マニュアルを書かねばならなくなったので、ついでにAWS Control Towerの入門書を書いてみました。

21.4K Views

February 28, 23

スライド概要

2/28 Security-JAWS #28 #secjaws Session5 登壇資料
https://s-jaws.doorkeeper.jp/events/149295

profile-image

とりあえず登録。 数年後、Slideshareからデータ移行。 ただし、一部ファイルは移行できず。無念。

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

(ダウンロード不可)

関連スライド

各ページのテキスト
1.

マニュアルを書かねばならなく なったので、ついでに AWS Control Towerの入門書 を書いてみました。 [email protected] 2023/02/28 @Security-JAWS28

2.

話者:kinneko いろいろやってきたので何屋かと言われると困る 基本はネットワークと組み込みLinux屋 サービス作ったり、ハード作ったり、 コミュニティ活動したり、記事書いたり profile.hatena.ne.jp/kinneko/ 2019年10月から平日は毎日趣味の技術ネタを書き続け 760記事以上になってる.支援者募集中! kinneko.fanbox.cc

3.

現在のお仕事: 自前のマルチクラウド分散マイクロサービス群 160k台から毎分数回受信・応答・中継 八年くらいサービス無停止 メンバーインスタンスは自由に増減可 ここ何年かは、AWSやAzureを使った 160万台規模のIoTシステムを開発運用 MLとか可視化などの雑用も

4.

・転職先募集中! AWSのSAには書類審査で落ちた... いきなりSA無理だろwww 好きなOLP (Our Leadership Principles) Frugality(倹約・節約) 好きなAWSサービスは「ない」... インフラ屋なので中見えない隠蔽系サービスは全部嫌い!

5.

薄い本の宣伝 薄い本をいろいろ書いています マイコン工作、3Dプリント、 セキュリティ、ロボットなど Booth頒布のほか 同人イベント等に出しています ㅤkinneko.booth.pm 雑誌記事とか Web媒体とか 監修とか 書籍プロデュースとか やってきたけど、苦労に比べて 身入りがアホらしい

6.

IT業界を歩いていると、 突然クマに遭遇することがあります

7.

ちょっとアカウントも増えてきたので、 証跡保管なんとかしてくれよ。

8.

なんか、Control Towerとかいうの 入れると簡単みたいですよ 東京にも設定できるようになったし

9.

損保ジャパンの 導入事例でも NRIの中の人が 社内説明用の 資料作成が たいへんと言ってた 運用とか大きく変わってしまうし 説明とかに資料いるわな...

10.

運用とか大きく変わってしまうし 説明とかに資料いるわな... なんだこの ボリューム... この経験、 なんかもったいない

11.

「AWS Control Towerの薄くない本」 只今執筆中: 書き終わったところから順次公開 いまんこと500ページ越えてて 終わったの327ページくらい しかし、完成しないかも... (内容は入門的なものです)

12.

新し目のサービスは、 どんどん変わる... https://aws.amazon.com/jp/new/

13.

https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-single-sign-on-aws-sso-now-aws-iam-identity-center/ いやいや、 IAMには Identity 入ってるし...

14.

https://aws.amazon.com/jp/about-aws/whats-new/2022/12/aws-security-hub-integrates-aws-control-tower/ ガードレール どこいった...

15.

相変わらず AWS語は 何ができるか 読んでも まったく わからん... https://aws.amazon.com/jp/about-aws/whats-new/2023/01/controls-management-aws-control-tower/

16.

「AWS Control Towerの薄くない本」 執筆はほぼ終わっているのだけど 画面変わったり 機能変わったり 苦労が絶えない 修正中に加筆してしまって どんどんページ数が長くなる... オラに力を分けてくれ!

17.

発展途上のAWSサービスについての本を 書くとか無謀で徒労です。 やめましょうとしか言えない。 そしてあんまり必要のある人がいないので 売れないw

18.

・薄くない本の姉妹編 「AWS Control Towerを始める前に マッサラのアカウントにやっておく 準備の薄い本」も頒布中 薄くない本を補完する内容なので、 いっしょによろしく!

19.

本日のお仕事終了〜 あとはオマケ!

20.

じゃなかった、ここから本題

21.

・AWS Control Towerは 既存サービスを組み合わせたメタサービス 最初は証跡保管とガードレールによる セキュリティ保護がメイン機能だったようですが 最近はアカウントの統合管理押しになっている AWSの中でもポジションが フラフラしている感じの新し目のサービス 2019年6月〜(東京リージョン対応は2021年4月)

22.

