Enviar búsqueda
Cargar
AWS Organizations
•
1 recomendación
•
3,092 vistas
Serverworks Co.,Ltd.
Seguir
サーバーワークスの社内勉強会で発表した資料です。 (少し社外向けに修正してます)
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 64
Descargar ahora
Descargar para leer sin conexión
Recomendados
20191218 AWS Black Belt Online Seminar AWSのマネジメント&ガバナンス サービスアップデート
20191218 AWS Black Belt Online Seminar AWSのマネジメント&ガバナンス サービスアップデート
Amazon Web Services Japan
AWS Black Belt Online Seminar 2016 AWS CloudFormation
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
AWS Black Belt Online Seminar 2018 AWS Well-Architected Framework
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
Amazon Web Services Japan
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
202205 AWS Black Belt Online Seminar Amazon VPC IP Address Manager (IPAM)
Amazon Web Services Japan
多要素認証による Amazon WorkSpaces の利用
多要素認証による Amazon WorkSpaces の利用
Amazon Web Services Japan
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190130 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
20210330 AWS Black Belt Online Seminar AWS Glue -Glue Studioを使ったデータ変換のベストプラクティス-
20210330 AWS Black Belt Online Seminar AWS Glue -Glue Studioを使ったデータ変換のベストプラクティス-
Amazon Web Services Japan
Más contenido relacionado
La actualidad más candente
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
Amazon Web Services Japan
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
Amazon Web Services Japan
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
Amazon Web Services Japan
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
Amazon Web Services Japan
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
Amazon Web Services Japan
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
Amazon Web Services Japan
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
Amazon Web Services Japan
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
NTT DATA Technology & Innovation
AWS初心者向けWebinar AWSとのネットワーク接続入門
AWS初心者向けWebinar AWSとのネットワーク接続入門
Amazon Web Services Japan
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
Amazon Web Services Japan
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
Amazon Web Services Japan
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
Noritaka Sekiyama
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
Amazon Web Services Japan
20200811 AWS Black Belt Online Seminar CloudEndure
20200811 AWS Black Belt Online Seminar CloudEndure
Amazon Web Services Japan
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
20210316 AWS Black Belt Online Seminar AWS DataSync
20210316 AWS Black Belt Online Seminar AWS DataSync
Amazon Web Services Japan
La actualidad más candente
(20)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
AWS Black Belt Online Seminar 2017 AWS Storage Gateway
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20180509 AWS Black Belt Online Seminar Amazon GuardDuty
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AW...
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
AWS Black Belt Techシリーズ AWS Direct Connect
AWS Black Belt Techシリーズ AWS Direct Connect
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20191002 AWS Black Belt Online Seminar Amazon EC2 Auto Scaling and AWS Auto S...
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
20190319 AWS Black Belt Online Seminar Amazon FSx for Windows Server
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)
AWS初心者向けWebinar AWSとのネットワーク接続入門
AWS初心者向けWebinar AWSとのネットワーク接続入門
20220409 AWS BLEA 開発にあたって検討したこと
20220409 AWS BLEA 開発にあたって検討したこと
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
20190326 AWS Black Belt Online Seminar Amazon CloudWatch
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
202110 AWS Black Belt Online Seminar AWS Site-to-Site VPN
VPC Reachability Analyzer 使って人生が変わった話
VPC Reachability Analyzer 使って人生が変わった話
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20210119 AWS Black Belt Online Seminar AWS CloudTrail
20200811 AWS Black Belt Online Seminar CloudEndure
20200811 AWS Black Belt Online Seminar CloudEndure
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
20210316 AWS Black Belt Online Seminar AWS DataSync
20210316 AWS Black Belt Online Seminar AWS DataSync
Similar a AWS Organizations
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Yusuke Kodama
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
政雄 金森
20180613 AWS Black Belt Online Seminar AWS Cloud9 入門
20180613 AWS Black Belt Online Seminar AWS Cloud9 入門
Amazon Web Services Japan
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
Amazon Web Services Japan
AWS で Presto を徹底的に使いこなすワザ
AWS で Presto を徹底的に使いこなすワザ
Noritaka Sekiyama
Azureをフル活用したサーバーレスの潮流について
Azureをフル活用したサーバーレスの潮流について
真吾 吉田
Introduction to New CloudWatch Agent
Introduction to New CloudWatch Agent
Noritaka Sekiyama
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
Data Lake Security on AWS
Data Lake Security on AWS
Amazon Web Services Japan
[AWSマイスターシリーズ] AWS SDK for Java / .NET
[AWSマイスターシリーズ] AWS SDK for Java / .NET
Amazon Web Services Japan
[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation
Amazon Web Services Japan
MSPとしてのオペチー向けReadOnly IAMポリシー
MSPとしてのオペチー向けReadOnly IAMポリシー
Makoto Miida
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Nobuhiro Nakayama
ユーザーからみたre:Inventのこれまでと今後
ユーザーからみたre:Inventのこれまでと今後
Recruit Technologies
AWSアカウントに関する不正使用を整理してみた
AWSアカウントに関する不正使用を整理してみた
Naoto Katsumi
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
Amazon Web Services Japan
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
SORACOM, INC
はじめてのBluemixでシングルサインオン ~ 希望編!
