20210526 AWS Expert Online マルチアカウント管理の基本

Amazon Web Services Japan

More Related Content

1.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Amazon Web Services JapanManager, Solutions ArchitectYukitaka Ohmura2021/05/25マルチアカウント管理の基本
2.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.アジェンダ1. マルチアカウント管理の必要性と考え⽅2. マルチアカウント構成のベストプラクティス3. ControlTowerによるLandingZoneの実現4. 具体的なガードレールの実装Appendix• Organizationsが使えない場合どうするか• 認証認可をどう実現するか
3.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.なぜマルチアカウント管理が必要なのか
4.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.お客様がAWSに求めているものビジネス価値の創出にフォーカスしたいアイディア実現を迅速化したいセキュアかつ準拠した（Compliant）環境を維持したい
5.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.お客様が求めている環境組織のセキュリティや監査要件に適合する⾼可⽤性でスケーラブルなワークロードに対応できるビジネス要件の変更に対応するよう設定変更が可能
6.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.実現するための課題請求多数のチームセキュリティ /コンプライアンス統制ビジネスプロセス分離
7.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.AWS アカウント = リソースのコンテナ（⼊れ物）アカウント分割で以下の管理が可能環境 ビジネス推進請求部⾨単位やシステムの単位でAWSのコストが明確に分離できる開発、テスト、本番などの環境をセキュリティやガバナンス、規制のために分離できる（PCIなど）ワークロード外部向け/社内向けサービスや、リスクやデータ分類、顧客の違いなどに応じてワークロードを分離できる事前定義されたガバナンスフレームワークの中で特定のビジネス部⾨に対する権限の委譲が⾏える※VPCの分割はネットワークを分離するのみ。APIを分離するにはアカウントの分割が必要
8.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.1アカウントでIAMやVPCによる分離はどうか︖「グレーな」境界時間経過に伴って複雑で管理が⾯倒にリソースのトラッキングが困難責任の押し付け合いが発⽣AWS AccountEverything
9.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.マルチアカウント管理のポイント
10.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.AWSはBuilderを⽀えるプラットフォーム- Self Service Platform -Biilderに⾃由を与え、適切な箇所で適切なツールを使えるようにするそれによってビジネス価値を早期に実現できる
11.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Builderに必要なものは︖Gatekeeper GuardrailV.S.ツールの利⽤を事前承認(Gatekeeper)すると管理業務がボトルネックになる。各システムで⾃由に使わせる⼀⽅で、Builderを守るためガードレール(Guardrail)を⽤意する。やってはいけない操作を未然に防ぐこと（予防的統制）、逸脱を検知すること（発⾒的統制）の2種類。
12.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Governance at Scale - スケーラブルなガバナンスのために1. Account Management1. Policy Automation2. Identity Federation3. Account Automation2. Budget & Cost Management1. Budget Planning2. Budget Enforcement3. Security & Compliance Automation1. Identity & Access Automation2. Security Automation3. Policy Enforcementhttps://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
13.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Governance at Scale - 職務に求められる役割1. Executive• 予算とセキュリティポリシーを社内全体に割り当てる• データが収集されコンプライアンスと財務状況を確認できる2. Senior Leadership• 担当領域の財務状況を確認できる• 予算、⼈員、追加のセキュリティポリシーの適⽤に責任3. Upper Management• 予算の監視、個⼈へプロジェクトへのアクセスを許可、特定領域向けセキュリティポリシーの割り当て• アプリケーションを担当するビジネスユニットやチームに予算とセキュリティポリシーを割り当てる4. Employee• クラウド環境に直接アクセスし、現在の予算消化状況を把握• 他のプロジェクトへのアクセス、財務あるいはセキュリティポリシーへの例外、を申請可能https://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
