あまり触る機会がない AWS Organizations と AWS Control Tower です。
セッション
Amazon CloudWatch
講師:アマゾン ウェブ サービス ジャパン、シニアエバンジェリスト 亀田氏
AWS Organizations と AWS Control Tower
- AWS Organizations を使わなくても親子アカウントは作れる
- さらなる階層構造や一括したセキュリティ設定をする場合は利用する
- AWS Control Tower は Organizations がほぼ必須
- Organizations した環境にまとめてセキュリティポリシーを設定する
AWS アカウントをどう展開する?
- 例えば...
- セキュリティの境界
- リソースの管理単位
- 課金の分離
- 単一アカウントでリソースの制限になる場合
- ボリュームディスカウントが管理アカウント単位で効くメリットあり
AWS アカウントの役割
- 支払いアカウント:支払い専用の親アカウント
- リソースアカウント:普段使う AWS リソースを作るアカウント
- 管理用アカウント:セキュリティ設定専用のアカウント
- ログアカウント:ログを集める監査用アカウント
- 役割を定義するだけで AWS アカウントとしては同じなので注意
ユーザーアカウント
- 複数ユーザーアカウントは作らない
- (AD とか持っていれば)認証を ID プロバイダに委任する
- (AD とか持ってなければ)AWS SSO を利用する
- IAM はバージニアリージョンに実態があるので、バージニアの障害に影響を受ける
AWS Organizations
- AWS アカウント全体の一元管理を実現するサービス
- 組織単位によるアカウントのグループ化
- ポリシーによるグループ単位での一括統制、管理
- アカウント管理の簡素化
- CloudTrail を自動設定
- SSO 連携によるアカウント間のシングルサインオン
- 請求の簡素化
- 複数アカウントの一括請求
- OU:組織単位、論理的なグループ、これで複数階層を擬似的に実現
Organizations の構成ステップ
- 組織の作成
- アカウントの作成、または招待
- 組織単位の作成と AWS アカウントの紐付け
- ポリシー作成
- ポリシーのアタッチ
SCP とは
- OCP の1種
- AWS サービスの制御をアカウント単位で構成
- 大まかな構成のみに利用するのが好ましい
- 細かな制御は IAM ポリシー
- 頻繁に並行しない、Organizations 全てに影響するため
AWS Control Tower
- ベストプラクティスに基づく AWS 管理基盤を構築
- ガードレール設置
- 予防適当性:SCP
- ログ暗号化やアクセスログ強制化
- 監査ログ変更不可
- Config 設定変更
- 発見的統制:Config
- EBS ボリューム暗号化
- S3 パブリック禁止
- MFA 必須
- 予防適当性:SCP
- AWS Config 適合パック
- Config Rule で実装されるガードレール集
- AWS Control Tower Detective Guardrails Conformance Pack など
所感
ネストされた組織単位がサポートされるようになりました!
AWS アップデート激しいから、この「AWS エバンジェリストシリーズ AWSの基礎を学ぼう」で資料公開されないのもうなずけますね。
アップデートの話をキャッチアップできるのもいいところ。