AWSマルチアカウント管理の考え方！（40分編）　~マルチアカウント管理で活用できるAWSサービス~

Transcript

1. 2025年4月16日 AWSマルチアカウント管理の考え方！（40分編） ~マルチアカウント管理で活用できるAWSサービス~ NRIネットコム株式会社 クラウド事業推進部 丹 勇人 NRIネットコム TECH &

   DESIGN STUDY #62

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 丹

   勇人（たん はやと） 自己紹介 ◼ NRIネットコム株式会社（2015年入社）クラウド事業推進部 主任 ⚫ AWSマルチアカウント環境の組織管理・運用支援 ⚫ AWSアカウント管理サービス - プリセールス ◼ 2024 Japan AWS Ambassador（Associate Ambassador） ◼ 2024 Japan AWS Top Engineers（Security） ◼ AWS Community Builders（Security）since 2023 ◼ 2022 APN AWS Top Engineers（Service） ◼ AWS Certifications ⚫ 2024 Japan ALL AWS Certifications Engineers ◼ 秋田県出身 ◼ 子供５人

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   本日の主題 01 AWSアカウントの管理方法と課題解決 02 AWSマルチアカウント管理におけるセキュリティ統制の考え方 03 マルチアカウント管理で活用できるAWSサービスや機能 04 Summary, References & Appendix 05

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   本日お話すること 本日の主題 ◼本日お話すること ⚫AWSアカウントを分割する観点 ⚫AWSアカウントの管理方法 ⚫AWSマルチアカウント管理におけるセキュリティ統制の考え方 ⚫マルチアカウント管理で活用できるAWSサービスや機能 ◼本日お話しないこと ⚫AWS利用料の削減方法 ⚫AWS Service Catalogを利用したアカウント管理 ⚫AWS Control Tower の機能紹介と活用方法

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   用語 本日の主題 ◼ AWS Organizations ⚫ 複数のAWSアカウントを一元管理できる無料のAWSサービス ▪組織内のAWSアカウントの一元管理 ▪すべてのメンバーアカウントの一括請求 など ◼ マネジメントアカウント ⚫ AWS Organizations の管理に使用する AWSアカウント ⚫ AWS Organizations で発生した料金の支払いを行う ⚫ AWS Organizations 内のアカウント作成や管理 ◼ メンバーアカウント AWS Organizations の組織に所属する管理アカウント以外のアカウント Management account Member accounts AWS Organizations

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   本日の主題 01 AWSアカウントの管理方法と課題解決 02 AWSマルチアカウント管理におけるセキュリティ統制の考え方 03 マルチアカウント管理で活用できるAWSサービスや機能 04 Summary, References & Appendix 05

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   AWSアカウントのマルチアカウント運用の必要性 組織において必要な環境 AWSマルチアカウント管理の必要性と組織管理 セキュリティ ＆ コンプライアンス 拡張性 ＆ 高可用性 柔軟性 組織のセキュリティや 監査要件に適合する スケーラブルで安定した システムである ビジネス要件の変更に 柔軟な対応が可能

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   あなたの会社では AWSアカウントを いくつ管理していますか？

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

   利用規模に応じて変わるAWSアカウント管理方法 AWSアカウントの管理方法と課題解決 今まで自社含め様々な会社のAWSアカウント管理と向き合ってきましたが、 AWS利用規模が大きくなるにつれてAWSアカウントの数が増え、管理方法も変化していきます。 AWS利用規模が大きくなると、組織としてアカウントを管理するための課題が出てくるので見ていきましょう。 1 2~10 10~数百 AWSアカウント数 AWSアカウント数 AWSアカウント数 単独アカウントの管理 マルチアカウントで管理 AWS Organizations による マルチアカウント管理 Account Production Account Develop Account Audit Account Management account Organizational unit AWS Organizations