14.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Governance at Scale - 実現にあたって従来のアプローチ（スケールしない）• 中央集権的で⼿動の承認プロセス（かつ役職間での受け渡しを伴う）• 個別AWSアカウントへの、強制されない、⾮集中管理なアクセス• クラウドブローカーの使⽤スケールするアプローチの考え⽅1. マルチアカウントによるシステムごとの分離2. 管理権限の委譲3. 中央集権による最低限の予防的・発⾒的ガードレールhttps://d1.awsstatic.com/whitepapers/Security/AWS_Governance_at_Scale.pdf
15.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.マルチアカウント構成のベストプラクティス2021年3⽉に新しいホワイトペーパーが出ていますOrganizing Your AWS Environment Using Multiple Accountshttps://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html
16.フルスペックの推奨マルチアカウント構成AWS CloudAWS OrganizationsManagement AccountFoundational (OU)InfrastructureΔ Shared ServicesΔ NetworkAdditional OUSecurity
17.https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2/フルスペック版の解説
18.⽤語: Organizational Units (OU)• AWS アカウントのグループ• SCPを割り当て可能• パーミッションのグルーピングに使う（組織構成のグルーピングには使わない）
19.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.⽤語: Service Control Policies (SCPs)• 予防的統制に使えるOrganizationsの機能• AWS サービスAPIのアクセス可否を制御- 許可されるAPI呼び出しを定義 – ホワイトリスティング- ブロックされるAPI呼び出しを定義 – ブラックリスティング• SCPの特徴• すべてのメンバーアカウントから設定が⾒えない。rootユーザを含む• すべてのメンバーアカウントに適⽤される。rootユーザを含む• パーミッション• SCPとIAMパーミッションのANDを取る• IAM policy simulator は SCP を認識する• 注意• Organizations Management Account には適⽤されない• 1つのOUやアカウントに対してアタッチ可能なSCPは最⼤5つhttps://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.htmlhttps://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_reference_limits.html#min-max-values
20.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Organizing Your AWS Environment Using Multiple AccountsAWSアカウント構成のデザイン原則1. セキュリティと運⽤のニーズに基づいて構成する2. セキュリティガードレールをアカウントでなくOUに適⽤する3. 深いOU階層構造を避ける4. ⼩さく始めて必要に応じて拡張する5. Organizationsのマネジメントアカウントにワークロードをデプロイしない6. 本番ワークロードと⾮本番ワークロードを分ける7. 本番アカウントには1つ、または関連する少数のワークロードのみ割り当てる8. アカウントへの⼈のアクセス管理を省⼒化するためフェデレーションを使う9. アジリティとスケールのために⾃動化を⾏うhttps://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/design-principles-for-organizing-your-aws-accounts.html
21.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Patterns for organizing your AWS accounts1. Production startar organization2. Basic organization3. Advanced organizationご注意• 次ページから提⽰しているベストプラクティスはマルチアカウント環境のセキュリティ、ガバナンス、運⽤の要求を実現する近道ですが、ゴールではありません• 適切な構成はAWSの活⽤フェーズや利⽤規模、カルチャーによって変わり、One-size-fits-allではありません• ControlTowerが作るアカウント構成は最⼩限です• このベストプラクティスをマルチアカウント検討のたたき台としてご利⽤くださいhttps://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/patterns-for-organizing-your-aws-accounts.html
22.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.1. Production starter organizationhttps://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/production-starter-organization.html
