aws re:invent 2016 security follow up aws organizations
TRANSCRIPT
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
桐山 隼人
セキュリティ ソリューション アーキテクト
アマゾン ウェブ サービス ジャパン 株式会社
2016年12月21日
AWS re:Invent 2016 Security Follow Upセキュリティ新サービス紹介① AWS Organizations 他
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations サービス概要
複数アカウントの一元管理
AWSアカウント管理の自動化
請求の簡素化
アプリケーション、環境、チーム毎のグループ化
グループポリシー適用
コンソール、SDK、CLIでの管理操作
全ての管理操作のロギング(CloudTrail)
複数アカウントの一括請求(Consolidated Billing)
CBファミリーの自動移行
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
主要なコンセプト用語 説明
組織 一元管理可能な複数AWSアカウントのセット
AWSアカウント Organizationsで管理する最小単位 IAMの統制下で、AWSリソースへアクセス
マスターアカウント 組織内の他アカウントの作成・招待・削除 組織コントロールポリシーの適用 組織における支払いアカウント
組織単位 (OU) 複数のAWSアカウントのグループ 更に細かい単位にネストして管理可
管理用ルート 組織単位(OU)の階層化の開始点
組織コントロールポリシー(OCP)
適用するコントロールを定義する 1 つ以上のステートメントが記述されたドキュメント
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations の構成例
開発環境 テスト環境 本番環境
A1 A2
A3A4
A5A6
A7 A8
A9
組織 管理用ルート
OCP
OCP
OCP
MA
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
組織の作成
MA
server:~$ aws organizations create-organization --mode FULL_CONTROL
マスターアカウントは組織の支払いアカウントになるので慎重に選択
CLIからFull_Controlモードで作成する例:
モードにはFull_ControlとBillingの2種類がある
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:組織の作成
組織
MA
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSアカウントの自動作成
新しいアカウントはマスターアカウントからのみ作成される
作成時に必要な情報: Eメールアドレス (必須) アカウント名 (必須) IAMロール名 (必須)
デフォルト名 : OrganizationAccountAccessRole BillingへのIAMユーザーアクセス (任意)
作成されたアカウントは自動的に組織のメンバーアカウントになる
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
既存AWSアカウントの組織への招待
招待はマスターアカウントからのみ行える
招待されたアカウントは、受ける(Accept)か断る(Decline)か選択 デフォルトは Decline
招待をアカウントした場合: そのAWSアカウントは組織のメンバーアカウントになる その時点で適用されるべきOCPが自動的に適用される
CLIから既存AWSアカウントを招待する例:
server:~$ aws organizations invite-account-to-organization --target [email protected],type=EMAIL
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:アカウントの追加
A1 A2
A3A4
A5A6
A7 A8
A9
組織
MA
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSアカウントのグループ化
管理しやすいようにAWSアカウントを組織単位(OU)にグループ化 アプリケーション 環境 チーム
AWSアカウントは複数のOUに所属できる
OUのメンバーになれるのはAWSアカウント
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:AWSアカウントのグループ化
開発環境 テスト環境 本番環境
A1 A2
A3A4
A5A6
A7 A8
A9
組織 管理用ルート
MA
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
組織コントロールポリシー (OCP)
適応すべきコントロールを記述したもの
ユースケースごとに異なる種類のOCPが使用される
OCPが適用される対象: 組織全体 組織単位(OU) AWSアカウント
組織の階層構造に基づいて継承される
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
構成例:OCPの適用
開発環境 テスト環境 本番環境
A1 A2
A3A4
A5A6
A7 A8
A9
組織 管理用ルート
OCP
OCP
OCP
MA
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー (SCP)
OCPの一種。AWSリソースやAPIへのアクセス制限を実現 呼び出しを許可するAPIを定義 – ホワイトリスト 呼び出しを禁止するAPIを定義 – ブラックリスト
ローカルの管理者からは上書きできない
必要条件だが十分条件ではない IAMユーザーやロールの権限は、SCPと割り当て済みIAM権限の共有項
IAMポリシーシミュレーターはSCPにも利用可能
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
請求の簡素化
全てのAWSアカウントに対する唯一の支払いアカウント
組織内のAWSアカウントの全ての課金が、一つの請求とボリューム価格にまとめられる
既存の一括請求(Consolidated Billing)ファミリーは、BillingモードでAWS Organizationsに移行される
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
管理レベルの選択
新しい組織を作成する時は、どちらのモードで作成するかを選択
Billing モード 現行の一括請求(CB)との互換性あり FinancialコントロールのOCPのみ管理可 一括請求(CB)ファミリーからの組織作成は自動でBillingモード
Full_Control モード Billingモードを包含 あらゆる種類のOCPを管理可 BillingモードからFull_Controlモードへの変更は組織内の全ての
AWSアカウントの同意が必要
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ユースケース
ヘルスケア業界の規制に準拠したソフトウェアをAWS上で稼働 限られたAWSサービスでのみ情報を処理・保管・転送する必要あり
本番環境(Production)では規制に基づいた統制 開発者(Developer Research)は業務上、他のAWSサービスを試す必要がある
この組織が本番環境で利用可能なAWSサービス:DynamoDB, Glacier, EMR, RDS, EC2, S3
開発者にアクセス許可させるAWSサービス:Redshift, Lambda, Kinesis
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー(SCP) の適用
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービスコントロールポリシー(SCP) の継承
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Organizations の AWS SA ブログ
http://aws.typepad.com/sajp/2016/12/announcing-aws-organizations-centrally-manage-multiple-aws-accounts.html
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
コンプライアンスプログラムのAWS対象サービス
https://aws.amazon.com/jp/compliance/services-in-scope/
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!
桐山 隼人
セキュリティ ソリューション アーキテクト
アマゾン ウェブ サービス ジャパン 株式会社