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    単独アカウントの管理：AWSアカウント数「１」 AWSアカウントの管理方法と課題解決 最初にAWSアカウントを作成すると、１アカウント単独での管理となります。 この場合、１つのAWSアカウント上にVPCを作成して、VPC上にワークロード（システム）を構築していきます。 Virtual private cloud (VPC) Amazon Elastic Compute Cloud (Amazon EC2) VPC Amazon EC2 VPC Amazon EC2 AWS account 開発環境、本番環境 が混在する リソースのトラッキング が難しい クォータ制約を 受けやすい コスト配分タグを利用 したコスト分離が必要 結果として、 「グレーな」境界で曖昧になり、 責任の押し付け合いが発生します！

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    単独アカウントで管理し続けると、やがてこんな課題に直面・・・ AWSアカウントの管理方法と課題解決 課題①：開発環境、本番環境が混在する 課題②：トラッキング、利用料金の請求処理が難しい 課題③：クォータ制約を受けやすい リソースに対する操作の間違いが発生してしまうリスクがある リソースのトラッキングが難しい、コスト配分タグを利用したコスト分離が必要 他チームのリソース利用の影響により、リソース制約を受けてしまう

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    そこで、AWSアカウントを追加して、 アカウントとしての境界を作る

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWSアカウントを分割する際の4つのポイント AWSアカウントの管理方法と課題解決 単独アカウントから複数アカウントに分割する際は、４つの観点が重要です 操作や影響範囲を限定するため に、開発/ステージング/本番など の環境に分離する 環境 ワークロード（システム） ビジネスプロセス（部門等） 請求 管理する部門ごとに分離する 部門やシステムの単位でAWSの コストを明確に分離する メイン/サブシステムや、外部向け /内部向けなどシステムごとに分 離する

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    マルチアカウントで管理：AWSアカウント数「２～１０程度」 AWSアカウントの管理方法と課題解決 AWSアカウントが２～１０アカウント程度であれば、マルチアカウントで個々にAWSアカウントを管理することができます。 この場合、IAMの踏み台アカウントを用意して、IAMユーザを管理します。クロスアカウントIAMロールにより各AWSアカウントへスイッチす るアクセス制御を考えます。 VPC Amazon EC2 AWS account AWS account Role VPC Amazon EC2 AWS account Role AWS CloudTrail AWS CloudTrail 各アカウントにユーザが増えることにより 管理負荷が増加 各アカウントの状況を 把握できない 個々のアカウント単位 の請求 組織として一元管理できる仕組みが必要になります！

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    規模の拡大により、 さらにAWSアカウントが増えてくると・・・

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    組織としてマルチアカウントで管理：AWSアカウント数「１０以上～数百」 AWSアカウントの管理方法と課題解決 AWSアカウントが１０アカウントを超えると、アカウントを個々で管理することが難しくなり、「AWS Organizations」 を利用した組織としてのマルチアカウント管理が必要となります。 AWS IAM Identity Center、AWS Organizationsの一括請求やService Control Policy（SCP）、 CloudFormation StackSets等のAWSサービス・機能を利用してマルチアカウントを管理します。 AWS Organizations Management account Organizational unit Organizational unit Organizational unit AWS CloudTrail Accounts Accounts AWS IAM Identity Center Accounts

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    「AWS Organizations」を利用してマルチアカウント管理すれば、課題はおおむね解消！ AWSアカウントの管理方法と課題解決 課題①：管理するユーザが増加する 課題②：トラッキング、利用料金の請求処理が難しい 課題③：クォータ制約を受けやすい AWS IAM Identity Centerによるユーザおよびアクセス制御の一元管理が可能 AWS CloudTrail等の組織単位のログ一元管理が可能、複数アカウントの一括請求 アカウント毎のリソース管理となり、他アカウントのリソースによる影響を受けない ※ただし、アカウント単位でクォータ制約は存在するため上限の意識は必要…！

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWSアカウントの管理方法と課題解決まとめ AWSアカウントの管理方法と課題解決 ◼事業の拡大やビジネスの発展に応じて、アカウントの管理方法は変化するもの 早めに対処するのが吉。 ◼単独で管理しているアカウントを分割する際の観点は４つ ◼最終的な理想形は、「AWS Organizations」を利用したマルチアカウント管理 アクセス制御やトラッキングの一元管理だけではなく、最もシビアな「コスト管理」の負荷 を軽減できる。 環境 ワークロード（システム） ビジネスプロセス（部門等） 請求 AWS Organizations