23.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.2.Basicorganizationhttps://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/basic-organization.html
24.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.3.AdvancedOrganizationhttps://docs.aws.amazon.com/ja_jp/whitepapers/latest/organizing-your-aws-environment/basic-organization.html
25.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.ControlTowerによる Landing Zoneの実現
26.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.「Landing Zone」の実装• Landing Zoneとは• セキュアで事前設定済みのAWSアカウントを提供する仕組みの総称• ツールを活⽤してスケーラブルかつ ⾼い柔軟性を提供• ビジネスのアジリティとイノベーションを実現• 実装1: AWS Control Tower• AWSサービスとして提供される Landing Zone （東京リージョンは未対応）• 最⼩限のマルチアカウント管理を迅速に開始できる• 特に新規にAWSを使い始める場合に有効• 実装2: 独⾃実装の Landing Zone• マルチアカウント戦略に基づき独⾃に実装する Landing Zone• ⾃社の⽅針にしたがって⾃由にカスタマイズ可能• すでに管理の仕組みがあってControlTowerの適合が難しい場合に有効※AWS Solutionsに掲載されているLanding Zone（Automated Landing Zone）はメンテナンスモードであり今後はControlTowerを推奨します
27.© 2021, Amazon Web Services, Inc. or its Affiliates.AWS Control Tower新規のマルチアカウント AWS 環境をセットアップおよび管理するための最も簡単な⽅法ベストプラクティスに基づくランディングゾーンとガードレール新規アカウント払い出しの標準化を⾏うアカウントファクトリーポリシー適合状況を可視化するダッシュボードマルチアカウント環境のセットアップを⽀援するマネージドサービス
28.© 2021, Amazon Web Services, Inc. or its Affiliates.AWS Control Tower の特徴ダッシュボードランディングゾーンガードレールAccount factoryアイデンティティとアクセス管理ログアーカイブと監査メンバー⽤のセットアップ済みアカウントモニタリング⾃動アップデートhttps://aws.amazon.com/jp/blogs/news/aws-control-tower-set-up-govern-a-multi-account-aws-environment/
29.© 2021, Amazon Web Services, Inc. or its Affiliates.ランディングゾーンManagementAccountAWS Control Tower AWS Organizations AWS Single Sign-OnAWS CloudFormationStackSetsAWS Service Catalog(Account Factory)Core OU Custom OU AWS SSO directoryLog Archive Account Audit Account Provisioned accountsAccountBaselineCentralized AWS CloudTrailand AWS Config logsAccountBaselineSecurityNotificationsSecurity Cross-account rolesAmazonConfig AggregatorAccountBaselineNetworkBaseline• ベストプラクティスに基づいたマルチアカウントAWS環境
30.© 2021, Amazon Web Services, Inc. or its Affiliates.Account FactoryNew Governed AWS accountNetworkbaselineAccountbaselineAWS Control TowerApplied GuardrailsAccount factory DefaultsNetworkbaselineNetworkCIDRNetworkregionsOU AccountbaselineAWS ServiceCatalog Automation①アカウントベースライン定義 ②AWS Service Catalogによるアカウント払い出し③ガードレールの適⽤• アカウント払い出しの標準化を⾏うテンプレート
31.© 2021, Amazon Web Services, Inc. or its Affiliates.ガードレール• 実施してはいけない操作の禁⽌、危険な設定の監視• 予防的ガードレール• 対象の操作を実施できないようにするガードレール• Organizations Service Control Policy （SCP）で実装• 発⾒的ガードレール• 望ましくない操作を⾏なった場合、それを発⾒するガードレール• 管理しつつ開発のスピードを上げるために効果的• AWS Config Rulesで実装
32.© 2021, Amazon Web Services, Inc. or its Affiliates.ダッシュボード• AWS環境を視覚的、継続的に確認• 管理下のOUやアカウント、有効化されたガードレールの数• ガードレールに違反しているリソースのリスト
