Weitere ähnliche Inhalte Ähnlich wie AWS Organizations (20) Mehr von Serverworks Co.,Ltd. (20) AWS Organizations11. 組織機能の有効化(すべての機能 or ⼀括請求機能)
すべての機能
この機能セットは AWS Organizations を使⽤するにあたって推奨され、⼀括請
求機能が含まれています。組織を作成する際、デフォルトではすべての機能が有
効化されています。すべての機能が有効になっていると、サービスコントロール
ポリシー (SCP) およびタグポリシーなどの AWS Organizations で利⽤できる
⾼度なアカウント管理機能を使⽤できます。
⼀括請求機能
すべての組織ではこの機能サブセットがサポートされ、これによって組織内のア
カウント管理を⼀元化するために使⽤できる基本的な管理ツールが提供されます。
11
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_org_support-all-features.html
従来のConsolidated Billingと同じ
Organizationsの機能をフルに使うにはこちら
18. SCPで実現できることの例
例 1: ユーザーによる AWS CloudTrail の無効化を禁⽌する
例 2: ユーザーによる Amazon CloudWatch の無効化または設定の変更を禁⽌する
例 3: ユーザーによる Amazon VPC フローログの削除を禁⽌する
例 4: ユーザーによる AWS Config の無効化またはルールの変更を禁⽌する
例 5: インターネットアクセスに接続されていない VPC を使⽤した取得を禁⽌する
例 6: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する
例 7: IAM プリンシパルで特定の変更ができないようにする
例 8: IAM プリンシパルで管理者を除き、特定の変更ができないようにする
例 9: Amazon S3 バケットにおける暗号化を必要とする
例 10: 指定するタイプを使⽤するよう Amazon EC2 インスタンスに要求する
例 11: Amazon EC2 インスタンスを停⽌するよう MFA に要求する
例 12: ルートユーザーの Amazon EC2 へのアクセス制限する
例 13: リソース作成時にタグをリクエストする
18
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example-scp-restricts-with-exception
19. 例 1: ユーザーによる AWS CloudTrail の無効化を禁⽌する
cloudtrail:StopLoggingのみを禁⽌
19
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "cloudtrail:StopLogging",
"Resource": "*"
}
]
}
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_1
20. 例 8: IAM プリンシパルで管理者を除き、特定の変更ができな
いようにする
Conditionで特定のPrincipalを例外として扱う
20
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAccessWithException",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::*:role/role-to-deny"
],
"Condition": {
"StringNotLike": {
"aws:PrincipalARN":"arn:aws:iam::*:role/role-to-allow"
}
}
}
]
} https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example-scp-restricts-with-exception
23. タグポリシーの例
23
{
"tags": {
"Project": {
"tag_value": [
"A",
"B"
],
"tag_key": "Project"
},
"CostCenter": {
"tag_value": [
"Production",
"Test"
],
"tag_key": "CostCenter"
}
}
}
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-tag-policies.html
27. アカウントの作成
2. メールを2通受信する
Your AWS Account is Ready - Get Started Now
Welcome to Amazon Web Services
3. ルートのパスワードが不明なのでリセットする
27
「12 か⽉間の無料利⽤枠を利⽤して試し
てみよう」的なことが記載されているが、
基本的に無料利⽤枠は使えません。
(理由は後述)
29. AWS利⽤料⾦への影響
組織内のすべてのアカウントを 1 つのアカウントとして扱う
Reserved Instance / Savings Plans(Good)
組織内のすべてのアカウントは、他のアカウントで購⼊したReserved Instance /
Savings Plansのコスト利点を受けることができる(割引共有を無効にすることも可
能)
ボリューム割引(Good)
データ転送や Amazon S3 などのいくつかのサービスには、特定の使⽤状況ディメ
ンションにわたってボリューム料⾦階層があり、サービスを多く利⽤するほど価格が
低くなります。すべてのアカウントの使⽤量を合算し、適⽤すべきボリューム料⾦階
層を決定するため、請求総額を低くできる。
無料利⽤枠(Bad)
各アカウントごとには適⽤されない。組織で1枠だけ。
29
33. 信頼できる組織アクセス
タグポリシー
AWS Artifact
AWS CloudFormation StackSets
AWS CloudTrail
AWS コンピューティングオプティマイザー
AWS Config
AWS Directory Service
AWS Firewall Manager
AWS License Manager
AWS Resource Access Manager
AWS Service Catalog
AWS Single Sign-On
AWS Systems Manager
33
対応サービス 必要に応じて有効化
50. AWS Single Sign-On / AWS Firewall Manager
50
https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/prereqs.html
https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/fms-prereq.html
52. AWS Control Tower
サービス概要
AWS Service Catalog、AWS シングルサインオン、AWS Organizations など、
を裏で利⽤して、コンプライアンス的に⾃動的にイケてるマルチアカウント構成
を作れるサービス
利⽤制限
現在は新規のアカウントでしか利⽤できない。既にいろいろ使っている場合は移⾏で
きないらしい。
52
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/getting-started-with-control-tower.html
58. S3バケット構成例
Source Bucket PATH
GuardDuty awslogs-guardduty-<account-id> /AWSLogs/<account-id>/GuardDuty/<region>/YYYY/MM/DD/〜.jsonl.gz
VPC Flowlogs awslogs-vpcflowlogs-<account-id> /AWSLogs/<account-id>/vpcflowlogs/<region>/YYYY/MM/DD/〜.log.gz
CloudTrail awslogs-cloudtrail-<account-id> /<organization-id>/<account-id>/CloudTrail/<region>/YYYY/MM/DD/〜.json.gz
/<organization-id>/<account-id>/CloudTrail-Digest/<region>/YYYY/MM/DD/〜.json.gz
AWS Config awslogs-config-<account-id> /AWSLogs/<account-id>/Config/<region>/YYYYY/MM/DD/ConfigHistory/〜.json.gz
/AWSLogs/<account-id>/Config/<region>/YYYYY/MM/DD/ConfigSnapshot/〜.json.gz
Inspector awslogs-inspector-<account-id> /AWSLogs/<account-id>/Inspector/<region>/
58
• アカウントID、リージョン名で、階層化されていれば、上書きされる⼼配が無い。
• Inspector、GuardDuty、VPC Flowlogs等は、Organizationsと関係がないので個別設定になるが、
CloudFormation StackSetsで設定
59. Security Hubの存在
セキュリティ系ログはSecurity Hubに集約してログ出⼒も考えられる
GuardDuty -> EventBridge -> SNS、S3(via Firehose)
GuardDuty 結果形式で出⼒される
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding
-format.html
GuardDuty -> Security Hub -> EventBridge -> SNS、S3(via Firehose)
AWS Security Finding 形式で出⼒される
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhu
b-findings-format.html
59
62. AWS Single Sign-Onを使う
62
実施すること
• 踏み台アカウントでユーザー
を⼀元管理する
(IAMユーザーは作成しない。
AWS SSO・もしくはActive
Directoryのユーザーを利⽤)
利点
• IAMユーザーの追加・削除など
を1箇所で⾏うことができる。
※ この⽅式では、ユーザーの権
限管理もマスターアカウントで⾏
う。