Movatterモバイル変換

[0]ホーム
URL:

SlideShare a Scribd company logo

ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜

Download as PPTX, PDF
6 likes8,788 views
Mamoru Ohashi
Mamoru Ohashi

2018/01/13に開催された「第16回 クラウド女子会 〜新年だよ!2018年を貴女はどんな年にしたい?〜」に登壇させて頂いたときの資料です。※公開にあたり一部加筆修正しています。

1 of 34
Downloaded 33 times
1
2
Most read
3
4
Most read
5
Most read
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
Copyright © 2018 KDDI Corporation. All Rights Reserved©KADOKAWA CORPORATION 2018http://www.kadokawa-pictures.jp/official/sevendayswar/
Copyright © 2018 KDDI Corporation. All Rights Reserved2自己紹介大橋 衛(オオハシ マモル)KDDI株式会社 プラットフォーム開発本部社内API基盤戦略策定AWS社内エヴァ/クラウドコンサルアプリエンジニア12年インフラエンジニア4年クラウドエンジニア5年目(=AWS歴)NW-JAWSコアメンバー好きなAWSサービス:IAM/SNS/Lambda
Copyright © 2018 KDDI Corporation. All Rights ReservedQ.あなたの管理するAWSはシングルアカウント?それともマルチアカウント?
Copyright © 2018 KDDI Corporation. All Rights Reserved 4シングルアカウント vs マルチアカウントPros Consシングルアカウント❍ ガバナンスが利かせやすい❍ システム間連携が超ラク❍ 共通機能への接続も楽ちん❍ 毎月発生する利用費分割祭り(ラベル地獄)❍ ひとつのサービス利用制限が全システムに影響❍ きめ細かい権限設定ができないマルチアカウント❍ システム/部署毎に管理を委譲できる❍ 費用精算を部署ごとに括れる❍ アカウント毎にガバナンスを分けることも可能❍ アカウント数大爆発❍ ガバナンス領域とその範囲のバランス取りが難しい❍ ガバナンス更新時は全てのアカウントに反映する必要ありガバナンスの内容と利かせ方が判断のポイント
Copyright © 2018 KDDI Corporation. All Rights Reserved 5❍ 経費精算を部門ごとに実施する必要があった ラベル地獄コワイ 毎月精算処理とかやってられない❍ 環境毎に場所を分離しなければならないというルールがあった 「開発/検証/商用は物理的にラック/架列/電源系統/局舎を分離せよ」 物理環境をVPCじゃなくアカウントに読み替えた❍ 障害切り分けが容易になる 障害がどのシステムのどの環境で起きたのか一発で把握できる フォレンジクスもアカウント丸ごと凍結で可能に❍ そもそもシステム毎のアーキテクチャに類似性がない 実装要件が多岐に渡りすぎて機能制限をかけるのが難しい そもそもクラウドでアーキテクチャ制限を効かせる意味って何?KDDIがマルチアカウントを選んだ理由
Copyright © 2018 KDDI Corporation. All Rights Reserved 6AWSの「責任共有モデル」
Copyright © 2018 KDDI Corporation. All Rights Reserved 7AWSの「責任共有モデル」Audit LogManagement+「情報セキュリティ対策」にフォーカス内部犯行の抑止と証拠保全を徹底化
Copyright © 2018 KDDI Corporation. All Rights Reserved 8アカウント管理責任共有モデルIdentity & AccessManagementIAM ポリシー設定rootアカウント管理費用管理基底ガバナンス適用IAM ポリシー設計IAM ユーザー管理利用部門管理部門Audit LogManagement監査証跡ログ保全AWSCloudTrail AWS IAMAWSAccount
Copyright © 2018 KDDI Corporation. All Rights Reserved 9マルチアカウント構成Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem C・・・Management Accounts User Accounts
Copyright © 2018 KDDI Corporation. All Rights Reserved 10Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem CManagement Accounts User AccountsUser Accounts:ユーザー向けアカウント群
Copyright © 2018 KDDI Corporation. All Rights Reserved 11❏ システム毎に最大4種類のアカウントを支給❏ 全アカウントに対し基底ガバナンス(後述)が設定される❏ 共通機能アカウントも作るのが世界標準らしい(DNSキャッシュ,NTP,認証,Private接続用GW,etc...)User AccountDevStg PrdLabSystem A開発商用ステージング評価/検証User AccountsCommon共通機能
Copyright © 2018 KDDI Corporation. All Rights Reserved 12Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem CManagement Accounts User AccountsManagement Acounts:管理用アカウント群
Copyright © 2018 KDDI Corporation. All Rights Reserved 13Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsBilling Master:請求管理アカウント❍ いわゆる一括請求アカウント❍ 費用取纏めのみで個別案件の収容はなし❍ 各ユーザーアカウントへはViewBillingやViewUsageの権限を付与しているので利用費の閲覧は可能
Copyright © 2018 KDDI Corporation. All Rights Reserved 14Billing Master:請求管理アカウントBilling MasterManagement Accounts User Accounts一括請求処理• 利用状況管理• 利用費の閲覧(※自アカウントのみ)• 利用状況管理• 利用費の閲覧• 支払方法の指定(全アカウント)• 利用状況管理• 利用費の閲覧(※自アカウントのみ)
Copyright © 2018 KDDI Corporation. All Rights Reserved 15Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsGovernance Controller:ガバナンス制御アカウント❍ 全ユーザーアカウントへのガバナンス制御を専用で行う❍ ユーザーアカウント発行時に基底ガバナンスを適用する❍ CloudTrailログ集約❍ ガバナンス監視ツールココがキモ!少々ムズい!