機能:複数のAWSアカウントの統合管理 · AWSアカウントの作成と削除 · クレカ登録なしにアカウント作成 · 決済の集約 · AWSアカウントのグループ化 · 使用リージョンの制限 · セキュリティルールの強制と逸脱管理 · サインインとAPI実行証跡の保管 · IAMでの個別アカウント管理からの解放 等々

23.

状態情報の表示 アカウントの作成 -> Account Factory アカウントの更新・管理を解除 -> Organizations 組織単位の追加・再登録・削除 -> Organizations アカウントの作成 -> Service Catalog -> CloudFormation StackSet 新しいアカウント用の VPC 設定オプション -> CFn SS? -> SCP? メタサービスは 使われる機能の 事前知識が必要で 色々めんどくさい ガードレール -> Service Catalog -> CloudFormation StackSet 監視 -> Security Hub (発見的コントロール) フェデレーションアクセス管理 -> IAM Identity Center ユーザー ID 管理 -> IAM Identity Center 管理 -> (組織->アカウント) -> Organizations ベースラインの設定 -> CloudFormation StackSet アカウントリンク -> (組織->アカウント) -> Organizations ベースラインの設定 -> CloudFormation StackSet アカウントリンク -> (組織->アカウント) -> Organizations ベースラインの設定 -> CloudFormation StackSet バージョン、設定、廃止 -> CloudTrail, S3, KMS リージョン -> CloudFormation StackSet -> SCP? ログ表示 -> Cloud Trail? CloudWatch?

24.

AWS Control Towerを 理解するためには 地図がいる

25.

Security OU マスターアカウント(Control Towerを導入するアカウント) Audit アカウント Log アカウント Log メンバーアカウント Organization UNIT AWS Control Towerを 理解するための地図 途中で挫折... Account Factory ガードレール 適用管理 管理 コントロール ライブラリ Organizations OU, 監視 IAM Identity Center IAM Role CFn アカウント作成 CFn アカウント除外 SCP, IAM 削除は手動 CFn ガードレール設定・監視 CFn ガードレール設定・監視 Security HUB Cloud Trail KMS ?

26.

Q: なんでこんな面倒くさい機能を 使う必要があるの?

27.

A: ちょっと昔のことを思い出してください

28.

AWSアカウントの牧歌的な頃 ・AWSアカウント作ってサービス開始 rootアカウント IAMユーザー(管理者兼開発者) VPC1つEC2などでサービス1つ

29.

!"#$%"&' (")*% 0%

30.

AWSアカウントの牧歌的な頃 楽ちんで便利なんで、 サービスいろいろ増やしてみる IAMユーザーも増やしてみる なんかゴチャゴチャしてきたな...

31.

!"#$%"&' (")*% 10%

32.

AWSアカウントの牧歌的な頃 せめてVPCは分けようよ VPCもう作れないって言われた... Lambdaの同時実行数だいじょうぶかな... サービスクォータの上限緩和申請しなきゃ...

33.

!"#$%"&' (")*% 30%

34.

AWSアカウントの牧歌的な頃 経費管理区別しにくくなったし、 タグ付けて! デプロイはタグの都合でCFn使ってね! どうせならCI/CDもやっとく? なんか関係者増えたし、 自動化したらIAM増えてきたな...

35.

!"#$%"&' (")*% 40%

36.

AWSアカウントの牧歌的な頃 なんだかゴチャゴチャしてきたし、 もう、AWSアカウント増やそうぜ! クレカ登録めんどくさいなぁ...

37.

!"#$%"&' (")*% 60%

38.

AWSアカウントの牧歌的な頃 ・あのサービスって、 どのアカウントでサインインするんだ? ・このIAMユーザーって必要だっけ? ・新入社員に仕事引き継ぐよ〜,権限は... ・あいつ会社辞めるってよ〜 ・管理できてねーじゃん。 セキュリティ大丈夫なの? ・カード決済増えてきて、 どれがどれだか...

39.

!"#$%"&' (")*% 80%

40.

AWSアカウントの牧歌的な頃 混乱してきた... AssumeRole(スイッチロール)して IAMアカウント整理するよ... ここまでやるならOrganizationsと IAM Identity Centerでよくね?

41.

!"#$%"&' (")*% 90%

42.

AWSアカウントの牧歌的な頃 なんかAWSでベストプラクティスは、 1アカウント、1サービスとか 言っているのだけどなぁ...

43.

!"#$%"&' (")*% 100%

44.

すると天使が舞い降りてきました! わたしを入れれば 幸せになるよ! !"#$%"&'(")*%

45.

こうして開発チームは 末長く幸せに暮らしましたとさ めでたしめでたし !"#$%"&'(")*%

46.

んなわけあるかい... どっちかというと... !"#$%"&'(")*%

47.

力技で 少しは楽に してあげるわよ !"#$%"&'(")*%

48.