33.© 2021, Amazon Web Services, Inc. or its Affiliates.アイデンティティとアクセス管理• AWS Single Sign-On (SSO) のデフォルトのディレクトリを使⽤した ID 管理• AWS SSO を使⽤したフェデレーティッドアクセス• 事前定義済みグループ(e.g., AWS Control Toweradministrators, auditors, AWS Service Catalog end users)• 事前定義済みアクセス許可セット (e.g., admin, read-only,write)• AWS SSO と サードパーティの IDP との統合も可能(Microsoft Azure AD, PING, OKTA)
34.© 2021, Amazon Web Services, Inc. or its Affiliates.利⽤可能なリージョンと料⾦・利⽤可能リージョン⽶国（バージニア北部、オハイオ、オレゴン）、カナダ、シドニー、シンガポール、アイルランド、フランクフルト、ロンドン、ストックホルム、東京、ムンバイ、ソウルAWS Control Tower で有効になっているサービス料⾦のみお⽀払い(AWS Config rules,AWS CloudTrailなど)AWS Control Tower の使⽤に伴う追加料⾦なし
35.© 2021, Amazon Web Services, Inc. or its Affiliates.ControlTowerのカスタマイズ
36.© 2021, Amazon Web Services, Inc. or its Affiliates.AWS Control Tower のカスタマイズソリューションhttps://aws.amazon.com/jp/solutions/implementations/customizations-for-aws-control-tower/• ランディングゾーンにカスタマイズを追加するAWSソリューション
37.© 2021, Amazon Web Services, Inc. or its Affiliates.ライフサイクルイベントを利⽤したカスタマイズの例• Account Factoryによるアカウント払い出しの正常終了(CreateManagedAccount)を契機にLambdaをトリガーし独⾃のカスタマイズを⾃動適⽤AccountStackSetAmazonGuardDutyAWS SecurityHubIAM RolesAmazon VPC FlowlogsAccount Customizations1. LaunchAccountAdminNewAccount2. AccountCreatedAmazonCloudWatch Rule3. CreateManagedAccountAWS Lambda4. Trigger LambdaAWSCloudFormation5. Add a Stack6a. Trigger customizationsthrough stack additions6b. Trigger customizationsDirectlyControl TowerManagementAWS ServiceCatalog
38.© 2021, Amazon Web Services, Inc. or its Affiliates.WorkloadsWorkloads Workloads既存アカウントでも AWS Control Tower を利⽤可能AWS Cloud既存アカウントAWS Control TowerExisting Payer AccountDevPre-ProdProdWorkloadsDevPre-ProdProdDevPre-ProdProdDevPre-ProdProdΔ Log ArchiveΔ Sec Read OnlyΔ Sec BreakGlassΔ SecurityToolingΔ SharedServicesΔ NetworkSecurityInfrastructureProdSDLC ProdSDLCWorkloadsDevPre-ProdProdWorkloadsDevPre-ProdProd
39.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.具体的なガードレールの実装
40.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.参考︓ControlTowerのガードレール• 必須のガードレール• ControlTowerを正常に稼働させるために必要な禁⽌事項をSCPで定義したもの• 独⾃に実装する場合は必須ではないが、ログ保存を停⽌させない実装などが参考になる• 強く推奨されるガードレール• マルチアカウントのベストプラクティスに基づく制限事項• SCPの例︓rootユーザでアクセスキーを作らない、rootユーザで操作しないなど• ConfigRulesの例︓EBSボリュームが暗号化されていること、S3のパブリック読み書き禁⽌など• 選択的ガードレール• AWS エンタープライズ環境で⼀般的に利⽤されている制限事項• SCPの例︓MFAなしのS3バケット削除禁⽌、S3バケットのクロスリージョンレプリカ禁⽌など• ConfigRulesの例︓MFAなしのIAMユーザアクセス禁⽌、バージョニングのないS3の禁⽌など
41.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.予防的ガードレールの設定• 設定⽅法• Organizations SCP• IAM Permission boundary• IAM Policy• 特にSCPは本当に禁⽌しなければいけない、権限昇格や管理リソースの破壊防⽌のみにフォーカスすることを推奨• 頑張ると結局Gatekeeperになる[注意]SCPの権限制御は対象アカウントやOUのすべてのユーザーに影響を与える可能性がある強⼒な機能です。必要最低限の設定を⼗分なテストを⾏なって適⽤してください。https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-guardrails.html