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWSアカウントの管理方法と課題解決 02 AWSマルチアカウント管理におけるセキュリティ統制の考え方 03 マルチアカウント管理で活用できるAWSサービスや機能 04 Summary, References & Appendix 05

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    近年より一層求められるアジリティとセキュリティの両立 AWSマルチアカウント管理におけるセキュリティ統制の考え方 昨今デジタルトランスフォーメーションによる変化が求められ、アジャイル開発の導入も進み、 よりアジリティとセキュリティの両立が開発者に求められるようになっています。 ◼アジリティ ⚫ 市場環境のデジタル化に伴いビジネス要件の 変更に素早く対応する動きが求めれる ⚫ 大小規模に関わらずシステム開発の効率や 生産性の高い、対応スピードが求められる ◼セキュリティ ⚫ Security is our top priority （セキュリティは最優先事項） ⚫ 日々変化するセキュリティ状況に柔軟に対応 する設定が必要

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    GateKeeper vs Guardrail AWSマルチアカウント管理におけるセキュリティ統制の考え方 セキュリティ統制に求められるのは、GateKeeperではなく、セキュリティ制約を逸脱せずに必 要に応じて正常な状態に戻すことができるGuardrailです。 各システムの利用を事前承認制（GateKeeper）にすると管理業務がボトルネックとなります。 各システムで自由に利用してもらう一方で、開発者を守るため２種類のガードレール（Guardrail）を用意します。 • やってはいけない操作を未然に防ぐこと（予防的統制）= AWS Organizations の Service Control Policy（SCP） • 逸脱を検知すること（発見的統制）= AWS Config ◼GateKeeper（門番） ◼Guardrail（防護柵） VS

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    NISTサイバーセキュリティフレームワーク（NIST CSF） AWSマルチアカウント管理におけるセキュリティ統制の考え方 米国国立標準研究所が提供する サイバーセキュリティフレームワークは、企業・ 組織がサイバーセキュリティ対策を 向上させるための指針として利用されます。 CSFは、コア、ティア、プロファイルの３つの 要素で構成されており、右記の表は 分類ごとにまとめられたサイバーセキュリティ 対策の一覧であるCSFコアとなります。 『防御』と『検知』の一部カテゴリーが以下の AWSのアカウントセキュリティサービスに あたります。 • AWS CloudTrail • Amazon GuardDuty • AWS Security Hub 分類 カテゴリー 特定 （Identity） • 資産管理 • ビジネス環境 • ガバナンス • リスクアセスメント • リスクアセスメント管理 防御 （Protect） • アクセス制御 • 意識向上およびトレーニング • データセキュリティ • 情報を保護するためのプロセスおよび手順 • 保守 • 保護技術 検知 （Detect） • 異常とイベント • セキュリティの継続的なモニタリング • 検知プロセス 対応 （Respond） • 対応計画の作成 • コミュニケーション • 分析 • 低減 復旧 （Recover） • 復旧計画の作成 • 改善 • コミュニケーション （出典：セキュリティ関連NIST文書について - The NIST Cybersecurity Framework (CSF) 2.0） https://www.ipa.go.jp/security/reports/oversea/nist/about.html

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    ゼロトラスト・セキュリティ AWSマルチアカウント管理におけるセキュリティ統制の考え方 ゼロトラストとは、ネットワークの内部と外部を区別することなく、守るべき情報資産やシステムに アクセスするものは全て信用せずに検証することで、脅威を防ぐという考え方です。 クラウドセキュリティというソリューションにおいて、ID管理やアクセスコントロール等のクラウドアクセス制御が 必要になります。 Trust but Verify （信ぜよ、されど確認せよ） Verify and Never Trust （決して信頼せず必ず確認せよ） （出典1：米国防総省 Zero Trust Reference Architecture） https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v2.0(U)_Sep22.pdf （出典2：ゼロトラスト・セキュリティとは？ ） https://www.nri-secure.co.jp/service/zerotrust

