Jaws controltower | PPT | Free Download
SlideShare a Scribd company logo

Jaws controltower

K
kota tomimatsu

AWS control tower I looked up control tower's cloudformation and draw diagram.

1 of 33
AWS control towerの中身をみる
自己紹介 名前:富松 広太(とみまつ こうた) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 所属:株式会社 Turn and Frontier(関西クラウドベンダー) 2020 APN ALL AWS Certifications Engineer from:滋賀県
Control Towerのnewsが
AWS Control Towerの前に(multi accounts) Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account... AWS Account OU (グループ) 凡例
AWS Control Towerの前に(multi accounts)
AWS Control Towerの前に(multi accounts) 管理用のリソースを配置 目的別にアカウントを分ける
AWS Control Towerの前に(multi accounts) 通常のアプリケーション用の アカウント
AWS Control Towerの前に(multi accounts) 複数アカウントで共有するリソースをまと める
AWS Control Towerの前に Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account...
AWS Control Tower適応前 Master Account your account... your account... your account... your account... Master Accountの下に 複数のアカウントが存在 する
AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 管理用アカウントが生成される (1)Log Archievアカウント (2)Auditアカウント 即座に既存アカウントへの影響はな し
ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account...
AWS Control Towerを有効化すると Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... Landing Zone ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い
AWS Control Towerを有効化すると Control Towerを有効化すると自動作成してくれる どう実現しているのか? Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
AWS Control Towerを有効化すると Cloudformation(stack sets)でconfigを有効化することで実現 Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
AWS Control Towerを有効化すると 5~10個ぐらいcloudformaiton(stack sets)がdeployされている AWSControlTowerBP-BASELINE-CLOUDTRAIL AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES ・・・・・・ It is a good idea to review the templates of these stack sets and make sure that they don’t conflict with your existing policies. cloudformationを全部読めってことか・・・
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ configを無効化させないと controltower適応時にエラーとなる
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
AWS Control Towerを有効化すると ほぼSCPで実現 SCPの方はドキュメントに分かりやすい記述がある(量は多いが) Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を不可となるよう制限 =>SCP(OrganizationレベルのIAM)で制限する
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ SCPを(強制)適応 controltower関連リソース を削除不可に SCPを(強制)適応 controltower関連リソース を削除不可に
AWS Control Towerで困ったこと configが自由に設定できなくなる・・・
AWS Control Towerで困ったこと Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 都合の異なる組織が利用しており SCPによる縛りが 自社ビジネスに適さないかも
AWS Control Tower vs Organizations Organizationsの機能で、ほぼ同様の機能が存在する
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ cloudformation stack sets でconfigを有効化
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations config 権限移譲 cloudformation stack sets でconfigを有効化
Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations cloudtrail 権限移譲 organizations config 権限移譲 cloudformation stack sets でconfigを有効化
振り返り これから multiaccount管理 config利用していないor 一時的に無効化可能 ControlTower Organizations 子アカウントへの SCP縛りが 問題ない ControlTower 対応リージョンを 利用している No No No Yes Yes Yes
まとめ ・Control Tower は数クリックでマルチアカウント管理を構築可能 ・ControlTower便利だけど何が起きるかは知っておいた方が良い Cloudformation読み解くの面倒な場合は、本資料をご参考ください ・Organizations運用されてる or これからされる方、絡んでください ※営業ではなく  (twitter:@kotamemento)
参考リンク AWS マルチアカウント のBest Practice https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2 AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~ まとめ~ https://fu3ak1.hatenablog.com/entry/2021/01/28/002536 zozoテクノロジーズ AWSマルチアカウント事例祭り https://techblog.zozo.com/entry/20210209-meetup-report AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制 https://www.youtube.com/watch?v=JpJjJ39c5oQ