Copyright © 2018 KDDI Corporation. All Rights Reserved 16❏ CloudTrailの有効化❏ パスワードポリシーの設定❏ Virtual Security Room(※後述)の設定❏ ガバナンス監視ツールの設定Governance Controller:基底ガバナンスの設定
Copyright © 2018 KDDI Corporation. All Rights Reserved 17Governance Controller:ガバナンス監視ツール
Copyright © 2018 KDDI Corporation. All Rights Reserved 18Governance Controller:ガバナンス監視ツールDynamoDBに登録されているアカウント毎の通知方法で通知①rootログイン検知通常は起き得ないrootログインの検知②IAMログイン連続失敗検知同一IAMユーザーが10分間に5回ログイン失敗したら検知③IAM設定変更通知想定外のIAM設定変更を検知④CloudTrailログ改竄検知想定外ユーザーによるCloudTrailログ保存先S3にへの更新イベントを検知
Copyright © 2018 KDDI Corporation. All Rights Reserved 19Governance Controller:ガバナンス監視ツール禁則ポリシーの強制適用「IAMユーザーの追加」「IAMユーザーのポリシー設定変更」を検知
Copyright © 2018 KDDI Corporation. All Rights Reserved 20下記アクションを禁止するポリシーをセット❏CloudTrail設定変更の変更❏Virtual Security Room設定の変更❏ガバナンス監視ツールの変更❏IAMポリシー/グループ/ロールへの変更(※Prdのみ)Governance Contoller:禁則ポリシー
Copyright © 2018 KDDI Corporation. All Rights Reservedで・・・結局何がどーなるの?
Copyright © 2018 KDDI Corporation. All Rights Reserved 22Governance Contoller:ユーザーができないこと想定異常に加え禁止項目の突破や運用者の内部犯行すらも検知/通知通知方法や通知先はアカウントやインシデントレベルにより切替が可能
Copyright © 2018 KDDI Corporation. All Rights Reserved 23User Account:S-in時の「権限の絞り込み」フローIn-DevelopmentIn-Development In-ServiceS-inPoC/Dev/StgアカウントPrdアカウントアクセス権限 In-Development In-ServiceSecurity統制リソース × ×IAMユーザー管理 ○ ○IAMグループ/ロール/ポリシー ○ ×システム用リソース ○ △(最小限)発行アカウント発行直後はガバナンス機能以外なんでもイジれる商用アカウントのみ、S-inのタイミングで最小限に絞り込まれる
Copyright © 2018 KDDI Corporation. All Rights Reserved 24Governance Contoller:商用環境でユーザーが出来ることユーザーが実行できる操作は所属するグループの「ロール」に依存グループの追加/削除やロール変更をするには管理部門への依頼が必要基底ポリシーグループ毎のロールIn-ServicePrdアカウントユーザー部門と協議の上、運用設計に合わせたグループと権限を設定
Copyright © 2018 KDDI Corporation. All Rights Reserved 25Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsVirtual Security Room:仮想セキュリティルームアカウント❍ アカウント管理者によるリモートアクセスを管理❍ 初期設定含め全てのユーザーアカウントへの作業はここを踏んでいく必要がある❍ セキュリティルームでの作業と同等のセキュリティレベルを確保できるようにしている
Copyright © 2018 KDDI Corporation. All Rights Reserved 26どちらも作業時に自動通知Virtual Security Room作業内容に応じたロールを初期設定&仮想セキュリティルーム側のグループと信頼関係を結んでおくSwitchRoleして作業(マネコン/スクリプト共)作業内容に応じたグループを用意作業証跡ログ保存(入退室管理)踏み台からのみSSH可作業毎に所属するグループを切り替えIP制限IP制限+MFA常時OFF再起動時に最新版取得
Copyright © 2018 KDDI Corporation. All Rights Reserved 27Virtual Security RoomLab/Dev/Stg商用とその他で作業環境を分離全アカウントに対して全く同じロールセットが設定される信頼関係を結ぶ先の仮想セキュリティルームアカウントが環境毎に異なるPrd
Copyright © 2018 KDDI Corporation. All Rights Reserved 28Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsCommon Tools:共通ツール❍ アカウント管理者が利用/提供するサービスやツール類を配備❍ ホスト/システムはこの上で動かしており、それらをアカウント管理者やユーザーが利用するイメージ
Copyright © 2018 KDDI Corporation. All Rights Reserved 29EnterpriseCommon Tools
Copyright © 2018 KDDI Corporation. All Rights Reserved 30予算管理&アラームツール「MADOKA」【主な機能】 1ユーザー複数アカウント対応 段階的Billingアラーム設定 連続通知抑止切替 現状&しきい値グラフ表示【アーキテクチャ】 S3+Lambda+DynamoDB+SNS サーバレスなので細かいインフラ運用の考慮不要 予算設定はユーザー自身が管理
Copyright © 2018 KDDI Corporation. All Rights Reserved 31User Accounts:ユーザー向けアカウント群Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem CManagement Accounts User Accounts
Copyright © 2018 KDDI Corporation. All Rights Reserved 32【参考】re:Port 2017 「AWS re:Invent参加レポート」https://www.slideshare.net/ohashimamoru/report-2017-2-aws-reinvent-2017/9公式動画より画像張替
Copyright © 2018 KDDI Corporation. All Rights Reserved 33• マルチなら中途半端にアカウントを共用しない• ユーザーアカウントは環境、管理アカウントは機能で分ける• ガバナンスは外部から制御• 監査証跡ログをユーザーから切り離し保全• 監査証跡ログは自動化に徹底利用• コード化しとけば全アカウントへの更新も一発• Organizationsでやったほうが絶対ラクまとめ
Copyright © 2018 KDDI Corporation. All Rights ReservedThank youforListening!
Ad