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWSアカウントの管理方法と課題解決 02 AWSマルチアカウント管理におけるセキュリティ統制の考え方 03 マルチアカウント管理で活用できるAWSサービスや機能 04 Summary, References & Appendix 05

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWSマルチアカウント管理で活用できるAWSサービスや機能 AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Organizations（SCP、RCP、宣言的ポリシー） AWS Config AWS CloudTrail Amazon GuardDuty AWS Security Hub AWS CloudFormation/ AWS CloudFormation StackSets AWS IAM Identity Center AWS Identity and Access Management（IAM） Access Analyzer ガードレール セキュリティ対策 （防御・検知） ゼロトラスト・セキュリティ リソース管理

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Organizations（SCP） AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Organizationsには、大きく分けて２つの主な機能があります。そのうち、Service Control Policy（SCP）を利用することで、組織ユニット単位での権限に関するガードレールを作成することができ、 コンプライアンスからはみ出してしまうようなアクションを防ぐことができます。 ◼ 一括請求機能 ⚫ 組織内のAWSアカウントに対する請求をまとめて管理 ⚫ 組織内のAWSアカウントの請求設定を一元管理 ◼ Service Control Policy（SCP）機能 ⚫ 組織ユニット単位で複数のAWSアカウントに適用するポリシーを集中管理 ガードレール AWS Organizations SCP適用イメージ 拒否 拒否 許可 IAM SCP SCPサンプル { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "iam:CreateAccessKey" ], "Resource": "*" } ・・・ Management account Organizational unit Organizational unit Accounts Account SCP SCP

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Organizations の３つのポリシーの整理 AWSマルチアカウント管理で活用できるAWSサービスや機能 Service Control Policies（SCP）, Resource Control Policy（RCP）, Declarative Policies （宣言的ポリシー）の特徴 SCP RCP（新規） Declarative policies（新規） 目的 プリンシパルの権限の中 央管理 リソースへのアクセス権限の 中央管理 AWSサービスの設定の中央管理 制限方法 APIレベルの制限 APIレベルの制限 APIレベルの制限ではなく AWSサービスの望ましい設定を強制 例 プリンシパルが利用できる リージョンを制限 リソースへのアクセスをHTTPS に制限 VPC がパブリックアクセスできないよう に設定 ポリシー 承認ポリシー 承認ポリシー 管理ポリシー （出典：OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=17） ※出典の表に対して「ポリシー」の種類を追加しています ガードレール

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Organizations（Resource Control Policy：RCP） AWSマルチアカウント管理で活用できるAWSサービスや機能 組織内外からのリソースアクセスをより安全にするポリシーを簡単に適用 ※SCPよりも前に評価される ◼課題 ⚫ SCPはあくまでプリンシパル単位の制限でリソースへのアクセスに一元的な制限をかけられなかった ◼実現すること ⚫ 組織内の複数のAWSアカウントにまたがるリソースに対して、一貫性のあるアクセス制御を強制適用 ⚫ リソースがアクセスされる際に評価され、誰がAPIリクエストを行っているかに関係なく適用 ⚫ サポート対象サービス ▪Amazon S3 ▪Amazon SQS ▪AWS STS（AWS Security Token Service） ▪AWS KMS（AWS Key Management Service） ▪AWS Secrets Manager （出典：OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=18） ガードレール

29. 28 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Organizations （宣言的ポリシー：Declarative Policies for EC2） AWSマルチアカウント管理で活用できるAWSサービスや機能 組織全体へのポリシー適用の維持が複雑な作業なく簡単に実現可能（GUIによる設定が可能） ◼課題 ⚫ SCPでの制限や AWS Config での検知を APIレベルで行っても望ましい制限で永続的に実現するためには、 新しいAPIや機能ごとにポリシーを見直す必要がある ◼実現すること ⚫ AWSサービスのコントロールプレーンにおいて、サービスレベルで直接適用されるため、宣言的ポリシーで設定した 状態は常に強制的に維持される ⚫ サポート機能 ▪（EC2）シリアルコンソールアクセス ▪（EC2） AMIのブロックパブリックアクセス ▪（EC2）許可されたAMIの利用設定 ▪（EC2）インスタンスメタデータのデフォルト設定 ▪（VPC） VPCのブロックパブリックアクセス ▪（EBS） EBSのスナップショットのブロックパブリックアクセス （出典：OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome?slide=20） ガードレール

