この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ご機嫌いかがでしょうか?豊崎です。
re:Invent2021で、マルチアカウント戦略のワークショップに参加してきましたので、レポートしたいと思います。
Managing multi-account environments following best practices
まずは事前説明
1つしかAWSアカウントを利用していない時に比べ、会社規模が大きくなり複数のAWSアカウントを利用し出すと、AWS環境に関するガバナンスを効かせるニーズが高くなります。
このワークショップでは優れたマルチアカウント戦略の基本をハンズオン形式で理解することができます。
優れたマルチアカウント戦略はオーバーヘッドを減らします。
また、AWS Control Towerワークショップを補完するものとして機能します。AWS Contorl Towerはマルチアカウント戦略ホワイトペーパーの一部を自動化するマネージドサービスとして利用ができる。
Workshopの内容
本ワークショップで理解できること
AWS Organization
AWS Organizationの利用を前提としたマルチアカウント管理について学べます。自由に利用できる複数のAWSアカウントを保有している人は多くないと思います。本ワークショップ(以降WS)を経験することで良いきっかけになると思いました。OUという概念をはじめ、AWSの複数の機能が理解できます。
IAM & AWS SSO
マルチアカウントでのアカウント管理のオーバーヘッドを軽減するためにAWS SSOを使用します。SSOはAWS Organization前提のサービスであり、本WSでも取り扱われます。
SCP(Service Control Policy)
マルチAWSアカウントに対する制御ポリシーについて学べます。OUやAWSアカウントに紐づけることが可能です。
Log Storage
マルチアカウントのCloudTrailログの取り扱いを通して、ログの集約について学ぶことができます。 KMS、S3、CloudTrailの設定などを行います。どういったログを集約する必要があるのかを検討するきっかけになりそうです。
Tagging
マルチアカウントでのタグ戦略を体験します。具体的にはリソースに対するタグポリシーとBillingに使用するタグを学びます。
Networking
Transit Gatewayを通じてマルチアカウントの通信に関する戦略を学ぶことができます。
Cost Management
AWS Budgetを設定することで、サンドボックス環境の財務管理を体験することが可能です。
multi-account Security
別のワークショップである、AWS Multi-Account Security Governance Workshopと連携されていて、以下サービスを使ってマルチアカウントでのセキュリティについて学ぶことが可能です。
- CloudTrail
- AWs Config
- Amazon GuardDuty
- Security Hub
- Amazon Detective
- SCP
そしてControl Tower Workshopsへ
ここまでに学んだことの一部がControl Towerを利用することで、自動化することが可能であることを理解するために、Control Tower Workshopsへの導線が用意されています。
所感
マルチアカウントを利用するときに利用する基本サービスを一通り体験することができる良いワークショップでした。そもそも実務でマルチアカウントの設計や管理に触れる機会がある人は少ないと思いますが、AWSアカウントが増えたときに発生する課題とアプローチを先回りして体験したい方には是非お試しいただければと思います。
※ワークショップには若干のAWSリソース費用が発生します。実施後、環境の掃除または作成したAWSアカウントの削除を忘れないようお気をつけください。
本記事が誰かのお役に立てば幸いです。