はじめてのBluemixでシングルサインオン ~ 希望編!
Kazumi IWANAGA
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
Amazon Web Services Japan
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
Amazon Web Services Japan
Similar a AWS Organizations
(20)
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
GoodBye AD FS - Azure Active Directory Only の認証方式へ切り替えよう!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
Serverless Meetup Tokyo #15 Amazon EventBridge スキーマレジストリ でイベントの扱いを簡単に!
20180613 AWS Black Belt Online Seminar AWS Cloud9 入門
20180613 AWS Black Belt Online Seminar AWS Cloud9 入門
[AWSマイスターシリーズ]Identity and Access Management (IAM)
[AWSマイスターシリーズ]Identity and Access Management (IAM)
AWS で Presto を徹底的に使いこなすワザ
AWS で Presto を徹底的に使いこなすワザ
Azureをフル活用したサーバーレスの潮流について
Azureをフル活用したサーバーレスの潮流について
Introduction to New CloudWatch Agent
Introduction to New CloudWatch Agent
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Data Lake Security on AWS
Data Lake Security on AWS
[AWSマイスターシリーズ] AWS SDK for Java / .NET
[AWSマイスターシリーズ] AWS SDK for Java / .NET
[AWSマイスターシリーズ] AWS CloudFormation
[AWSマイスターシリーズ] AWS CloudFormation
MSPとしてのオペチー向けReadOnly IAMポリシー
MSPとしてのオペチー向けReadOnly IAMポリシー
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
Developers.IO 2018 ビジネスを阻害しない!AWS アカウントの管理
ユーザーからみたre:Inventのこれまでと今後
ユーザーからみたre:Inventのこれまでと今後
AWSアカウントに関する不正使用を整理してみた
AWSアカウントに関する不正使用を整理してみた
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
はじめてのBluemixでシングルサインオン ~ 希望編!
はじめてのBluemixでシングルサインオン ~ 希望編!
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
20201118 AWS Black Belt Online Seminar 形で考えるサーバーレス設計 サーバーレスユースケースパターン解説
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
【12/5 最新版】AWS Black Belt Online Seminar AWS re:Invent 2018 アップデート情報
Más de Serverworks Co.,Ltd.
会社概要_株式会社サーバーワークス
会社概要_株式会社サーバーワークス
Serverworks Co.,Ltd.
AWS re:Invent 2021 コスト削減に役立つアップデートまとめ
AWS re:Invent 2021 コスト削減に役立つアップデートまとめ
Serverworks Co.,Ltd.
nyumon_hearts
nyumon_hearts
Serverworks Co.,Ltd.
【ANGEL Dojo】"人と会う"をもっとずっと、かんたんに。Ossu!
【ANGEL Dojo】"人と会う"をもっとずっと、かんたんに。Ossu!
Serverworks Co.,Ltd.
なぜ今AWSが選ばれているのか?クラウドが求められている本当の理由
なぜ今AWSが選ばれているのか?クラウドが求められている本当の理由
Serverworks Co.,Ltd.
20190124 waf
20190124 waf
Serverworks Co.,Ltd.