30. 29 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Config AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Configは、AWS上のリソースの構成（設定と関係）を継続的に評価、監査、診断するサービスです。 マルチアカウント管理において、AWS Configは組織単位で集約設定をすることで、監査用途のアカウントに各リージョ ン・各アカウントのConfigデータを集約することができます。一方で、各アカウントのConfig有効化自体は個々に設定 する必要があり、AWS CloudFormation StackSetsを活用できます。 AWS Configには、自動修復機能もあり、一部のAWS Configルールに対して、コンプライアンスを逸脱した設定を自 動的に正しい設定に戻すことも可能です。（一部AWS Configルールの自動修復機能は大阪リージョン未対応） ガードレール

31. 30 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS CloudTrail AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS CloudTrailは、AWSインフラストラクチャ全体のアカウントアクティビティをモニタリングや記録して、アクティビティ ログを保管することができるサービスです。 マルチアカウント管理において、AWS CloudTrailは組織単位で証跡の有効化を設定することができます。 監査用途のS3バケットをマネジメントアカウント以外に作成して、AWS CloudTrailのログ保管先として指定することで、 監査用途のAWSアカウントにAWS CloudTrailログを集約することができます。 セキュリティ対策 （防御・検知）

32. 31 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    Amazon GuardDuty AWSマルチアカウント管理で活用できるAWSサービスや機能 Amazon GuardDutyは、悪意のあるアクティビティに対してAWSアカウントとワークロードを継続的にモニタリングし、 可視化と修復するための詳細なセキュリティ調査結果を提供する脅威検出サービスです。 マルチアカウント管理において、Amazon GuardDutyは組織単位で集約設定をすることで、監査用途のアカウントに 各アカウントのAmazon GuardDutyの検知データをリージョン毎に集約することができます。 セキュリティ対策 （防御・検知）

33. 32 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Security Hub AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS Security Hubは、セキュリティのベストプラクティスに沿った設定のチェックを行い、セキュリティアラートを集約し、 一元管理できるサービスです。 マルチアカウント管理において、AWS Security Hubは組織単位で集約設定をすることで、監査用途のアカウントに各 アカウントのAWS Security Hubの検知データをリージョン毎に集約することができます。 AWS Security Hub自体の有効化、および、AWS Security Hubセキュリティ標準の自動有効化を設定することがで きますが、要件に応じて自動有効化の設定を行う必要があります。 セキュリティ対策 （防御・検知）

34. 33 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS CloudFormation/CloudFormation StackSets AWSマルチアカウント管理で活用できるAWSサービスや機能 AWS CloudFormationは、インフラストラクチャをコードとして扱うことで、AWSのリソースをモデル化、プロビジョニング、 管理することができるサービスです。 複数AWSアカウントに対してまとめて展開できるのがAWS CloudFormation StackSetsになります。 マルチアカウント管理においては、AWS CloudFormation StackSetsを利用して、各AWSアカウントに CloudFormationスタックを展開します。 リソース管理 ◼「組織なし」のマルチアカウント管理における AWS CloudFormation StackSets ◼「組織」としてのマルチアカウント管理における AWS CloudFormation StackSets Role AWS Audit アカウント AWSアカウント Stack Stack Sets AWS CloudFormation AWS STS Temporary security credential Role

35. 34 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS IAM Identity Center AWSマルチアカウント管理におけるセキュリティ統制の考え方 AWS IAM Identity Centerは、複数AWSアカウントへのアクセスを一元管理するサービスです。各AWSアカウント へのシングルサインオン（SSO）アクセスが可能になります。 マルチアカウント管理において、AWS IAM Identity CenterはID管理を行うための重要な役割のサービスです。マネジ メントアカウントで利用することができ、機能の大半をメンバーアカウントへ委任して管理することもできます。 AWS IAM Identity CenterのID CenterディレクトリやActive DirectoryでID管理を行うことができますが、Okta, Azure AD, OneLogin等の外部IDプロバイダーに接続してID管理することもできます。 ゼロトラスト・セキュリティ 外部ID プロバイダー （IdPs） 各AWSアカウント AWS利用者 認証情報の要求 認証情報の提供 IdPへログイン AWSアカウントへSSO AWS IAM Identity Center