Recommended

PDF
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
 
PDF
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
 
PDF
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
 
PDF
20200212 AWS Black Belt Online Seminar AWS Systems Manager
Amazon Web Services Japan
 
PDF
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
 
PDF
Day 1 with Amazon Web Services - AWSご利用開始時に最低限おさえておきたい10のこと
Amazon Web Services Japan
 
PDF
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
 
PDF
データ活用を加速するAWS分析サービスのご紹介
Amazon Web Services Japan
 
PDF
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
 
PDF
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
PDF
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
 
PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
 
PDF
20210316 AWS Black Belt Online Seminar AWS DataSync
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
PDF
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
 
PDF
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
PDF
20190919 よくご相談いただくセキュリティの質問と考え方
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 Amazon ElastiCache
Amazon Web Services Japan
 
PDF
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
Amazon Web Services Japan
 
PDF
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 Auto Scaling
Amazon Web Services Japan
 
PDF
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
PDF
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
 
PDF
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
 
PDF
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS OpsWorks
Amazon Web Services Japan
 
PDF
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
 
PDF
JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた
Yutaro Ono
 
PDF
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 

More Related Content

What's hot(20)

PDF
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
 
PDF
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
 
PDF
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
PDF
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
 
PPTX
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
 
PDF
20210316 AWS Black Belt Online Seminar AWS DataSync
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
PDF
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
 
PDF
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
PDF
20190919 よくご相談いただくセキュリティの質問と考え方
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 Amazon ElastiCache
Amazon Web Services Japan
 
PDF
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
Amazon Web Services Japan
 
PDF
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 Auto Scaling
Amazon Web Services Japan
 
PDF
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
PDF
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
 
PDF
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
 
PDF
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2017 AWS OpsWorks
Amazon Web Services Japan
 
PDF
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
 
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
 
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA
 
20210316 AWS Black Belt Online Seminar AWS DataSync
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
20190919 よくご相談いただくセキュリティの質問と考え方
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Amazon ElastiCache
Amazon Web Services Japan
 