お菓子ノベルティとの1年越しの戦い、そして今
お菓子ノベルティとの1年越しの戦い、そして今
Serverworks Co.,Ltd.
機械学習を始める前の「学習」
機械学習を始める前の「学習」
Serverworks Co.,Ltd.
クラウドインテグレーターのお仕事
クラウドインテグレーターのお仕事
Serverworks Co.,Ltd.
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
Serverworks Co.,Ltd.
2018年8月 Just Skill研修資料
2018年8月 Just Skill研修資料
Serverworks Co.,Ltd.
キータイプハック 〜意外と身近なEmacsキーバインド〜
キータイプハック 〜意外と身近なEmacsキーバインド〜
Serverworks Co.,Ltd.
ディスプレイアームのすすめ
ディスプレイアームのすすめ
Serverworks Co.,Ltd.
硬貨の価値
硬貨の価値
Serverworks Co.,Ltd.
ちょっと先の未来をいくイケてる営業スタイル
ちょっと先の未来をいくイケてる営業スタイル
Serverworks Co.,Ltd.
Echo 買いました。
Echo 買いました。
Serverworks Co.,Ltd.
業務改善の考え方について
業務改善の考え方について
Serverworks Co.,Ltd.
IT知識ゼロ、ゆとり世代、文系出身女子がIT業界に入り感じたこと
IT知識ゼロ、ゆとり世代、文系出身女子がIT業界に入り感じたこと
Serverworks Co.,Ltd.
競馬の楽しみ方
競馬の楽しみ方
Serverworks Co.,Ltd.
「英語ができそう」と思われたい
「英語ができそう」と思われたい
Serverworks Co.,Ltd.
Más de Serverworks Co.,Ltd.
(20)
会社概要_株式会社サーバーワークス
会社概要_株式会社サーバーワークス
AWS re:Invent 2021 コスト削減に役立つアップデートまとめ
AWS re:Invent 2021 コスト削減に役立つアップデートまとめ
nyumon_hearts
nyumon_hearts
【ANGEL Dojo】"人と会う"をもっとずっと、かんたんに。Ossu!
【ANGEL Dojo】"人と会う"をもっとずっと、かんたんに。Ossu!
なぜ今AWSが選ばれているのか?クラウドが求められている本当の理由
なぜ今AWSが選ばれているのか?クラウドが求められている本当の理由
20190124 waf
20190124 waf
お菓子ノベルティとの1年越しの戦い、そして今
お菓子ノベルティとの1年越しの戦い、そして今
機械学習を始める前の「学習」
機械学習を始める前の「学習」
クラウドインテグレーターのお仕事
クラウドインテグレーターのお仕事
いまさら、AWSのネットワーク設計
いまさら、AWSのネットワーク設計
2018年8月 Just Skill研修資料
2018年8月 Just Skill研修資料
キータイプハック 〜意外と身近なEmacsキーバインド〜
キータイプハック 〜意外と身近なEmacsキーバインド〜
ディスプレイアームのすすめ
ディスプレイアームのすすめ
硬貨の価値
硬貨の価値
ちょっと先の未来をいくイケてる営業スタイル
ちょっと先の未来をいくイケてる営業スタイル
Echo 買いました。
Echo 買いました。
業務改善の考え方について
業務改善の考え方について
IT知識ゼロ、ゆとり世代、文系出身女子がIT業界に入り感じたこと
IT知識ゼロ、ゆとり世代、文系出身女子がIT業界に入り感じたこと
競馬の楽しみ方
競馬の楽しみ方
「英語ができそう」と思われたい
「英語ができそう」と思われたい
Último
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
ssuser370dd7
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
arts yokohama
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
Industrial Technology Research Institute (ITRI)(工業技術研究院, 工研院)
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
Sadao Tokuyama
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
Ayachika Kitazaki
2024 03 CTEA
2024 03 CTEA
arts yokohama
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
Tetsuya Nihonmatsu
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
Shumpei Kishi
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
arts yokohama
2024 04 minnanoito
2024 04 minnanoito
arts yokohama
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
ssuser539845
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
Matsushita Laboratory
Último
(12)
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
情報処理学会86回全国大会_Generic OAMをDeep Learning技術によって実現するための課題と解決方法
2024 01 Virtual_Counselor
2024 01 Virtual_Counselor
What is the world where you can make your own semiconductors?
