ユースカジノ クレジットカードでマルチアカウント管理を考える(その2)
投稿日: 2022/07/22
はじめに
こんにちは、園田です。
本記事は、「ユースカジノ クレジットカードでマルチアカウント管理を考える(その2)」となります。
第1回目を見ていないという方はこちらを参照ください。
/solutions/cloud/column/article/52.html
本ブログはユースカジノ クレジットカードでマルチアカウント管理を行う際の設計を行う際に、どんなことを考慮する必要があるよ。というのを記載します。
第2回はOrganizationsについてです。
ユースカジノ クレジットカード Organizationsとは
複数のAWSカウントの「取りまとめ」と「制限をかける」ことが出来る機能となります。
大きく分けて以下の4つの機能が存在します。
-
1.利用機能の制限
サービスコントロールポリシー(SCP)の機能を利用して、各ユースカジノ クレジットカードに対して共通の制限を設定 -
2.ユースカジノ クレジットカードアカウントの新規作成の自動化
→ リセラー経由の場合、お客様ではユースカジノ クレジットカード不用(リセラーが実施) -
3.複数のユースカジノ クレジットカードアカウントの請求を一括管理
→ リセラー経由の場合、お客様ではユースカジノ クレジットカード不用(リセラーが実施) -
4.「ユースカジノ クレジットカード Control Tower」「ユースカジノ クレジットカード IAM Identity Center (旧SSO)」などのユースカジノ クレジットカードサービスと連携して、統制を強化
リセラーを経由してユースカジノ クレジットカードアカウントを契約している場合、上記のうち2と3はリセラーにて実施する(のが一般的)項目になります。そのため、特に利用者にて考慮する必要はありません
Organizationsですが、リセラーを経由している場合、そもそも利用できないケースもあります。これは、Organizations自体がユースカジノ クレジットカードを管理ツールとなるため、Organizationsを増やすことでリセラーの管理の手間が増えてしまいます。そのため、リセラー経由でユースカジノ クレジットカードを契約している場合、最初にOrganizations機能は利用可能か、またどのような権限をユーザに付与することが可能かをチェックするのが良いでしょう。
ユースカジノ クレジットカード環境の統制(Organizations)管理について
Organizationsにて管理するユースカジノ クレジットカードの全体像は以下の通りです。
また、用語と説明については以下の通りです。
| 用語 | 説明 |
|---|---|
| 組織 | 一元管理可能な複数ユースカジノ クレジットカードアカウントの集まりであり、最低1つのマスターアカウントから構成される |
| マスターユースカジノ クレジットカード (管理ユースカジノ クレジットカード) |
ユースカジノ クレジットカードの作成・招待・削除、サービスコントロールポリシーの適用および組織を作成・管理するためのユースカジノ クレジットカード |
| メンバーユースカジノ クレジットカード (ユースカジノ クレジットカードアカウント) |
ユースカジノ クレジットカード Organizationsで管理する最小単位 |
| 組織単位(OU) | 組織内の複数ユースカジノ クレジットカードアカウントの論理的なグループ |
| ユースカジノ クレジットカード用ルート | 組織単位(OU)の階層全体の開始点 |
| サービスコントロールポリシー(SCP) | アカウントに適用するコントロールを定義したドキュメントでユースカジノ クレジットカードサービスのAPIにアクセス可能かを制御(許可・拒否)するためのポリシー |
| ルートユーザ (Root) |
ユースカジノ クレジットカードアカウントに登録されるメールアドレス アカウントのすべての ユースカジノ クレジットカード サービスとリソースに対して完全なアクセス権限を持つ |
| IAM (Identity and Access Management) |
ユースカジノ クレジットカードリソースへのアクセス(認証・認可)を管理するためのサービス |
ここで見ていただきたいのは、「OU」と「SCP」になります。
基本的にOUはADのOUと一緒と考えていただいて問題ありません。管理したい単位でOUを作り、そこにユースカジノ クレジットカードアカウントを配置する形となります。
制限をかけるSCPはユースカジノ クレジットカード単位に割り当てることもできますが、基本的にOUに割り当てるのが管理上適切かと思います。
ここまで見ていただければなんとなくわかるかと思いますが、Organizationsを設計するということは、
- ①OUをどのように設計するか
- ②どのようなOUに対し、どのようなSCPを適用するか
ということを検討するということになります。
では1つずつ検討していきましょう。
OUの検討について
OUについては実際にSCPでどのような制限をかけたいか、ということに左右されます。
そのため、一律でこのようなOU形態にしておけばOKというのはありません。