42.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.発⾒的ガードレールの設定• 積極的に使⽤する• AWSのベストプラクティスと社内セキュリティポリシーをベースにルールを定め、設定する• 検知したら誰が何をするか決める• 設定⽅法• ConfigRules• SecurityHub• GuardDuty• ルールセット• ControlTowrの推奨/選択的ガードレール• ConfigRules ConformancePack• SecurityHub CIS/AWSベストプラクティス• Next step• ControlTowerはガードレールを設定するがRemediationは別途必要• 設定後のRemediationには、SecurityHubのドキュメントが参考になる• Remediationの中にはSSM Automationが⽤意されているものもある（例:デフォルトセキュリティグループの閉塞）• 検知されたもののうち何を通知するかよく検討が必要https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/strongly-recommended-guardrails.html
43.© 2021, Amazon Web Services, Inc. or its Affiliates.ControlTowerの情報源• ワークショップ• https://controltower.aws-management.tools/ja/immersionday/• ⽇本語ブログ• https://aws.amazon.com/jp/blogs/news/category/management-tools/aws-control-tower/• https://aws.amazon.com/jp/blogs/news/category/management-tools/• 英語ブログ• https://aws.amazon.com/jp/blogs/mt/category/management-tools/aws-control-tower/• https://aws.amazon.com/jp/blogs/mt/• 独⾃にLanding Zoneを実装する• AWS Innovate 2020 [S-7] 増加するシステムをマルチアカウントで効率よく管理する をご参照くださいhttps://d1.awsstatic.com/events/jp/2020/innovate/pdf/S-7_AWSInnovate_Online_Conference_2020_Spring_MultiAccount.pdf
44.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.参考資料（事例）• [AWS Security Roadshow] ⼤規模AWS共通基盤上の発⾒的統制への挑戦• https://speakerdeck.com/rtechkouhou/da-gui-mo-awsgong-tong-ji-pan-shang-falsefa-jian-de-tong-zhi-hefalsetiao-zhan• [AWS Summit 2019] AWSコンサル事例でわかる パーソルが実現した ガバナンスとスピードを兼ね備えた次世代型AWS共通基盤とは• https://pages.awscloud.com/rs/112-TZM-766/images/L2-05.pdf• ZOZOテクノロジーズさんのマルチアカウント事例祭り• 第1回 https://zozotech-inc.connpass.com/event/185894/• 第2回 https://zozotech-inc.connpass.com/event/200890/• JAWS DAYS 2021のセッション（マルチアカウント周りの話題多し）• https://jawsdays2021.jaws-ug.jp/timetable/
45.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.まとめ1. マルチアカウント管理の必要性と考え⽅2. マルチアカウント構成のベストプラクティス3. ControlTowerによるLandingZoneの実現4. 具体的なガードレールの実装
46.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Appendix• Organizationsが使えない場合どうするか• 認証認可をどう実現するか
47.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Organizationsが使えない場合どうするか
48.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.LandingZoneを⾃分で実装するには何が必要か1. アカウントの発⾏• 必要な初期設定の済んだアカウントを作成2. 管理⽤権限の発⾏• 対象アカウントを管理するための権限を作成3. 共有サービスへのアクセス• ADなどの共有サービスやオンプレミスへの接続経路の確保4. AWSログの集約• 監査⽤ログの集中かつ安全な保存5. ガードレールの設置• 実施してはいけない操作の禁⽌、危険な設定の監視AWS Innovate 2020 [S-7] 増加するシステムをマルチアカウントで効率よく管理する をご参照くださいhttps://d1.awsstatic.com/events/jp/2020/innovate/pdf/S-7_AWSInnovate_Online_Conference_2020_Spring_MultiAccount.pdf