What is the world where you can make your own semiconductors?
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
ARスタートアップOnePlanetの Apple Vision Proへの情熱と挑戦
20240326_IoTLT_vol109_kitazaki_v1___.pdf
20240326_IoTLT_vol109_kitazaki_v1___.pdf
2024 03 CTEA
2024 03 CTEA
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
「今からでも間に合う」GPTsによる 活用LT会 - 人とAIが協調するHumani-in-the-Loopへ
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
持続可能なDrupal Meetupのコツ - Drupal Meetup Tokyoの知見
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 02 Nihon-Tanken ~Towards a More Inclusive Japan~
2024 04 minnanoito
2024 04 minnanoito
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
IFIP IP3での資格制度を対象とする国際認定(IPSJ86全国大会シンポジウム)
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
TaketoFujikawa_台本中の動作表現に基づくアニメーション原画システムの提案_SIGEC71.pdf
AWS Organizations
1.
AWS Organizations勉強会 2020年4⽉14⽇ 株式会社サーバーワークス SRE部CSM課
渡辺信秀
2.
⽬次 1. AWS Organizationsがない時代のマルチアカウント 2.
AWS Organizationsの基本機能 3. AWS Organizationsと連携するサービス 4. AWS Organizationsのその他の機能 5. AWS Organizations利⽤が前提条件となるサービス 6. 複数アカウントの設計の難しいところ 2
3.
1.AWS Organizationsがない時代の マルチアカウント
4.
AWS Organizationsがない時代 1つのアカウントで開始 4 subnet-private01 subnet-public01 subnet-private02 IGW ALB subnet-private03 subnet-private04 RDS VPC EC2
EC2 EC2 EC2 RDS subnet-public02 S3Route 53
5.
AWS Organizationsがない時代 何らかの原因でアカウントが増える 5 subnet-private01 subnet-public01 subnet-private02 IGW ALB subnet-private03 subnet-private04 RDS VPC EC2
EC2 EC2 EC2 RDS subnet-public02 S3Route 53 AWSアカウント1(本番用) subnet-private01 subnet-public01 subnet-private02 IGW ALB subnet-private03 subnet-private04 RDS VPC EC2 EC2 EC2 EC2 RDS subnet-public02 S3Route 53 AWSアカウント2(検証用)
6.
どんどん増える AWS Organizationsがない時代 6 部⾨・サービスで 料⾦計算したい セキュリティ的に 分けたい AWSアカウント2 (検証用) AWSアカウント4 (新サービス本番用) AWSアカウント5 (新サービス検証用) AWSアカウント6 (共用サービス用) AWSアカウント3 (請求アカウント) AWSアカウント1 (本番用)
7.
Consolidated Billing(⼀括請求) AWS Organizationsがない時代 7 Linkedアカウント
Linkedアカウント Linkedアカウント Linkedアカウント Linkedアカウント Payerアカウント AWS 請求 支払い
8.
2.AWS Organizationsの基本機能
9.
AWS Organizationsの登場 2017年2⽉、AWS Organizationsの⼀般公開。3つの機能が紹介。 アカウントへのポリシー適⽤ APIを通じたアカウントの作成 ⼀括請求(従来通り) 9 https://aws.amazon.com/jp/about-aws/whats-new/2017/02/aws-organizations-now-generally-available/
10.
2.AWS Organizationsの基本機能 10 2-1.アカウントへのポリシー適⽤
11.
組織機能の有効化(すべての機能 or ⼀括請求機能) すべての機能 この機能セットは
AWS Organizations を使⽤するにあたって推奨され、⼀括請 求機能が含まれています。組織を作成する際、デフォルトではすべての機能が有 効化されています。すべての機能が有効になっていると、サービスコントロール ポリシー (SCP) およびタグポリシーなどの AWS Organizations で利⽤できる ⾼度なアカウント管理機能を使⽤できます。 ⼀括請求機能 すべての組織ではこの機能サブセットがサポートされ、これによって組織内のア カウント管理を⼀元化するために使⽤できる基本的な管理ツールが提供されます。 11 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_org_support-all-features.html 従来のConsolidated Billingと同じ Organizationsの機能をフルに使うにはこちら
12.
