Route 53 Resolver エンドポイントとVPCエンドポイントを集約してみた | DevelopersIO

マルチアカウント環境におけるAmazon Route 53 Resolver エンドポイントの集約構成（複数リージョン対応） | DevelopersIO

AWS Organizations を使ったマルチアカウント構成・OU 設計を学ぶリンク集 | DevelopersIO

AWS Organizations を使ったマルチアカウント構成・OU 設計を学ぶのに役立つリンクを集めました。

AWS Control TowerのメンバーアカウントをTerraformで作成する [Not AFT] | DevelopersIO

[レポート] Netflixの大規模なマルチアカウントの旅：2年目 #AWSReInvent #NFX402 | DevelopersIO

[セッションレポート] 労働力不足の現場を救う！「京セラロボティックサービス」を支えるクラウド基盤の開発ストーリー #AWSSummit | DevelopersIO

AWS Summit Japan 2024の弊社クラスメソッドのパートナーセッションにて、弊社が長年ご支援させていただいている京セラ株式会社のロボティクス事業部の巽様にご登壇いただきました。セッション内容をレポートします。

マルチアカウント環境におけるAWS IAM Access Analyzerの構成、通知方法、運用について考えてみた | DevelopersIO

はじめに マルチアカウント環境でのAWS IAM Access Analyzerの構成や通知方法、運用についてまとめました。 前提として、アナライザーは無料の外部アクセス検出のみを利用します。有料である未使用アクセスの検出用アナライザーは作成しません。 本ブログの内容は、あくまでも一つの参考例としてお考えください。 マルチアカウントの運用は、各組織の事情によって異なりますので、ご自身の環境に合わせて適宜アレンジしてください。 アナライザー導入前のマルチアカウント構成 AWS Security Hubはリージョンごとに集約済み 参考記事：https://dev.classmethod.jp/articles/securityhub-region-aggregation-update/ Security HubはAWS Organizationsと統合済みです。本構成ではメンバーアカウントに委任はしていません。 参考記事：https://dev.classmethod.jp/articles/security-hub-integrates-organizations/ 以下のアカウント構成を想定しています。 管理アカウント(AWS Organizationsの管理アカウント） メンバーアカウント（管理アカウントを除く、組織内のアカウント） IAM Access Analyzerの外部アクセス検出とは IAM Access Analyzerの外部アクセス検出は、アカウント内のリソースにアタッチされているポリシーをチェックし、他のAWSアカウントや組織外からアクセス可能かどうかを検出する機能です。 アナライザーはリージョンごとに作成する必要があります。 アナライザーの作成時に選択した組織やアカウントを信頼ゾーンとし、その内部でのリソース共有は安全と見なされます。 一方、アナライザーと同じリージョン内のリソースが、信頼ゾーン外のプリンシパル（IAMユーザ・IAMロール・リソースなど）からアクセス可能な場合、アナライザーは外部アクセスを検出し、結果(Findings)を生成します。 この機能により、意図しない外部へのアクセス許可を特定し、セキュリティリスクを軽減できます。 IAM Access Analyzerの他の機能も含めて詳細は、以下の記事をご参照ください。 管理アカウントとメンバーアカウントでの信頼ゾーン アナライザーを作成する際、管理アカウントとメンバーアカウントで選択できる信頼ゾーンは異なります。 管理アカウントがアナライザーを作成する場合、設定する信頼ゾーンは以下から選択できます。 組織（Organizations内のアカウント全体） アカウント（管理アカウントのみ） 組織を選択した場合、管理アカウントも含め組織内の全てのアカウントが分析対象です。 一方、個別アカウントを選択した場合、文字通り、1アカウントが分析対象です。 メンバーアカウントがアナライザーを作成する場合、設定する信頼ゾーンは以下のみです。（管理アカウントからの委任はしていないと仮定） アカウント（作成するアカウントのみ） 信頼ゾーンが組織とアカウントでの違い アナライザーの信頼ゾーンが組織とアカウントによる違いについて説明します。 信頼ゾーンが組織 信頼ゾーンが組織の場合、組織内の全アカウントのプリンシパルによるリソースへのアクセスは信頼ゾーンに含まれます。 そのため、リソースに対して、組織外のアカウントのプリンシパルにアクセス許可を付与した場合のみ、検出結果が生成されます。 例えば、アナライザーと同じアカウントが所有するS3バケットに対して、組織内の別のアカウントのIAM ロールにアクセス許可を付与するため、S3バケットのバケットポリシーにアクセス許可を追加したとします。この場合、アナライザーは結果を生成しません。 一方、組織外のアカウントのプリンシパルにアクセス許可を付与した場合は、アナライザーが検出結果を生成します。 例に挙げているS3バケットのバケットポリシーでプリンシパルの設定方法については、以下の記事をご確認いただくとイメージがしやすいです。 