20200331 AWS Black Belt Online Seminar AWS Elemental MediaConvert
Amazon Web Services Japan
 
20190731 Black Belt Online Seminar Amazon ECS Deep Dive
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 Auto Scaling
Amazon Web Services Japan
 
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
 
20190320 AWS Black Belt Online Seminar Amazon EBS
Amazon Web Services Japan
 
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2017 AWS OpsWorks
Amazon Web Services Japan
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
Amazon Web Services Japan
 

Similar to ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜(20)

PDF
JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた
Yutaro Ono
 
PDF
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
PDF
[JAWS DAYS 2017 ワークショップ] 不安で夜眠れないAWSアカウント管理者に送る処方箋という名のハンズオン
Keisuke Kadoyama
 
PDF
Control Towerでマルチアカウント管理をはじめよう
Kanako Kodera
 
PPTX
re:Port 2017 #2 「AWS re:Invent 2017 参加レポート」
Mamoru Ohashi
 
PDF
Management & Governance on AWS こんなこともできます
Amazon Web Services Japan
 
PPTX
クラウド移行で改善するガバナンスファーストのWebサービス障害対策について
TakashiTsukamoto4
 
PPTX
Compliance as code jaws Oita 170826
Shogo Matsumoto
 
PDF
AWS Organizations
Serverworks Co.,Ltd.
 
PDF
JAWS-UG初心者支部#2 AWSでアカウント作ったら最初にやるべきこと
Nobuhiro Nakayama
 
PDF
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
 
PDF
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Nobuhiro Nakayama
 
PDF
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
SORACOM, INC
 
PPTX
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
PDF
20120201 aws meister-reloaded-iam-and-billing-public
Amazon Web Services Japan
 
PDF
20191125 Container Security
Amazon Web Services Japan
 
PDF
Eight meets AWS
Tetsuya Mase
 
PDF
AWS運用における最適パターンの徹底活用
JustSystems Corporation
 
PDF
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
Takayuki Ishikawa
 
PPTX
20211109 bleaの使い方(基本編)
Amazon Web Services Japan
 
JAWS-UG初心者支部 - 2020-01-29 - マルチアカウント運用のはじめかた
Yutaro Ono
 
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
[JAWS DAYS 2017 ワークショップ] 不安で夜眠れないAWSアカウント管理者に送る処方箋という名のハンズオン
Keisuke Kadoyama
 
Control Towerでマルチアカウント管理をはじめよう
Kanako Kodera
 
re:Port 2017 #2 「AWS re:Invent 2017 参加レポート」
Mamoru Ohashi
 
Management & Governance on AWS こんなこともできます
Amazon Web Services Japan
 
クラウド移行で改善するガバナンスファーストのWebサービス障害対策について
TakashiTsukamoto4
 
Compliance as code jaws Oita 170826
Shogo Matsumoto
 
AWS Organizations
Serverworks Co.,Ltd.
 
JAWS-UG初心者支部#2 AWSでアカウント作ったら最初にやるべきこと
Nobuhiro Nakayama
 
AWS におけるモニタリングとセキュリティの基本について - "毎日のAWSのための監視、運用、セキュリティ最適化セミナー" -
Takanori Ohba
 
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Nobuhiro Nakayama
 
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
SORACOM, INC
 
AWSSummitTokyo2017 SRCセッション振り返り
Shogo Matsumoto
 
20120201 aws meister-reloaded-iam-and-billing-public
Amazon Web Services Japan
 
20191125 Container Security
Amazon Web Services Japan
 
Eight meets AWS
Tetsuya Mase
 
AWS運用における最適パターンの徹底活用
JustSystems Corporation
 
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
Takayuki Ishikawa
 
20211109 bleaの使い方(基本編)
Amazon Web Services Japan
 
Ad

More from Mamoru Ohashi(20)