AWS Organizationsで使われる⽤語 Organization 組織 マスターアカウント 組織に1つだけ存在。⼀括請求やOrganizationsの⾊々な機能を利⽤できる。 メンバーアカウント 組織に所属するマスターアカウント以外のアカウント Root Organizationツリー構造のトップ OU (Organization
Unit) アカウントをまとめるもの。IAM Groupのような位置づけ。 SCP (Service Control Policy) IAM Policyのようなもので、 jsonで記述される。 アカウントにも適⽤できるがOUへの適⽤が推奨。 OU配下のアカウントの権限を制限する 制限された動作の実⾏は、各アカウントではrootでもAdministratorでも不可能 12
13.
すべての機能を有効化 ⼀括請求以外の機能を使うには、すべての機能を有効に 13
14.
AWS Organizations導⼊後の初期状態 FullAWSAccessというSCPがRootに適⽤されている 14 { "Version": "2012-10-17", "Statement":
[ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] } Organzation マスターアカウント Root SCP適用 FullAWSAccess
15.
OUとメンバーアカウントの作成 OUを作成し、配下にメンバーアカウントを作成 15 Organzation マスターアカウント Root OU メンバーアカウント FullAWSAccess SCP適用 継承 上位階層に適⽤されたSCPは、 強制的に下位に継承される
16.
OUとメンバーアカウントの作成 OUの下位にOUを作成も可能 16 Organzation マスターアカウント Root OU OU OU OUメンバーアカウント メンバーアカウント
メンバーアカウント メンバーアカウント FullAWSAccess SCP適用 継承 継承
17.
OUとメンバーアカウントの作成 必要に応じて制限するSCPを適⽤する 17 Organzation マスターアカウント Root OU OU OU OUメンバーアカウント メンバーアカウント
メンバーアカウント メンバーアカウント FullAWSAccess SCP適用 Service Controll PolicySCP適用 継承 継承 継承 継承 Service Controll Policy SCP適用
18.
SCPで実現できることの例 例 1: ユーザーによる
AWS CloudTrail の無効化を禁⽌する 例 2: ユーザーによる Amazon CloudWatch の無効化または設定の変更を禁⽌する 例 3: ユーザーによる Amazon VPC フローログの削除を禁⽌する 例 4: ユーザーによる AWS Config の無効化またはルールの変更を禁⽌する 例 5: インターネットアクセスに接続されていない VPC を使⽤した取得を禁⽌する 例 6: リクエストされたリージョンに基づいて、AWS へのアクセスを拒否する 例 7: IAM プリンシパルで特定の変更ができないようにする 例 8: IAM プリンシパルで管理者を除き、特定の変更ができないようにする 例 9: Amazon S3 バケットにおける暗号化を必要とする 例 10: 指定するタイプを使⽤するよう Amazon EC2 インスタンスに要求する 例 11: Amazon EC2 インスタンスを停⽌するよう MFA に要求する 例 12: ルートユーザーの Amazon EC2 へのアクセス制限する 例 13: リソース作成時にタグをリクエストする 18 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example-scp-restricts-with-exception
19.
例 1: ユーザーによる
AWS CloudTrail の無効化を禁⽌する cloudtrail:StopLoggingのみを禁⽌ 19 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "cloudtrail:StopLogging", "Resource": "*" } ] } https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example_scp_1
20.
例 8: IAM
プリンシパルで管理者を除き、特定の変更ができな いようにする Conditionで特定のPrincipalを例外として扱う 20 { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ], "Condition": { "StringNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/role-to-allow" } } } ] } https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-scps.html#example-scp-restricts-with-exception
21.
SCP を使⽤した戦略 SCPの特性 上位で設定したDenyを、下位でAllowで上書きはできない 何も設定しないと、暗黙のDenyがある 各アカウントには、必ず最低1つのSCP適⽤が必要 SCPの制限(IAMポリシーとの主な違い) Principalは利⽤不可 Condition・Resourceは、Denyのみ利⽤可能 SCP を使⽤した戦略 SCP
を拒否リストとして使⽤する SCP を許可リストとして使⽤する 21 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/SCP_strategies.html
22.