More Related Content

Jaws controltower

  • 2. 自己紹介 名前:富松 広太(とみまつ こうた) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 所属:株式会社 Turn and Frontier(関西クラウドベンダー) 2020 APN ALL AWS Certifications Engineer from:滋賀県
  • 4. AWS Control Towerの前に(multi accounts) Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account... AWS Account OU (グループ) 凡例
  • 6. AWS Control Towerの前に(multi accounts) 管理用のリソースを配置 目的別にアカウントを分ける
  • 7. AWS Control Towerの前に(multi accounts) 通常のアプリケーション用の アカウント
  • 8. AWS Control Towerの前に(multi accounts) 複数アカウントで共有するリソースをまと める
  • 9. AWS Control Towerの前に Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... Other Purpose(NW) your account... your account... your account...
  • 10. AWS Control Tower適応前 Master Account your account... your account... your account... your account... Master Accountの下に 複数のアカウントが存在 する
  • 11. AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 管理用アカウントが生成される (1)Log Archievアカウント (2)Auditアカウント 即座に既存アカウントへの影響はな し
  • 12. ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account...
  • 13. AWS Control Towerを有効化すると Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 14. AWS Control Tower適応後 Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... Landing Zone ControlTowerのOU配下に アカウントを移動させると ControlTower設定が有効化される ブラックボックスで怖い
  • 15. AWS Control Towerを有効化すると Control Towerを有効化すると自動作成してくれる どう実現しているのか? Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 16. AWS Control Towerを有効化すると Cloudformation(stack sets)でconfigを有効化することで実現 Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 17. AWS Control Towerを有効化すると 5~10個ぐらいcloudformaiton(stack sets)がdeployされている AWSControlTowerBP-BASELINE-CLOUDTRAIL AWSControlTowerBP-BASELINE-CLOUDWATCH AWSControlTowerBP-BASELINE-CONFIG AWSControlTowerBP-BASELINE-ROLES AWSControlTowerBP-BASELINE-SERVICE-ROLES ・・・・・・ It is a good idea to review the templates of these stack sets and make sure that they don’t conflict with your existing policies. cloudformationを全部読めってことか・・・
  • 18. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ configを無効化させないと controltower適応時にエラーとなる
  • 19. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 20. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 21. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event sns lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 22. AWS Control Towerを有効化すると ほぼSCPで実現 SCPの方はドキュメントに分かりやすい記述がある(量は多いが) Landing Zone 予防的ガード レール (preventive) 発見的ガード レール (detective) セキュリティとコンプライアンスのベストプラクティスに基づく AWS 環境 (ちゃんとした環境のこと) 違反作業があった場合に気付くよう通知設定 =>configで通知設定する 違反作業を不可となるよう制限 =>SCP(OrganizationレベルのIAM)で制限する
  • 23. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ SCPを(強制)適応 controltower関連リソース を削除不可に SCPを(強制)適応 controltower関連リソース を削除不可に
  • 25. AWS Control Towerで困ったこと Master Account Core OU 管理 Custom OU 通常利用 Log Archive Account Audit Account your account... your account... your account... your account... 都合の異なる組織が利用しており SCPによる縛りが 自社ビジネスに適さないかも
  • 26. AWS Control Tower vs Organizations Organizationsの機能で、ほぼ同様の機能が存在する
  • 27. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ
  • 28. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ cloudformation stack sets でconfigを有効化
  • 29. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations config 権限移譲 cloudformation stack sets でconfigを有効化
  • 30. Master Account Core OU Custom OU Log Archive Account Audit Account your account... SNS aws-controltower-AllConfigNotifications config,trailから叩かれる aws-controltower-SecurityNotifications eventから叩かれる lambdaでAggregateSecurityNotificationsへ連携 cloudtrail config event lambda aws-controltower-logs- <ID>-<Region> S3 trailとconfigをs3へ連携 snsはauditへ連携 configはaggregate auditからswitch可能なrole aws-controltower-AdministratorExecutionRole aws-controltower--ReadOnlyExecutionRole configのコンプライアンス 違反を検知 aws-controltower-AggregateSecurityNotifications organization内部から叩かれる バケットアクセスログ organizations cloudtrail 権限移譲 organizations config 権限移譲 cloudformation stack sets でconfigを有効化
  • 33. 参考リンク AWS マルチアカウント のBest Practice https://aws.amazon.com/jp/builders-flash/202009/multi-accounts-best-practice-2 AWS Organizationsを活用したマルチアカウントのセキュリティサービス使用方法 ~ まとめ~ https://fu3ak1.hatenablog.com/entry/2021/01/28/002536 zozoテクノロジーズ AWSマルチアカウント事例祭り https://techblog.zozo.com/entry/20210209-meetup-report AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制 https://www.youtube.com/watch?v=JpJjJ39c5oQ