PDF
SlideShareをやめて SpeakerDeckに移行します
Mamoru Ohashi
 
PDF
AWS Outposts/LocalZones/Wavelength勉強会
Mamoru Ohashi
 
PDF
ネットワークと絡めてこそ真価を発揮!AWS Outpostsの基本と概要
Mamoru Ohashi
 
PPTX
1人で始めた技術コミュニティ活動を1年で経営層に公認してもらうまで
Mamoru Ohashi
 
PPTX
コミュニティリーダーズサミット in 高知 2019初鰹編 参加レポート
Mamoru Ohashi
 
PDF
エンプラでコミュニティ活動を始めて半年 弊社の中で起こり始めた3つのムーブメント
Mamoru Ohashi
 
PDF
DevRel活動における「つながり」の広げ方と育て方〜ナレッジ・エコシステムとその効果〜
Mamoru Ohashi
 
PPTX
エンプラでDevRelコミュニティをゼロから作ってみた
Mamoru Ohashi
 
PPTX
スマホの写真+動画のバックアップ作業を完全自動化して撲滅したった件
Mamoru Ohashi
 
PPTX
エンプラ社員が持つべきコミュニティとの付き合い方と心構え
Mamoru Ohashi
 
PPTX
KDDI流 クラウド・セキュリティ 〜「大企業のクラウド適応」秘伝のレシピ〜 [AWS Summit Tokyo 2017]
Mamoru Ohashi
 
PPTX
エンタープライズ企業におけるAWS正式採用への挑戦〜レガシーを微笑みにかえて〜
Mamoru Ohashi
 
PPTX
アジャイルとクラウドの『危険なカンケイ』
Mamoru Ohashi
 
PPTX
LambdaでBilling Alertを拡張してみた
Mamoru Ohashi
 
PPTX
ITハケンの品格 Final(Publish版)
Mamoru Ohashi
 
PPTX
管理統制もLambdaで!
Mamoru Ohashi
 
PDF
第2回LT大会~ゴリラにもわかるスノーボード~
Mamoru Ohashi
 
PDF
Difference of Fuel 〜理解していますか?レギュラー/ハイオク/軽油の違い〜
Mamoru Ohashi
 
PDF
AWSクラウドサービス勉強会 Day2:「進撃のAWS」
Mamoru Ohashi
 
PDF
AWSクラウドサービス勉強会 Day1:「クラウドサービス再定義」
Mamoru Ohashi
 
SlideShareをやめて SpeakerDeckに移行します
Mamoru Ohashi
 
AWS Outposts/LocalZones/Wavelength勉強会
Mamoru Ohashi
 
ネットワークと絡めてこそ真価を発揮!AWS Outpostsの基本と概要
Mamoru Ohashi
 
1人で始めた技術コミュニティ活動を1年で経営層に公認してもらうまで
Mamoru Ohashi
 
コミュニティリーダーズサミット in 高知 2019初鰹編 参加レポート
Mamoru Ohashi
 
エンプラでコミュニティ活動を始めて半年 弊社の中で起こり始めた3つのムーブメント
Mamoru Ohashi
 
DevRel活動における「つながり」の広げ方と育て方〜ナレッジ・エコシステムとその効果〜
Mamoru Ohashi
 
エンプラでDevRelコミュニティをゼロから作ってみた
Mamoru Ohashi
 
スマホの写真+動画のバックアップ作業を完全自動化して撲滅したった件
Mamoru Ohashi
 
エンプラ社員が持つべきコミュニティとの付き合い方と心構え
Mamoru Ohashi
 
KDDI流 クラウド・セキュリティ 〜「大企業のクラウド適応」秘伝のレシピ〜 [AWS Summit Tokyo 2017]
Mamoru Ohashi
 
エンタープライズ企業におけるAWS正式採用への挑戦〜レガシーを微笑みにかえて〜
Mamoru Ohashi
 
アジャイルとクラウドの『危険なカンケイ』
Mamoru Ohashi
 
LambdaでBilling Alertを拡張してみた
Mamoru Ohashi
 
ITハケンの品格 Final(Publish版)
Mamoru Ohashi
 
管理統制もLambdaで!
Mamoru Ohashi
 
第2回LT大会~ゴリラにもわかるスノーボード~
Mamoru Ohashi
 
Difference of Fuel 〜理解していますか?レギュラー/ハイオク/軽油の違い〜
Mamoru Ohashi
 
AWSクラウドサービス勉強会 Day2:「進撃のAWS」
Mamoru Ohashi
 
AWSクラウドサービス勉強会 Day1:「クラウドサービス再定義」
Mamoru Ohashi
 
Ad

Recently uploaded(6)

PDF
20250711JIMUC総会_先進IT運用管理分科会Connpass公開資料.pdf
ChikakoInami1
 
PDF
20250711_日本IBM ミドルウエア・ユーザー研究会(JIMUC)総会_中村会長資料.pdf
ChikakoInami1
 
PDF
20250717_Devin×GitHubCopilotで10人分の仕事は出来るのか?.pdf
Masaki Yamakawa
 
PPTX
Devcontainerのススメ(1)-Devcontainerとはどういう技術?-
iPride Co., Ltd.
 