タグポリシー Organizations内のリソース作成時にタグポリシーへの「⾮準拠を検知」ま たは「準拠を強制する(⾮準拠をブロック)」 タグがポリシーに準拠しているかの検知なので、そもそもポリシーが無い場合は 検知できない タグ無しのリソース禁⽌にはSCPを使う 例 13: リソース作成時にタグをリクエストする 作成済みリソースへの影響はない 22 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_tag-policies.html
23.
タグポリシーの例 23 { "tags": { "Project": { "tag_value":
[ "A", "B" ], "tag_key": "Project" }, "CostCenter": { "tag_value": [ "Production", "Test" ], "tag_key": "CostCenter" } } } https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_example-tag-policies.html
24.
マスターアカウントの確認⽅法 メンバーアカウントのマネージメントコンソール AWS Organizationsのページ 組織IDは確認できるが、マスターアカウントIDは確認できない Billingのページ 請求⽀払いアカウント IAM Role OrganizationAccountAccessRole 24
25.
2.AWS Organizationsの基本機能 25 2-2. APIを通じたアカウントの作成
26.
アカウントの作成 1.マスターアカウントから作成 26
27.
アカウントの作成 2. メールを2通受信する Your AWS
Account is Ready - Get Started Now Welcome to Amazon Web Services 3. ルートのパスワードが不明なのでリセットする 27 「12 か⽉間の無料利⽤枠を利⽤して試し てみよう」的なことが記載されているが、 基本的に無料利⽤枠は使えません。 (理由は後述)
28.
2.AWS Organizationsの基本機能 28 2-3.⼀括請求
29.
AWS利⽤料⾦への影響 組織内のすべてのアカウントを 1 つのアカウントとして扱う Reserved
Instance / Savings Plans(Good) 組織内のすべてのアカウントは、他のアカウントで購⼊したReserved Instance / Savings Plansのコスト利点を受けることができる(割引共有を無効にすることも可 能) ボリューム割引(Good) データ転送や Amazon S3 などのいくつかのサービスには、特定の使⽤状況ディメ ンションにわたってボリューム料⾦階層があり、サービスを多く利⽤するほど価格が 低くなります。すべてのアカウントの使⽤量を合算し、適⽤すべきボリューム料⾦階 層を決定するため、請求総額を低くできる。 無料利⽤枠(Bad) 各アカウントごとには適⽤されない。組織で1枠だけ。 29
30.
Savings Plans を推奨値を参考に4種類購⼊してみました (2019年11⽉22⽇) サーバーワークスでは、エンジニアは「検証⽤AWSアカウント」が「社員1⼈つ き1つ」与えられます。また、この各検証⽤AWSアカウントを統合するマスター アカウント(Payer)があり、このマスターアカウントにおいて
Savings Plans の推奨を⾒てみますと「Savings Plans を買ったら結構コスト削減できるな」と いうことに気付いたので社⻑を説得してSavings Plansを買ってもらうことに しました。 http://blog.serverworks.co.jp/tech/2019/11/22/create-savings-plan/ Savings Plansの購⼊について 30
31.
3.AWS Organizations と連携するサービス
32.
信頼できる組織アクセス マスターアカウント側から、メンバーアカウントの設定をできる機能 何でもできるというわけではない 32 https://aws.amazon.com/jp/about-aws/whats-new/2018/03/aws-organizations-trusted-organization-access/
33.
信頼できる組織アクセス タグポリシー AWS Artifact AWS CloudFormation
StackSets AWS CloudTrail AWS コンピューティングオプティマイザー AWS Config AWS Directory Service AWS Firewall Manager AWS License Manager AWS Resource Access Manager AWS Service Catalog AWS Single Sign-On AWS Systems Manager 33 対応サービス 必要に応じて有効化
34.
3.AWS Organizationsと連携するサービス 34 3-1.CloudFormation StackSets
35.
CloudFormation StackSets 35 https://aws.amazon.com/jp/about-aws/whats-new/2020/02/aws-cloudformation-stacksets-introduces-automatic- deployments-across-accounts-and-regions-through-aws-organizations/
36.