悪魔の誘惑だけど 入れないよりはだいぶんマシ!

49.

入れないよりはだいぶんマシ! 新規のAWSアカウント作成がすぐできる! アカウント用のメールアドレスはまだ必要だけどな...

50.

入れないよりはだいぶんマシ! AWSアカウント削除が気軽にできる 課金サービス残り的な後腐れなし! アカウント用のメールアドレスは再利用できないけどな... 消えるまでに90日かかるけどね...

51.

入れないよりはだいぶんマシ! ユーザー管理が楽で複数MFAを強制できる SSOが使えるのでユーザーは大喜び! 複数MFA対応はrootやIAMでも、こないだ可能になったけどな... アカウントや権限増えるとリスト長くて検索キーないとたいへんだけどな... んでもって、yubikey高いけどな...

52.

入れないよりはだいぶんマシ! 使えるリージョンを強制できる 未対応リージョンの扱いは面倒だけどな...

53.

入れないよりはだいぶんマシ! 使えるリージョンを強制できる 未対応リージョンの扱いは面倒だけどな... AWSの営業やSAを見かけたら、 「大阪リージョンの対応まだですか?」と毎回言うべし!

54.

入れないよりはだいぶんマシ! アカウント利用とAPI利用の証跡を保管できる 保管するだけで、利用については別に考えないといけないのだけどね...

55.

悪魔の約束 「力技で少しは楽に してあげるわよ」

56.

悪魔の約束だもの... ・AWSの中の人には使いにくい エバンジェリストやSAは 専用のOrganizations配下の アカウント利用なので使えない AWS謹製の日本語解説記事が増えない...

57.

悪魔の約束だもの... ・新しく作ったAWSアカウントでは ㅤEC2を一定時間起動した実績がないと AWS Control Towerの実行がエラーに...

58.

悪魔の約束だもの... 用語が不統一 「OU」なのか 「組織単位」なのか 「組織」なのかはっきりして! みたいなことがあちこちにある...

59.

悪魔の約束だもの... OU操作は AWS Control Tower側では ほとんど何もできない AWS Organizationsで操作する必要あり

60.

悪魔の約束だもの... ・AWS IAM Identity Centerにユーザー登録すると AWS SSOの登録メールがやってきます 細かいところだけど、不整合を中の人は気にしなさすぎ 2月に「Invitation to join AWS Single Sign-On」が 「Invitation to join IAM Identity Center (successor to AWS Single Sign-On)」に変わっていたよ。 AWSの中の人の中にも、不整合を気にする人は いるんだな... (もっとちゃんとやって) #AWS疲れ

61.

悪魔の約束だもの... ・プリインされるAuditアカウントの 使い方がよくわからない ベストプラクティス出してほしいわ... ん?各種セキュリティ機能の委任は 自分でやるの?

62.

悪魔の約束だもの... ・既存アカウントを取り込むの 一時的に無条件にできたのに いまはできなくなりました AWSサイドは変わってないといってます... サポート契約費かえして... (登録とOUの再登録では動きが違う結論)

63.

悪魔の約束だもの... ・デフォルトで適用されてない ガードレールが多すぎて どれ使っていいかわからん! というか、ガードレールどこいった?

64.

悪魔の約束だもの... これが消せない... rootアクセスするためには、 パスワードを再発行しないといけない...

65.

悪魔の約束だもの... AWSアカウント削除しても、 access portalから消えないのよ... Identity Centerからはもう見えないし。 間違ってサインインしてしまうと、 削除が無効になってしまうじゃないの。 どうやって管理したらいいのよ... (12h後には消えてましたよ、ええ。 結果整合性というやつですね。)

66.

悪魔の約束だもの... 「認証コードの受け取り方法」が 選択肢に表示されない... Organizations引っ越す時にいるんですよ... サポートチケット切って、手動対応になりました

67.

悪魔の約束だもの... 頻出する謎のメッセージ...

68.

悪魔の約束だもの... AWSは前進していると思うよ。 でも、細かいところは もうちょっと整合性に配慮しようよ。

69.

いろいろ苦労はしますが、 悪魔の助けは借りたほうが幸せ... になれるかもしれませんw

70.

- 今日おぼえてほしい、たった1つのこと - AWSの営業やSAを見かけたら、 「AWS Control Towerの 大阪リージョンの対応まだですか?」 と毎回言うべし!

71.

「AWS Control Towerの 大阪リージョンの対応まだですか?」 わたしの好きな言葉です

72.

Powerd by 背景画像は"DALL·E 2"で生成しました。いらすと屋さんも使っています。 Fontは「バナナスリップPlus」と「BM Kirang Haerang」を使用。

73.

おしまい