omuronの備忘録

個人的な備忘録

「AWSの基礎を学ぼう 第八十六回 AWS Organizations と AWS Control Tower 」 #awsbasics 受講メモ

awsbasics.connpass.com

あまり触る機会がない AWS Organizations と AWS Control Tower です。

セッション

Amazon CloudWatch

講師:アマゾン ウェブ サービス ジャパン、シニアエバンジェリスト 亀田氏

AWS Organizations と AWS Control Tower

  • AWS Organizations を使わなくても親子アカウントは作れる
    • さらなる階層構造や一括したセキュリティ設定をする場合は利用する
  • AWS Control Tower は Organizations がほぼ必須

AWS アカウントをどう展開する?

  • 例えば...
    • セキュリティの境界
    • リソースの管理単位
    • 課金の分離
    • 単一アカウントでリソースの制限になる場合
  • ボリュームディスカウントが管理アカウント単位で効くメリットあり

AWS アカウントの役割

  • 支払いアカウント:支払い専用の親アカウント
  • リソースアカウント:普段使う AWS リソースを作るアカウント
  • 管理用アカウント:セキュリティ設定専用のアカウント
  • ログアカウント:ログを集める監査用アカウント
  • 役割を定義するだけで AWS アカウントとしては同じなので注意

ユーザーアカウント

  • 複数ユーザーアカウントは作らない
    • (AD とか持っていれば)認証を ID プロバイダに委任する
    • (AD とか持ってなければ)AWS SSO を利用する
  • IAM はバージニアリージョンに実態があるので、バージニアの障害に影響を受ける

AWS Organizations

  • AWS アカウント全体の一元管理を実現するサービス
    • 組織単位によるアカウントのグループ化
    • ポリシーによるグループ単位での一括統制、管理
  • アカウント管理の簡素化
  • 請求の簡素化
  • OU:組織単位、論理的なグループ、これで複数階層を擬似的に実現

Organizations の構成ステップ

  1. 組織の作成
  2. アカウントの作成、または招待
  3. 組織単位の作成と AWS アカウントの紐付け
  4. ポリシー作成
  5. ポリシーのアタッチ

SCP とは

  • OCP の1種
  • AWS サービスの制御をアカウント単位で構成
  • 大まかな構成のみに利用するのが好ましい
    • 細かな制御は IAM ポリシー
    • 頻繁に並行しない、Organizations 全てに影響するため

AWS Control Tower

  • ベストプラクティスに基づく AWS 管理基盤を構築
  • ガードレール設置
    • 予防適当性:SCP
      • ログ暗号化やアクセスログ強制化
      • 監査ログ変更不可
      • Config 設定変更
    • 発見的統制:Config
      • EBS ボリューム暗号化
      • S3 パブリック禁止
      • MFA 必須
  • AWS Config 適合パック
    • Config Rule で実装されるガードレール集
    • AWS Control Tower Detective Guardrails Conformance Pack など

所感

ネストされた組織単位がサポートされるようになりました!
AWS アップデート激しいから、この「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」で資料公開されないのもうなずけますね。
アップデートの話をキャッチアップできるのもいいところ。