PDF
20250711JIMUC総会IBM Automation_Platform最新情報_Connpass公開版.pdf
ChikakoInami1
 
PDF
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
NTT DATA Technology & Innovation
 
20250711JIMUC総会_先進IT運用管理分科会Connpass公開資料.pdf
ChikakoInami1
 
20250711_日本IBM ミドルウエア・ユーザー研究会(JIMUC)総会_中村会長資料.pdf
ChikakoInami1
 
20250717_Devin×GitHubCopilotで10人分の仕事は出来るのか?.pdf
Masaki Yamakawa
 
Devcontainerのススメ(1)-Devcontainerとはどういう技術?-
iPride Co., Ltd.
 
20250711JIMUC総会IBM Automation_Platform最新情報_Connpass公開版.pdf
ChikakoInami1
 
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
NTT DATA Technology & Innovation
 

ぼくらのアカウント戦略〜マルチアカウントでのガバナンスと権限管理の全て〜

  • 1.Copyright © 2018 KDDI Corporation. All Rights Reserved©KADOKAWA CORPORATION 2018http://www.kadokawa-pictures.jp/official/sevendayswar/
  • 2.Copyright © 2018 KDDI Corporation. All Rights Reserved2自己紹介大橋 衛(オオハシ マモル)KDDI株式会社 プラットフォーム開発本部社内API基盤戦略策定AWS社内エヴァ/クラウドコンサルアプリエンジニア12年インフラエンジニア4年クラウドエンジニア5年目(=AWS歴)NW-JAWSコアメンバー好きなAWSサービス:IAM/SNS/Lambda
  • 3.Copyright © 2018 KDDI Corporation. All Rights ReservedQ.あなたの管理するAWSはシングルアカウント?それともマルチアカウント?
  • 4.Copyright © 2018 KDDI Corporation. All Rights Reserved 4シングルアカウント vs マルチアカウントPros Consシングルアカウント❍ ガバナンスが利かせやすい❍ システム間連携が超ラク❍ 共通機能への接続も楽ちん❍ 毎月発生する利用費分割祭り(ラベル地獄)❍ ひとつのサービス利用制限が全システムに影響❍ きめ細かい権限設定ができないマルチアカウント❍ システム/部署毎に管理を委譲できる❍ 費用精算を部署ごとに括れる❍ アカウント毎にガバナンスを分けることも可能❍ アカウント数大爆発❍ ガバナンス領域とその範囲のバランス取りが難しい❍ ガバナンス更新時は全てのアカウントに反映する必要ありガバナンスの内容と利かせ方が判断のポイント
  • 5.Copyright © 2018 KDDI Corporation. All Rights Reserved 5❍ 経費精算を部門ごとに実施する必要があった ラベル地獄コワイ 毎月精算処理とかやってられない❍ 環境毎に場所を分離しなければならないというルールがあった 「開発/検証/商用は物理的にラック/架列/電源系統/局舎を分離せよ」 物理環境をVPCじゃなくアカウントに読み替えた❍ 障害切り分けが容易になる 障害がどのシステムのどの環境で起きたのか一発で把握できる フォレンジクスもアカウント丸ごと凍結で可能に❍ そもそもシステム毎のアーキテクチャに類似性がない 実装要件が多岐に渡りすぎて機能制限をかけるのが難しい そもそもクラウドでアーキテクチャ制限を効かせる意味って何?KDDIがマルチアカウントを選んだ理由
  • 6.Copyright © 2018 KDDI Corporation. All Rights Reserved 6AWSの「責任共有モデル」
  • 7.Copyright © 2018 KDDI Corporation. All Rights Reserved 7AWSの「責任共有モデル」Audit LogManagement+「情報セキュリティ対策」にフォーカス内部犯行の抑止と証拠保全を徹底化
  • 8.Copyright © 2018 KDDI Corporation. All Rights Reserved 8アカウント管理責任共有モデルIdentity & AccessManagementIAM ポリシー設定rootアカウント管理費用管理基底ガバナンス適用IAM ポリシー設計IAM ユーザー管理利用部門管理部門Audit LogManagement監査証跡ログ保全AWSCloudTrail AWS IAMAWSAccount
  • 9.Copyright © 2018 KDDI Corporation. All Rights Reserved 9マルチアカウント構成Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem C・・・Management Accounts User Accounts
  • 10.Copyright © 2018 KDDI Corporation. All Rights Reserved 10Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem CManagement Accounts User AccountsUser Accounts:ユーザー向けアカウント群