CloudFormation StackSets StackSets⾃体はOrganizations未使⽤でも可能だが、機能が追加された 従来は初期設定(アカウント間の権限設定)が⼤変だったが、不要に 従来はデプロイターゲットがアカウント指定だったが、OU・組織へも可能に ⾃動デプロイを有効化すると、今後作成されるアカウントにも⾃動適⽤(プロビジョニング機能) 36
37.
3.AWS Organizationsと連携するサービス 37 3-2.CloudTrail
38.
CloudTrail 簡単にログを集約できる OrganizationsでCloudTrailの証跡を⼀元管理 http://blog.serverworks.co.jp/tech/2020/02/29/organizations_cloudtrail/ 38
39.
3.AWS Organizationsと連携するサービス 39 3-3.Systems Manager
40.
Systems Manager Systems Manager全体が統合されるわけではない。 Exploreという機能だけが統合可能 「データエクスポート」で1つのS3バケットに出⼒できる(OrganizationsマスターのS3バケット) 例えば、InventoryのデータはOrganizationsでは同期できない しかし、
Organizations と関係なく、「リソースデータの同期」で別アカウントのS3バケットに出⼒できる 各アカウントの各リージョン単位で設定する必要がある Explorerとは https://aws.amazon.com/jp/about-aws/whats-new/2019/11/introducing-aws-systems-manager-explorer/ EC2 インスタンスの概要やパッチのコンプライアンスなど、関連する運⽤データの概要をグラフィカルに表⽰する運 ⽤ダッシュボードです。Explorer を使⽤すると、AWS アカウントとリージョン全体の運⽤データを表⽰して、注意、 調査、修復が必要な場所を確認できます。 Explorer は AWS Organizations と統合され、AWS アカウントとリージョン全体でこのデータを集約して表⽰でき ます。 40
41.
ExploreとInventoryで別々のデータ管理 41
42.
3.AWS Organizationsと連携するサービス 42 3-4.AWS Organizationsと無関係のマ スター
43.
GuardDuty、Security Hub いくつかのAWSサービスでは、マスターアカウント・メンバーアカウント の構造を持つ これらはAWS Organizationsとは関係がない 43 https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_accounts.html https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-accounts.html
44.
4.AWS Organizationsのその他の機能
45.
4.AWS Organizationsのその他の機能 45 4-1.Organization内のスイッチロール
46.
メンバーアカウントへのアクセス 条件 マスターアカウントのマネージメントコンソールで、メンバーアカウントを作成 すると メンバーアカウントにIAM ロールOrganizationAccountAccessRoleが⾃動作成 つまり マスターアカウントのIAMユーザーがsts:AssumeRoleできる権限があれば、メ ンバーアカウントへ管理者権限でスイッチロールが可能 この仕様を知らないとセキュリティーホールになる可能性がある。 マスターアカウントへのIAMユーザー作成は最⼩限にしたほうが無難。 46 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-cross-account-role OrganizationAccountAccessRole ・アクセス権限︓AdministratorAccess ・信頼関係︓マスターアカウント
47.
4.AWS Organizationsのその他の機能 47 4-2. IAM
/ S3バケットポリシー
48.
IAM / S3バケットポリシー aws:PrincipalOrgID PrincipalにOrgainizationを指定できる aws:PrincipalOrgPaths PrincipalにOUを指定できる 48 { "Version":
"2012-10-17", "Statement": { "Sid": "AllowPutObject", "Effect": "Allow", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::policy-ninja-dev/*", "Condition": {"StringEquals": {"aws:PrincipalOrgID":["o-xxxxxxxxxxx"]} } } } "Condition" : { "ForAnyValue:StringLike" : { "aws:PrincipalOrgPaths":["o-a1b2c3d4e5/r-f6g7h8i9j0example/ou- ghi0-awsccccc/ou-jkl0-awsddddd/*"] }} https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_condition-keys.html
49.
5.AWS Organizations利⽤が 前提条件となるサービス
50.
AWS Single Sign-On
/ AWS Firewall Manager 50 https://docs.aws.amazon.com/ja_jp/singlesignon/latest/userguide/prereqs.html https://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/fms-prereq.html
51.