信頼ゾーンがアカウント 信頼ゾーンがアカウントの場合、アカウント内のプリンシパルによるリソースへのアクセスは信頼ゾーンに含まれます。 そのため、アナライザーと同じアカウントのリソースに対して、他のAWSアカウントや同じ組織内の別のアカウントのプリンシパルにアクセス許可を付与した場合、検出結果が生成されます。 例えば、アナライザーと同じアカウントが所有するS3バケットに対して、組織内の別のアカウントのIAM ロールにアクセスを許可するため、S3バケットのバケットポリシーにアクセス許可を追加したとします。この場合、アナライザーは結果を生成します。 組織外のアカウントも同様に結果を生成します。 信頼ゾーンが組織とアカウントの違いのまとめ 信頼ゾーンが組織の場合、組織内の全アカウントのプリンシパルによるアクセスは信頼され、組織外のプリンシパルに対するアクセス許可のみが検出されます。 一方、信頼ゾーンがアカウントの場合、そのアカウント内のプリンシパルによるアクセスのみが信頼され、他のアカウント（同じ組織内のアカウントを含む）のプリンシパルに対するアクセス許可が検出されます。 以上のアナライザーの信頼ゾーンによって、検知基準が異なる点を踏まえた上で構成を考えました。 構成 マルチアカウント環境におけるIAM Access Analyzerの構成は、以下の2つが考えられます。 管理アカウントのみ、信頼ゾーンが組織のアナライザーを作成し、メンバーアカウントにはアナライザーを作成しない。 管理アカウントを含め各アカウントごとに、信頼ゾーンがアカウントのアナライザーを作成する。 それぞれの構成の内容やメリット・デメリットを説明します。 前提として、IAM Access Analyzerは、AWS Security Hubと統合済みとします。 Security Hubのコンソール画面からIAM Access Analyzerと統合可能です。 1. 管理アカウントのみアナライザーを作成 以下の構成になります。 管理アカウントのリージョン毎にアナライザーを作成します。 管理アカウントも含め組織内の全てのアカウントが分析対象です。 検知結果は、管理アカウントの集約リージョンのSecurity Hubに集約されるため、集約リージョンのSecurity Hub上で、組織内の全アカウントの検知結果が確認できます。 メリット 「2. 各アカウントにアナライザーを作成」と比較した場合のメリットは以下の通りです。 アナライザーとアーカイブルールは、管理アカウントのリージョンごとに作成するだけでよい 管理アカウント側から、全ての検知結果を確認やアーカイブ対応可能。 管理アカウント側から、検知から90日を経過した検知結果もアナライザーから確認できる アーカイブルールを利用することで、ルールの作成時に定義した基準を満たす新しい検出結果を自動的にアーカイブできます。 アナライザーやアーカイブルールは、管理アカウント側だけで作成するとよいので、管理が楽です。 また、検知結果を解決せずにアーカイブしたい場合、管理アカウント側から全ての検知結果に対して対応可能です。 ３点目のメリットに関しては、Security Hubでの結果は、最新の更新から90日後、または更新が行われない場合は、作成日から90日後に削除されてしまいます。 そのため、90日を経過した場合、Security Hub上からは見れなくなりますが、管理アカウントのアナライザーから確認できる点がメリットです。 デメリット メンバーアカウント側から、検知結果をアーカイブ対応できない。アーカイブルールも設定できない。 メンバーアカウント側から、コンソール上で検知結果が確認できない。 アナライザーは、管理アカウントで作成しているので、メンバーアカウント側からアーカイブ対応やアーカイブのルール設定ができません。 管理アカウント側でのみ対応できる点が、メンバーアカウント側から操作できないというメリットでもあり、柔軟性にかけるというデメリットでもあります。 ２点目のメリットに関しては、コンソール上では確認できませんが、検知結果をメンバーアカウントの担当者に通知することで、検知結果の共有はできます。通知方法については、次章「通知方法」で説明します。 2. 各アカウントにアナライザーを作成 以下の構成になります。 各アカウントに対して、リージョン毎にアナライザーを作成します。検知結果は、管理アカウントの集約リージョンのSecurity Hubに集約されます。 …

【AWS × Google Cloud】2大クラウドのIAMやポリシー、組織（Organizations）周りの構造を簡単に整理してみました | DevelopersIO

誤解を恐れずに言うと、Google Cloud 組織やAWS Organizationsは、「筋トレ目線」で話す場合、人間でいうところの「脳みそ」であり、「身体（四肢や体幹）」が部署単位で分かれたフォルダやOU、そして一つ一つの「筋繊維」がプロジェクトや子アカウントになると私は思います。

「組織におけるAWSネットワーク集約王者決定戦」というタイトルで登壇しました #まるクラ勉強会 | DevelopersIO

2024/5/15に開催されたまるクラ勉強会 ONLINE #02 - AWS&Google Cloudの環境分離戦略編 -というイベントに、「組織におけるAWSネットワーク集約王者決定戦」というタイトルで登壇しました。

【登壇】Google Cloudを組織（企業）で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会 | DevelopersIO

「Google Cloudの環境分離戦略編」と「健康」について話してきた内容をブログにします。