  • 11.Copyright © 2018 KDDI Corporation. All Rights Reserved 11❏ システム毎に最大4種類のアカウントを支給❏ 全アカウントに対し基底ガバナンス(後述)が設定される❏ 共通機能アカウントも作るのが世界標準らしい(DNSキャッシュ,NTP,認証,Private接続用GW,etc...)User AccountDevStg PrdLabSystem A開発商用ステージング評価/検証User AccountsCommon共通機能
  • 12.Copyright © 2018 KDDI Corporation. All Rights Reserved 12Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem CManagement Accounts User AccountsManagement Acounts:管理用アカウント群
  • 13.Copyright © 2018 KDDI Corporation. All Rights Reserved 13Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsBilling Master:請求管理アカウント❍ いわゆる一括請求アカウント❍ 費用取纏めのみで個別案件の収容はなし❍ 各ユーザーアカウントへはViewBillingやViewUsageの権限を付与しているので利用費の閲覧は可能
  • 14.Copyright © 2018 KDDI Corporation. All Rights Reserved 14Billing Master:請求管理アカウントBilling MasterManagement Accounts User Accounts一括請求処理• 利用状況管理• 利用費の閲覧(※自アカウントのみ)• 利用状況管理• 利用費の閲覧• 支払方法の指定(全アカウント)• 利用状況管理• 利用費の閲覧(※自アカウントのみ)
  • 15.Copyright © 2018 KDDI Corporation. All Rights Reserved 15Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsGovernance Controller:ガバナンス制御アカウント❍ 全ユーザーアカウントへのガバナンス制御を専用で行う❍ ユーザーアカウント発行時に基底ガバナンスを適用する❍ CloudTrailログ集約❍ ガバナンス監視ツールココがキモ!少々ムズい!
  • 16.Copyright © 2018 KDDI Corporation. All Rights Reserved 16❏ CloudTrailの有効化❏ パスワードポリシーの設定❏ Virtual Security Room(※後述)の設定❏ ガバナンス監視ツールの設定Governance Controller:基底ガバナンスの設定
  • 17.Copyright © 2018 KDDI Corporation. All Rights Reserved 17Governance Controller:ガバナンス監視ツール
  • 18.Copyright © 2018 KDDI Corporation. All Rights Reserved 18Governance Controller:ガバナンス監視ツールDynamoDBに登録されているアカウント毎の通知方法で通知①rootログイン検知通常は起き得ないrootログインの検知②IAMログイン連続失敗検知同一IAMユーザーが10分間に5回ログイン失敗したら検知③IAM設定変更通知想定外のIAM設定変更を検知④CloudTrailログ改竄検知想定外ユーザーによるCloudTrailログ保存先S3にへの更新イベントを検知
  • 19.Copyright © 2018 KDDI Corporation. All Rights Reserved 19Governance Controller:ガバナンス監視ツール禁則ポリシーの強制適用「IAMユーザーの追加」「IAMユーザーのポリシー設定変更」を検知
  • 20.Copyright © 2018 KDDI Corporation. All Rights Reserved 20下記アクションを禁止するポリシーをセット❏CloudTrail設定変更の変更❏Virtual Security Room設定の変更❏ガバナンス監視ツールの変更❏IAMポリシー/グループ/ロールへの変更(※Prdのみ)Governance Contoller:禁則ポリシー
  • 21.Copyright © 2018 KDDI Corporation. All Rights Reservedで・・・結局何がどーなるの?
  • 22.Copyright © 2018 KDDI Corporation. All Rights Reserved 22Governance Contoller:ユーザーができないこと想定異常に加え禁止項目の突破や運用者の内部犯行すらも検知/通知通知方法や通知先はアカウントやインシデントレベルにより切替が可能
  • 23.Copyright © 2018 KDDI Corporation. All Rights Reserved 23User Account:S-in時の「権限の絞り込み」フローIn-DevelopmentIn-Development In-ServiceS-inPoC/Dev/StgアカウントPrdアカウントアクセス権限 In-Development In-ServiceSecurity統制リソース × ×IAMユーザー管理 ○ ○IAMグループ/ロール/ポリシー ○ ×システム用リソース ○ △(最小限)発行アカウント発行直後はガバナンス機能以外なんでもイジれる商用アカウントのみ、S-inのタイミングで最小限に絞り込まれる
