[レポート]Dive deep on AWS cloud governance #COP402 #AWSreInvent
あしざわです。
米国ラスベガスで開催されているAWS re:Invent 2024 に現地参加しています。
今回の記事では re:Invent 2024 のBreakout セッションの1つ、「Dive deep on AWS cloud governance(COP402)」についてレポートします。
セッション概要
・原文
As organizations rapidly adopt cloud computing, the need for effective governance has become paramount. In this deep dive session, explore the advanced strategies and underlying AWS services for implementing robust cloud governance on AWS. Learn about AWS services and strategies to apply governance in an environment with a focus on account design, security controls, audit reporting, and automation.・Claude 3.5 Sonnet v2による日本語訳
組織がクラウドコンピューティングを急速に採用する中、効果的なガバナンスの必要性が最重要課題となっています。この詳細セッションでは、AWSにおける堅牢なクラウドガバナンスを実装するための高度な戦略と、基盤となるAWSサービスについて探求します。アカウント設計、セキュリティ管理、監査報告、自動化に焦点を当てた環境でガバナンスを適用するためのAWSサービスと戦略について学びます。
動画
後日YouTubeにアップロードされ次第、追記します
全体的な概要
このセッションでは、クラウドガバナンスを組織で構築していくにあたって重要となる三要素、アカウント戦略(Account Strategy)・コントロール(Control)・監査(Auditing)について網羅的な内容が紹介されていました。
印象的だったところは、各要素について直近のアップデートが反映された最新のベストプラクティスについて学ぶことができた点です。
参考までに、各要素と直近のアップデートをマッピングしたものがこちら。
- アカウント戦略:AWS Control Tower とAWS Backup の統合
- コントロール:RCP(Resource Control Policy)、宣言的ポリシー(Declarative Policies)
- 監査:CloudTrail Lakeの強化
見どころ
各要素について、直近のアップデートの更新内容が絡んだり、個人的に見どころだと思った箇所を紹介します。
アカウント戦略(Account Strategy)
Evolution of account strategy
冒頭で、Evolution of account strategy (アカウント戦略の進化) と称して、Organizations のOU 構成が成長していく様子が紹介されました。
最初はControl Tower を有効化した際のミニマム構成と同等のOU 構成です。
続いて、Suspended OU とTransitional OU が追加されます。
Suspended(一時停止) OU は、退職者のサンドボックス用AWS アカウントや既にリソースが廃止されたAWS アカウントの一時的な保管領域として使用されます。
Transitional(移行) OUは、外部の組織から移行してきたAWSアカウントを組織の標準化された領域に統合する前に、一時的に保持する領域として定義されたOUです。
その後、Exception OU・Policy Staging OU・Bussiness Continuty OU が追加されていきます。
Exception(例外) OU はセキュリティポリシーの例外となるOU、Policy Staging OU は広範囲に及ぶポリシー変更をテストするためのOU、Bussiness Continuty(ビジネス継続性) OUは、災害復旧戦略におけるデータ管理を行うためのOUです。
この中でもビジネス継続性OU については、Infrastructure OU をさらに発展させた高度なユースケースとなっているため、採用するかどうかはワークロード要件によります。
各OU の役割に関する詳細はこちらのAWS 公式ドキュメントにまとめられています。
実際の案件でOU 設計を担当すると、ついその時点での最新情報に基づいた理想の構成を設計してしまいがちです。ただ、組織のレベルによってはtoo much な構成となる場合もあるため、今回の例のようにOU 構成は組織の進化に合わせて変化させていく前提で設計すべきだな、と感じました。
AWS Control Tower as a managed service
Control Tower で使われている様々なAWS サービスやAWS リソースを改めてまとめた図が登場しました。
この図を見慣れている方ならお気付きのことかと思いますが、Security OU 配下のアカウントとして新しくCentral backup account
と Central administrator account
の2つが追加されています。
これらのアカウントは、Control Tower のオプション機能として追加されたAWS Backup の各種リソースを管理・保持する用途で利用されるようです。
つい先日「Control Tower のAWS Backup サポート」のアップデートとして発表されたばかりのものでした。
上記は個人的にまだ触れられていないアップデートだったのですが、最新のベスプラ構成として取り急ぎ押さえておかないといけないなと思いました。
コントロール(Control)
全体を通して一番参考になったのが、コントロールの章でした。
とりわけ、re:Inventの直前に登場したRCP(Resource Control Policy) については、私自身のキャッチアップが足りていない領域でした。
RCP の仕組み、SCP とRCP の使い分けなど知識の補強に役立ちました。
コントロールの中でも、最も印象に残ったセクションは「How declarative policies for EC2 work (+デモ)」でした。
宣言型ポリシー(declarative policies)は、今回のre:Invent 2024期間内に発表された新機能です。
以下のスライドから、「Organizations からOU に対してポリシーが設定され → OU のポリシーはAWS アカウントに対して適用され → AWS アカウントから全リージョンのEC2 コントロールプレーンに適用される」という流れがわかりました。
デモでは宣言型ポリシーによって無効化されたEC2 のAMI スナップショットのパブリック公開オプションが、マネジメントコンソール上から利用できない(グレーアウト)とわかるように改変されていました。
このような挙動からサービスの属性自体をブロックする宣言型ポリシーと、API実行を防ぐSCP などの承認ポリシーの違いが、よりよくわかりました。
宣言型ポリシーに特化したセッションは存在しなかった中、ガバナンスに関するセッションに参加すれば話が聞けるのではと期待していました。結果、サービスの概要だけでなくデモも合わせて確認できてよかったです。
監査(Auditing)
監査の要素についてはセッションでの取り扱いも軽めだったので、簡単に。
以下のCloudTrail イベントフィールドの中から特に重要なものをまとめた1枚の画像、なんとなくいいなぁと思いました。今後見直したい。
まとめ
ここまでre:Invent 2024のセッション「Dive deep on AWS cloud governance(COP402)」についてレポートしました。
クラウドガバナンスの基礎から最新情報を反映したベストプラクティスまで広く・深く学ぶことができるセッションでした。
Lv400に設定されていますが、初心者から中級者でも理解しやすいセッションだと思ったため、公開され次第ぜひアーカイブ動画を確認いただきたいです。
この記事が誰かの役に立てば幸いです。
以上です。