36. 35 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    AWS Identity and Access Management（IAM） Access Analyzer AWSマルチアカウント管理におけるセキュリティ統制の考え方 AWS IAM Access Analyzerは、IAMポリシーの検証やパブリックアクセスおよびクロスアカウントアクセスを検出する ことができるサービスです。 IAM Access Analyzerが有効になっているAWSリージョンで、IAMポリシーやIAMロールだけではなく、Amazon Simple Storage Service（S3）バケットやAWS Lambda関数等のリソースタイプを分析することもできます。 ゼロトラスト・セキュリティ AWS Organizations Management account Account Account IAM Access Analyzer 外部の組織 アクセス元 Resources アクセス 集約 AWS Organizations Management account Account Account IAM Access Analyzer Resources 集約 ◼組織外からのアクセスリソース検知/集約 ※IAM Access Analyzerの機能により実装可能 ◼組織内のアクセスリソース検知/集約 ※別途実装が必要 Resources 検知 検知 Resources Resources

37. 36 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    本日の主題 01 AWSアカウントの管理方法と課題解決 02 AWSマルチアカウント管理におけるセキュリティ統制の考え方 03 マルチアカウント管理で活用できるAWSサービスや機能 04 Summary, References & Appendix 05

38. 37 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    Summary Summary, References & Appendix ◼AWSアカウントを分割する観点 ⚫ AWSで実現したい環境における課題に対して、４つの観点でアカウント分割することを考えます ◼AWSアカウントの管理方法 ⚫ 利用規模（AWSアカウント数）に応じた３つのAWSアカウント管理方法の内、「組織としてマルチアカウント で管理」をすることで、アクセス制御・可視化/トラッキング・クォータ制約の課題を解消できます ◼AWSマルチアカウント管理におけるセキュリティ統制の考え方 ⚫ 近年より一層求められるアジリティとセキュリティの両立 ⚫ 「ガードレール（Guardrail）」「NISTセキュリティフレームワークの『防御』と『検知』」「ゼロトラスト・セキュリティ」で セキュリティ統制を考えます ◼マルチアカウント管理で活用できるAWSサービスや機能 ⚫ 各AWSサービスや機能をマルチアカウント管理で活用できます ▪AWS Organizations（SCP、RCP、宣言的ポリシー） ▪AWS Config ▪AWS CloudTrail ▪Amazon GuardDuty ▪AWS Security Hub ▪AWS CloudFormation AWS CloudFormation StackSets ▪AWS IAM Identity Center ▪AWS Identity and Access Management (IAM) ▪AWS Access Analyzer 環境 ワークロード（システム） ビジネスプロセス（部門等） 請求

39. 38 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    References Summary, References & Appendix ◼AWSマルチアカウント管理 ⚫ マルチアカウント管理の基本 https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online ⚫ AWSの薄い本II アカウントセキュリティのベーシックセオリー https://takuros.booth.pm/items/1919060 ◼NISTサイバーセキュリティフレームワーク（NIST CSF） ⚫ セキュリティ関連NIST文書について - The NIST Cybersecurity Framework (CSF) 2.0 https://www.ipa.go.jp/security/reports/oversea/nist/about.html ◼ゼロトラスト・セキュリティ ⚫ 米国防総省 Zero Trust Reference Architecture https://dodcio.defense.gov/Portals/0/Documents/Library/(U)ZT_RA_v2.0(U)_Sep22.pdf ⚫ ゼロトラスト・セキュリティとは？ https://www.nri-secure.co.jp/service/zerotrust ◼AWS CloudFormation StackSets ⚫ AWS CloudFormation StackSetsの仕組み・機能、マネジメントコンソールとAPIの関係、デプロイターゲットの アカウントフィルター、パラメータの意味・役割に関するまとめ https://tech.nri-net.com/entry/summary_of_aws_cloudformation_stacksets

