理 ⚫ AWS Control Tower等、マルチアカウント管理向け機能も強化さ れてきている 偶発的な間違いを防止 ⚫ クラウド上での削除はやり直しできない ⚫ そもそも触れる作業範囲をAWSアカウントで分離 明日からマルチアカウントへ ⚫ 1つにまとまったリソースをあとから分離するのは大変 ⚫ 複数のアカウントにあるリソースは、IAMロールの活用で簡単に 使える マルチアカウント運用
  • 35. Classified as Confidential by Japan Digital Design, Inc. 35 たくさんのAWSアカウントでMFAどうする? ⚫ それぞれルートアカウントIDで設定する ⚫ 物理カード買うの? ◼ ルートアカウントは物理MFAが良い (個人的意見) ⚫ トークン型よりカード型が個人的に好き ⚫ テプラ貼れます ◼ 子アカウントはOTPでもいいかも ⚫ YubiKeyだと複数アカウントに紐づけられる ◼ 会社で使うには物理的に共有できるので便利 (物理的管理 は必要) ◼ ただYubiKey壊れたらMFA全滅リスク… 雑多なもの #1
  • 36. Classified as Confidential by Japan Digital Design, Inc. 36 AWSサポート契約するの? ⚫ Business Support は1アカウントごとの契約 ◼ 1アカウント 100ドル/月 ⚫ うーん、払えるけどね… ⚫ 検証用と運用環境だけ払う ◼ 検証環境で再現させて、サポートに問い合わせる ◼ 開発環境はサポートなしで頑張る…とか ⚫ EnterpriseだとOrganizations全体を1契約にできる ◼ 15,000ドル/月だってさ 雑多なもの #2
  • 37. Classified as Confidential by Japan Digital Design, Inc. 37 AWSアカウント作った後に最初にやること ⚫ 毎回やるの!? ◼ やります… ◼ AWS CLIでバッチ化したり… IAMロール作ったり、VPC作ったり… ⚫ 子アカウントで同じような作業を繰り返すことが多い ◼ CloudFormationという機能でテンプレートを開発する ◼ みんなが同じようなものを作る… GitHubでテンプレートを公開しました ⚫ https://github.com/japan-d2/secure-stack-template-aws ⚫ テンプレートをオープンソース化しています ◼ セキュアに開発を始められるテンプレート ⚫ VPC, S3, KMS, etc… 雑多なもの #3