MEGAZONEブログ
Demystifying a multi-account strategy
マルチアカウント戦略を解明する
Pulisher : Enterprise Managed Service Group イ・ヘイン
Description : マルチアカウント環境を設計する方法について紹介したChalk Talkセッション
はじめに
Landing Zone、Control Towerなどのマルチアカウント構成に対する関心が高まり、複数のお客様でマルチアカウントの移行を検討しており、実際の移行事例も増えているようです。 このようなトレンドに伴い、マルチアカウントとは何か、構成におけるベストプラクティスは何なのか、このセッションでご紹介します。
マルチアカウント環境を設計して基本的なアカウントの設定と適用できる制御方法について徹底的に確認し、AWSのお客様事例をベースに様々なシナリオとその際の注意点や避けるべき点を確認するセッションです。
AWS Accountは、AWSリソースを独立させることができる基本的なコンテナです。1つのアカウントのすべてのリソースは、明示的に権限を付与しない限り、他のアカウントからアクセスすることはできません。 各アカウントは別々の課金エンベロープであり、アカウントで使用されるすべてのリソースは一緒にグループ化されます。
また、AWSアカウントはクラウドリソースを切り離し、実際に互いに競合しないように独自のコンピューティングスペースを分割します。
コストに関しては、そのエンティティに必要な実際の予測金額と実際の支出額を知る必要がある場合、別のアカウントを使用すると、完全な情報を得ることができます。
OUは基本的にアカウントを論理的にグループ化したものです。
また、Permission Setsを通じてアカウント全体にポリシーを適用できる包括的なガバナンスを提供します。
統合決済を使用すると、階層構造を持つことができ、このすべての機能セットを使用してアカウントを作成することができます。
保有を推奨するアカウントは次のとおりです。 特定のアカウントを保有しなければならない、または保有しなくてもよいという意味ではありません。 これらは一般的に組織全体で使用される共有サービスです。
一つのネットワークアカウントを持つことができます。例えば、複数の事業部がある場合は複数のアカウントを持つことができますが、通常はセキュリティが適用されます。セキュリティに関連するすべてのAWSサービスやパートナーサービス、または購入するすべてのアイテムがここにあるので、中央で管理することができ、これを別のOUや別のフォルダに入れるなど、さまざまなコントロールを適用することができます。
コントロールタワーを実際に実装する方法は、ベストプラクティスのいくつかに従うことです。 実装にはいくつかのオプションがあり、これは組織のマスターアカウントでのみ行うことができます。現在、マスターアカウントからのみアカウントを作成することができ、委任することはできません。
これはOrganizationsを構成する例です。
- 信頼できるアクセスでAWSサービスへの権限付与
- サービス接続ロール(SLR)がアカウントに追加されます。
- AWSサービスがユーザーに代わってアカウントで作業を行うことができます。
- 組織と統合されたAWSサービスを管理することができます。
- 管理アカウントに対してメンバーアカウントに委任します。
- メンバーアカウントに特定のサービスに対する管理権限がある場合、メンバーアカウントは、組織に対するread-only作業権限を持つことができます。
AWS Organizationsと統合される代表的なサービスはConfig、Security Hub、CloudFormation、GuardDuty、Trusted Advisorなどがあり、他にも様々なサービスと統合することができます。
次はControlTowerで適用できるポリシータイプです。
代表的に3つがあり、SCP/Tag policy/Backup policyです。全体OUや アカウントに適用が必要な policyに対して一括して適用することができ、統合して管理することができます。
先ほど説明した内容を1枚にまとめた表です。
セッションを終えて
このセッションと実際のControl Tower運営をしながら感じたマルチアカウントの最大のメリットは、統合ガバナンス管理です。アカウントやPermission SetからAccount全般に適用できるPolicyまで一つのアカウントを通じて制御して管理できる点が良かったです。 ただし、これを逆に考えると、一つの小さな設定変更が全体のOUに問題を発生させる可能性があるので注意が必要です。現在Control TowerはSCP文字数制限や不明なコンソールエラーなどがよく発生しますが、このような点が改善されればいいと思います。
この記事の読者はこんな記事も読んでいます
-
Compute re:Invent 2023Apple on AWS: Managing dev environments on Amazon EC2 Mac instances(Apple on AWS:Amazon EC2 Macインスタンスで開発環境を管理する) -
Compute re:Invent 2023Optimizing for cost and performance with AWS App Runner(AWS App Runnerによるコストとパフォーマンスの最適化) -
Partner Enablement re:Invent 2023Migration and modernization: Become your customer’s strategic partner