40. 39 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    References（Others） Summary, References & Appendix ◼ OpsJAWS32 re:Invent 2024 Ops系アップデートまとめ https://speakerdeck.com/takahirohori/opsjaws32-re-invent-2024-opsxi-atupudetomatome ◼AWS Organizations（SCP、RCP、宣言的ポリシー） ⚫ AWS Organizations の新しいタイプの認可ポリシーであるリソースコントロールポリシー (RCP) のご紹介 https://aws.amazon.com/jp/blogs/news/introducing-resource-control-policies-rcps-a-new- authorization-policy/ ⚫ 宣言型ポリシーでガバナンスを簡素化する https://aws.amazon.com/jp/blogs/news/simplify-governance-with-declarative-policies/ ⚫ Managing organization policies with AWS Organizations https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html ⚫ How AWS enforcement code logic evaluates requests to allow or deny access https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation- logic_policy-eval-denyallow.html ⚫ SCP・RCP・宣言型ポリシーの違いを簡単に整理してみた https://tech.nri-net.com/entry/scp_rcp_declarative_policies ⚫ AWS アイデンティティおよびアクセス管理における回復力 https://docs.aws.amazon.com/IAM/latest/UserGuide/disaster-recovery-resiliency.html

41. 40 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

    Appendix Summary, References & Appendix 2025年3月24日以降、徐々に AWS Organizations メンバーアカウントのルートユーザーにMFAが必須化 ◼各ルートユーザー宛てメール件名（2025/02/08） [Action Required] MFA Will Be Required for Your AWS Organization’s Member Account Root User [AWS Account: XXXXXXXXXXXX] ◼各アカウントがMFA必須化の対象となった後の仕様 ⚫ 初回ログインを行ってから35日間は猶予期間が設けられる ➢ この35日の期間中は、MFAなしでもルートユーザーでログインが可能 ➢ 初回ログイン35日を経過するとMFA登録なしでは、ルートユーザーにログインができなくなる ⚫ ルートアクセスを一元管理する新機能の利用も検討 ➢ 一部のメンバーアカウントに対して 認証情報の削除が可能 （出典：AWS Organizations を使用するお客様のためのルートアクセスの一元管理 https://aws.amazon.com/jp/blogs/news/centrally-managing-root-access-for-customers-using-aws-organizations/)

42. 41 Copyright（C） NRI Netcom, Ltd. All rights reserved. NRIネットコム ウェビナー

    明日（4/17）12:00～開催！ 企業版AWS IAMのマニアックな話 2025 【アジェンダ】 ⚫ NRIネットコムの紹介 ⚫ 最新のIAMベストプラクティス ⚫ シングルサインオンの設計・運用ノウハウ ⚫ NRIネットコムのAWS支援サービス 4/24 12:00～開催 既存システムの改修なし！ AWS契約の移行でコスト削減と運用の最適化を実現 【アジェンダ】 ⚫ NRIネットコムの紹介 ⚫ AWSアカウントにまつわるセキュリティとガバナンス ⚫ AWS契約見直しとアカウント管理、コスト削減事例 ⚫ AWS利用料削減のノウハウ ⚫ NRIネットコムのAWS請求代行＆アカウント管理サービス connpass よりお申込み受付中！

43. 42 Copyright（C） NRI Netcom, Ltd. All rights reserved. NRIネットコム TECH

    AND DESIGN STUDY（勉強会） 4/24 19:00～開催 1. AWSを用いたデジタル名刺の作り方 2. Twelve-Factor Appsから学ぶECS設計 【概要】 1. AWS Amplifyを使ってウェブ上に 自身の名刺を作成するソリューションの内容と開発背景を説明 2. Twelve-Factor Appsというモダンアプリケーション構築の方法論を基に、 ECSにおける設計プラクティスを語る 5/13 12:00～開催 AWSマンスリーアップデートピックアップ!! 2025年4月分 【概要】 ⚫ 日々数多く発表されているAWSのアップデートのうち、 当社の腕利きエンジニア目線で厳選した前月のアップデート情報をお話 connpass よりお申込み受付中！
44. None