© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

桐山 隼人

セキュリティ ソリューション アーキテクト

アマゾン ウェブ サービス ジャパン 株式会社

2016年12月21日

AWS re:Invent 2016 Security Follow Upセキュリティ新サービス紹介① AWS Organizations 他

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS Organizations サービス概要

複数アカウントの一元管理

AWSアカウント管理の自動化

請求の簡素化

アプリケーション、環境、チーム毎のグループ化

グループポリシー適用

コンソール、SDK、CLIでの管理操作

全ての管理操作のロギング(CloudTrail)

複数アカウントの一括請求(Consolidated Billing)

CBファミリーの自動移行

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

主要なコンセプト用語 説明

組織 一元管理可能な複数AWSアカウントのセット

AWSアカウント Organizationsで管理する最小単位 IAMの統制下で、AWSリソースへアクセス

マスターアカウント 組織内の他アカウントの作成・招待・削除 組織コントロールポリシーの適用 組織における支払いアカウント

組織単位 (OU) 複数のAWSアカウントのグループ 更に細かい単位にネストして管理可

管理用ルート 組織単位(OU)の階層化の開始点

組織コントロールポリシー(OCP)

適用するコントロールを定義する 1 つ以上のステートメントが記述されたドキュメント

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS Organizations の構成例

開発環境 テスト環境 本番環境

A1 A2

A3A4

A5A6

A7 A8

A9

組織 管理用ルート

OCP

OCP

OCP

MA

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

組織の作成

MA

server:~$ aws organizations create-organization --mode FULL_CONTROL

マスターアカウントは組織の支払いアカウントになるので慎重に選択

CLIからFull_Controlモードで作成する例：

モードにはFull_ControlとBillingの2種類がある

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

構成例：組織の作成

組織

MA

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWSアカウントの自動作成

新しいアカウントはマスターアカウントからのみ作成される

作成時に必要な情報： Eメールアドレス (必須) アカウント名 (必須) IAMロール名 (必須)

デフォルト名 : OrganizationAccountAccessRole BillingへのIAMユーザーアクセス (任意)

作成されたアカウントは自動的に組織のメンバーアカウントになる

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

既存AWSアカウントの組織への招待

招待はマスターアカウントからのみ行える

招待されたアカウントは、受ける(Accept)か断る(Decline)か選択 デフォルトは Decline

招待をアカウントした場合： そのAWSアカウントは組織のメンバーアカウントになる その時点で適用されるべきOCPが自動的に適用される

CLIから既存AWSアカウントを招待する例：

server:~$ aws organizations invite-account-to-organization --target id=data.processing.prod@example.corp,type=EMAIL

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

構成例：アカウントの追加

A1 A2

A3A4

A5A6

A7 A8

A9

組織

MA

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWSアカウントのグループ化

管理しやすいようにAWSアカウントを組織単位(OU)にグループ化 アプリケーション 環境 チーム

AWSアカウントは複数のOUに所属できる

OUのメンバーになれるのはAWSアカウント

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

構成例：AWSアカウントのグループ化

開発環境 テスト環境 本番環境

A1 A2

A3A4

A5A6

A7 A8

A9

組織 管理用ルート

MA

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

組織コントロールポリシー (OCP)

適応すべきコントロールを記述したもの

ユースケースごとに異なる種類のOCPが使用される

OCPが適用される対象： 組織全体 組織単位(OU) AWSアカウント

組織の階層構造に基づいて継承される

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

構成例：OCPの適用

開発環境 テスト環境 本番環境

A1 A2

A3A4

A5A6

A7 A8

A9

組織 管理用ルート

OCP

OCP

OCP

MA

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

サービスコントロールポリシー (SCP)

OCPの一種。AWSリソースやAPIへのアクセス制限を実現 呼び出しを許可するAPIを定義 – ホワイトリスト 呼び出しを禁止するAPIを定義 – ブラックリスト

ローカルの管理者からは上書きできない

必要条件だが十分条件ではない IAMユーザーやロールの権限は、SCPと割り当て済みIAM権限の共有項

IAMポリシーシミュレーターはSCPにも利用可能

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

請求の簡素化

全てのAWSアカウントに対する唯一の支払いアカウント

組織内のAWSアカウントの全ての課金が、一つの請求とボリューム価格にまとめられる

既存の一括請求(Consolidated Billing)ファミリーは、BillingモードでAWS Organizationsに移行される

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

管理レベルの選択

新しい組織を作成する時は、どちらのモードで作成するかを選択

Billing モード 現行の一括請求(CB)との互換性あり FinancialコントロールのOCPのみ管理可 一括請求(CB)ファミリーからの組織作成は自動でBillingモード

Full_Control モード Billingモードを包含 あらゆる種類のOCPを管理可 BillingモードからFull_Controlモードへの変更は組織内の全ての

AWSアカウントの同意が必要

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ユースケース

ヘルスケア業界の規制に準拠したソフトウェアをAWS上で稼働 限られたAWSサービスでのみ情報を処理・保管・転送する必要あり

本番環境(Production)では規制に基づいた統制 開発者(Developer Research)は業務上、他のAWSサービスを試す必要がある

この組織が本番環境で利用可能なAWSサービス：DynamoDB, Glacier, EMR, RDS, EC2, S3

開発者にアクセス許可させるAWSサービス：Redshift, Lambda, Kinesis

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

サービスコントロールポリシー(SCP) の適用

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

サービスコントロールポリシー(SCP) の継承

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

AWS Organizations の AWS SA ブログ

http://aws.typepad.com/sajp/2016/12/announcing-aws-organizations-centrally-manage-multiple-aws-accounts.html

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

コンプライアンスプログラムのAWS対象サービス

https://aws.amazon.com/jp/compliance/services-in-scope/

© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

Thank you!

桐山 隼人

セキュリティ ソリューション アーキテクト

アマゾン ウェブ サービス ジャパン 株式会社