  • 24.Copyright © 2018 KDDI Corporation. All Rights Reserved 24Governance Contoller:商用環境でユーザーが出来ることユーザーが実行できる操作は所属するグループの「ロール」に依存グループの追加/削除やロール変更をするには管理部門への依頼が必要基底ポリシーグループ毎のロールIn-ServicePrdアカウントユーザー部門と協議の上、運用設計に合わせたグループと権限を設定
  • 25.Copyright © 2018 KDDI Corporation. All Rights Reserved 25Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsVirtual Security Room:仮想セキュリティルームアカウント❍ アカウント管理者によるリモートアクセスを管理❍ 初期設定含め全てのユーザーアカウントへの作業はここを踏んでいく必要がある❍ セキュリティルームでの作業と同等のセキュリティレベルを確保できるようにしている
  • 26.Copyright © 2018 KDDI Corporation. All Rights Reserved 26どちらも作業時に自動通知Virtual Security Room作業内容に応じたロールを初期設定&仮想セキュリティルーム側のグループと信頼関係を結んでおくSwitchRoleして作業(マネコン/スクリプト共)作業内容に応じたグループを用意作業証跡ログ保存(入退室管理)踏み台からのみSSH可作業毎に所属するグループを切り替えIP制限IP制限+MFA常時OFF再起動時に最新版取得
  • 27.Copyright © 2018 KDDI Corporation. All Rights Reserved 27Virtual Security RoomLab/Dev/Stg商用とその他で作業環境を分離全アカウントに対して全く同じロールセットが設定される信頼関係を結ぶ先の仮想セキュリティルームアカウントが環境毎に異なるPrd
  • 28.Copyright © 2018 KDDI Corporation. All Rights Reserved 28Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomManagement AccountsCommon Tools:共通ツール❍ アカウント管理者が利用/提供するサービスやツール類を配備❍ ホスト/システムはこの上で動かしており、それらをアカウント管理者やユーザーが利用するイメージ
  • 29.Copyright © 2018 KDDI Corporation. All Rights Reserved 29EnterpriseCommon Tools
  • 30.Copyright © 2018 KDDI Corporation. All Rights Reserved 30予算管理&アラームツール「MADOKA」【主な機能】 1ユーザー複数アカウント対応 段階的Billingアラーム設定 連続通知抑止切替 現状&しきい値グラフ表示【アーキテクチャ】 S3+Lambda+DynamoDB+SNS サーバレスなので細かいインフラ運用の考慮不要 予算設定はユーザー自身が管理
  • 31.Copyright © 2018 KDDI Corporation. All Rights Reserved 31User Accounts:ユーザー向けアカウント群Billing MasterCommon ToolsGovernance ControllerVirtual Security RoomDevStg PrdLabDevStg PrdLabDevStg PrdLabSystem ASystem BSystem CManagement Accounts User Accounts
  • 32.Copyright © 2018 KDDI Corporation. All Rights Reserved 32【参考】re:Port 2017 「AWS re:Invent参加レポート」https://www.slideshare.net/ohashimamoru/report-2017-2-aws-reinvent-2017/9公式動画より画像張替
  • 33.Copyright © 2018 KDDI Corporation. All Rights Reserved 33• マルチなら中途半端にアカウントを共用しない• ユーザーアカウントは環境、管理アカウントは機能で分ける• ガバナンスは外部から制御• 監査証跡ログをユーザーから切り離し保全• 監査証跡ログは自動化に徹底利用• コード化しとけば全アカウントへの更新も一発• Organizationsでやったほうが絶対ラクまとめ
  • 34.Copyright © 2018 KDDI Corporation. All Rights ReservedThank youforListening!

Editor's Notes

  • #3: 自己紹介が遅れました。カタログではアジャイル開発センター所属となっておりますが、今年の10月に異動になりまして、現在は同じ本部内ですがプラットフォーム技術部フレームワークGの所属となっております。アジャイル開発センター所属時のロールとしましては、主に弊社の社内のAWSアカウント管理統制とクラウドネイティブなアーキテクチャのコンサルテーションを行うチームの取り纏めをやっておりました。
  • #33: ・Organizationを使ってアカウントを管理・管理用グループを作り、そこに機能ごとに分けてアカウント作成 1つのアカウントに機能を詰め込まないところがポイント・ユーザーアカウントではユーザー毎やサービスごとにグループを作り、 そこに開発・ステージング・商用・サンドボックス・共通機能を配布・オンプレミスとのサービス連携もあり、それは共通機能として両方のグループに ある共通機能アカウントに連携・単純な調査・Poc用の単独アカウントも存在
  • #35: ご静聴ありがとうございました!
[8]ページ先頭
©2009-2025 Movatter.jp