AWS Single Sign-On OneLoginやOktaのような役割のサービス AWS
Single Sign-On(SSO)でAWSアカウントへシングルサインオン http://blog.serverworks.co.jp/tech/2020/03/06/sso/ 51
52.
AWS Control Tower サービス概要 AWS
Service Catalog、AWS シングルサインオン、AWS Organizations など、 を裏で利⽤して、コンプライアンス的に⾃動的にイケてるマルチアカウント構成 を作れるサービス 利⽤制限 現在は新規のアカウントでしか利⽤できない。既にいろいろ使っている場合は移⾏で きないらしい。 52 https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/getting-started-with-control-tower.html
53.
6.複数アカウントの設計の難しいところ
54.
6.複数アカウントの設計の難しいところ 54 6-1. SCP設計
55.
SCPで制限すること、IAMで制限すること どのアカウントで何を制限するかの定義が必要 アカウントレベルで制限するのか、IAMレベルで制限するのか SCP を使⽤した戦略 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/SCP _strategies.html 55
56.
6.複数アカウントの設計の難しいところ 56 6-2. ログの集約
57.
全てのログを集約・管理・活⽤したい 57 実施すること • ログを制御可能な場所で⼀元 管理する。 利点 • 削除・改変などのリスクを減 らす •
まとまっていることでSplunk等 から利⽤しやすくなる 対象のログ • GuardDuty • VPC Flowlogs • CloudTrail • AWS Config • Inspector • etc
58.
S3バケット構成例 Source Bucket PATH GuardDuty
awslogs-guardduty-<account-id> /AWSLogs/<account-id>/GuardDuty/<region>/YYYY/MM/DD/〜.jsonl.gz VPC Flowlogs awslogs-vpcflowlogs-<account-id> /AWSLogs/<account-id>/vpcflowlogs/<region>/YYYY/MM/DD/〜.log.gz CloudTrail awslogs-cloudtrail-<account-id> /<organization-id>/<account-id>/CloudTrail/<region>/YYYY/MM/DD/〜.json.gz /<organization-id>/<account-id>/CloudTrail-Digest/<region>/YYYY/MM/DD/〜.json.gz AWS Config awslogs-config-<account-id> /AWSLogs/<account-id>/Config/<region>/YYYYY/MM/DD/ConfigHistory/〜.json.gz /AWSLogs/<account-id>/Config/<region>/YYYYY/MM/DD/ConfigSnapshot/〜.json.gz Inspector awslogs-inspector-<account-id> /AWSLogs/<account-id>/Inspector/<region>/ 58 • アカウントID、リージョン名で、階層化されていれば、上書きされる⼼配が無い。 • Inspector、GuardDuty、VPC Flowlogs等は、Organizationsと関係がないので個別設定になるが、 CloudFormation StackSetsで設定
59.
Security Hubの存在 セキュリティ系ログはSecurity Hubに集約してログ出⼒も考えられる GuardDuty
-> EventBridge -> SNS、S3(via Firehose) GuardDuty 結果形式で出⼒される https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding -format.html GuardDuty -> Security Hub -> EventBridge -> SNS、S3(via Firehose) AWS Security Finding 形式で出⼒される https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhu b-findings-format.html 59
60.
6.複数アカウントの設計の難しいところ 60 6-3.ユーザーID管理
61.
踏み台アカウントを使う 61 実施すること • 踏み台アカウントでIAMユー ザーを⼀元管理する 利点 • IAMユーザーの追加・削除など を1箇所で⾏うことができる。 ※
この⽅式では、ユーザーの権 限管理は各アカウントで⾏う。
62.
AWS Single Sign-Onを使う 62 実施すること •
踏み台アカウントでユーザー を⼀元管理する (IAMユーザーは作成しない。 AWS SSO・もしくはActive Directoryのユーザーを利⽤) 利点 • IAMユーザーの追加・削除など を1箇所で⾏うことができる。 ※ この⽅式では、ユーザーの権 限管理もマスターアカウントで⾏ う。
63.
Okta / OneLoginを使う 63 実施すること •
Active DirectoryとOktaを同期 • OktaをSAML IDPとして利⽤ 利点 • ユーザーは既存のOktaから AWS含む全てのアプリへログ インできる。
Descargar ahora