49.© 2021, Amazon Web Services, Inc. or its Affiliates.Organizations がない場合のLandingZone - 基本⽅針前提• 基本的にAWSの各種サービスがマルチアカウント対応の⼀環でOrganizationsを利⽤する⽅向で拡張されている• 従来からの機能の中にはアカウント個別指定で管理できるものもある基本⽅針• 「AWSアカウントを作ったら最初に必ずやるべき最低限のこと」だけをアカウント個別に指定して集約• 認証認可 / CloudTrail / Config / GuardDuty / SecurityHub• 他は無理に集約せずアカウント個別に設定
50.© 2021, Amazon Web Services, Inc. or its Affiliates.OrganizationsなしでLandingZoneを実装するにはLandingZoneで特に必要だが Organizationsがないと使えない機能（１）アカウントの発⾏（２）SCP（３）タグポリシー（４）AWS SSO
51.© 2021, Amazon Web Services, Inc. or its Affiliates.AWS Organizations と密接に関連した機能Organizations が使えない環境での実現⽅式は以下（１）アカウントの発⾏・⼿動でアカウントを作成する・リセラーアカウントの場合、リセラーのオペレーションで発⾏する１．Organizations でアカウントを作成（CLI,SDK）２．Organizations SCP の設定３．ベースライン（基本設定）⽤の CloudFormation Stack を作成• 管理⽤権限（IAM Role） の発⾏• AWS Config Rules の設定• 標準VPCの作成・設定 などマルチアカウント環境におけるアカウント発⾏のベストプラクティスAWS Organizations無しではこの部分が実現できない上記のように、ベースラインを設定したアカウントの⾃動発⾏を実現する仕組みを、AWSではアカウントファクトリー、またアカウントベンディングマシーン（AVM)として説明している参考 https://github.com/aws-samples/aws-account-vending-machine
52.© 2021, Amazon Web Services, Inc. or its Affiliates.AWS Organizations と密接に関連した機能Organizations が使えない環境での実現⽅式は以下（２）SCPルートユーザの権限管理だけはSCPが必須リセラーアカウントの場合ルートユーザを渡さなければ、IAM Boundaryで同様のことを実現できる（３）タグポリシーアカウント内で実現する場合はIAM Policyをカスタムすることで実現する（４）AWS SSO外部IdPサービスの利⽤もしくは、SSO（IDフェデレーション）環境を⾃前で構築（もしくは踏み台アカウントでSwitch Role）
53.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.マルチアカウントの認証認可をどう実現するか
54.© 2021, Amazon Web Services, Inc. or its Affiliates.管理⽤権限の発⾏/アクセス環境の実現対象アカウントを管理するための権限を作成• ID管理 / アカウントへのフェデレーティッドアクセスアプリケーションアカウントアプリケーションアカウントSSO ActiveDirectoryなどアプリケーションアカウント Aアカウント管理者Role (PowerUser)LZ管理者Role (Administrator)参照専⽤Role (ReadOnly)その他ログ管理等に必要なRoleアカウントA⽤グループLZ管理者アカウントB⽤グループ認証ロール選択BC• 認証にはIAM Userではなくシングルサインオン(SSO) の仕組みを使い、各アカウントにロールのみを作成することを推奨⽅法１︓AWS SSO⽅法２︓IDフェデレーション環境を⾃前で構築⽅法３︓AWSと連携できる外部IdPを利⽤＜＝AWS Organizations必須
55.© 2021, Amazon Web Services, Inc. or its Affiliates.課題• 1つの中央IDストアで全システムの全ユーザの認証情報を管理するか︖• 中央IDストアでは各アカウントの管理者アカウントのみ管理︖• 各アカウントのIDは、IAM Userで管理してしまう︖別途IDストアとSSOを⽤意︖アプリケーションアカウントアプリケーションアカウントIdP ActiveDirectoryなどアプリケーションアカウント Aアカウント管理者Role (PowerUser)LZ管理者Role (Administrator)参照専⽤Role (ReadOnly)アカウントA⽤グループLZ管理者アカウントB⽤グループ認証ロール選択BCIdPアプリケーションアカウント Aアカウント管理者Role運⽤者RoleLZ側認証アカウントA管理者開発者開発者IAMUserアプリアカウント側認証運⽤者IdPAD等AD等全ユーザを統⼀管理アカウント管理者はLZで払い出しアカウント内のユーザは個別管理
56.© 2021, Amazon Web Services, Inc. or its Affiliates.【参考】IDフェデレーション with SAML 概要図AWS マネジメントコンソールSAML ⽤のAWS サインインエンドポイントユーザーがポータルサイトをブラウジングするユーザーを認証する認証応答としてSAMLアサーションを受信するクライアントをコンソールにリダイレクトする123465企業データセンター AWS Cloud (サービスプロバイダー)ポータルサイト/IDプロバイダー(IdP)アイデンティティストア属性情報に基づいてロールの⼀時セキュリティ認証情報を⽣成SAMLアサーションをポストユーザー
57.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.シングルサインオンの設計と運⽤詳しくはBlackBeltを参照https://aws.amazon.com/jp/blogs/news/webinar-bb-awsaccountsso-2020/
58.© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.Thank you