また、お客様によってはどのようなSCPが必要になるかわからないため、後で要件が出た際に柔軟に対応できるようにしたい。という要望もあるかと思います。
その場合、システムユースカジノ クレジットカードを作成するタイミングで新規OUを作成してSCPを追加するというやり方もあります。ただ、この場合会社としてどのような方針を掲げているのかが、不明確になってしまいますのでやはりある程度の指針は定めておいたほうが良いでしょう。
という訳である程度の指針を持たせた設定例を記載します。
ユースカジノ クレジットカード用OU
管理するユースカジノ クレジットカードが多くなってくると「共通機能を持たせるユースカジノ クレジットカード」(ログ集約、監視など)があったほうが管理しやすくなります。
また、別途Control towerのところで記載しますが、 Control tower利用にあたっては「log Archive Account」、「Audit Account」の2つのユースカジノ クレジットカードの利用が必要となります。
今後の統制も考慮し、ユースカジノ クレジットカード用OUを作成し、サービス提供と分離しておくのが良いかなと思います。
サービス提供用OU
実際にシステム構築等で利用するユースカジノ クレジットカードが利用するOUです。
今回の例では、公開するシステムと社内のみ利用についてはデータの重要度に差異があるということで、「インターネットから直接接続可能とするシステム」と「社内からのみアクセス(インターネットからの直接アクセス不要)」という形でさらにOUを分割しています。
インターネットから接続不要な場合、VPCへのigwのアタッチを拒否するSCPを適用することで対応が可能です。
検証用OU
すでに利用しているユースカジノ クレジットカードアカウントに対し、Organizationsを適用する場合きちんとシステムが動作するか不安という場合もあるかと思います。
検証用OUではOUに対しSCPを適用せず、ユースカジノ クレジットカードに対しSCPを適用することで問題発生時に対象ユースカジノ クレジットカードのSCPのみ変更が可能としています。(多分、問題が発生することはないと思いますが。)
SCPの検討について
SCPについては、このような操作のみをさせるという「ホワイトボックス形式」と、基本すべての操作を可能とするがこれだけは実施させないという「ブラックボックス形式」の設定方法が存在します。
基本ユースカジノ クレジットカードはどんどん新規の機能がリリースされますので、都度許可を追加するというホワイトボックス形式は運用に負荷がかかるためお勧めできません。
(特に利用できる機能を増やすつもりがないのであれば、運用不可は増えないのですがその場合、クラウドを使うメリットが損なわれてしまいます。方針次第ですが基本はブラックボックス形式が良いでしょう)
というわけで「どのような操作はさせたくないか」ですが、これも社内ポリシー等で「XXXの操作は望ましくない」などの規定があれば特に悩むことはないのですが、実際にはそのような規定があるお客様はほぼないかと思います。
基本SCPはIAMのポリシー定義とほぼ同様の記載ができるため、ほぼすべての操作について実施させないということが可能です。とはいえ、何でもできますと言ってもよくわからないと思いますので、以下にサンプルを載せたいと思います。
| 項番 | 制限項目 | 制限項目の意図・目的 |
|---|---|---|
| 1 | 利用リージョンの制限 | 想定外リージョンにてデータが利用されていることを防ぐため(EUでのデータ保存など)、利用リージョンを制限する。 |
| 2 | S3のパブリックアクセスの禁止 | 作業ミスでの情報漏洩を防ぐため、S3のパブリックアクセス(だれでもアクセスできる状態)を禁止する。 |
| 3 | IAMユーザの作成禁止 | ユースカジノ クレジットカード外ユーザが作成され、セキュリティホールとなる可能性がある。 また、適切にユーザユースカジノ クレジットカードが行えなくなる可能性があるため、ユーザの作成を実施させない。 |
| 4 | 直接のインターネット接続の禁止 | 社外からインターネット経由での直接アクセスが不要である社内サービスについては、インターネットからの直接接続は禁止する。 (インターネット→サーバへのアクセスは不可。サーバ→インターネットの接続は社内プロキシ経由のみとする) |
| 5 | ユースカジノ クレジットカード configの無効化またはルールの変更を禁止 | 監査系のサービスであるユースカジノ クレジットカード Configについて、無効化やルール変更を勝手にされてしまうと監査ログとしての信用性に欠けてしまうため、特定のユーザ(ロール)以外の無効化、ルール変更は実施させない |
| 6 | 作成される特定のリソースにタグを強制する | サービスとして統制を取るため、特定のサービス(例えばEC2)に特定のタグ(組織タグ、サービスタグ、など)が無い場合、利用を開始させない (EC2の場合、クリエイトさせない) |
| 7 | 特定のサービスの利用を利用不可にする(route53など) | 会社としてまとめてユースカジノ クレジットカードを行う必要があるサービス(route53でドメイン、およびゾーンのユースカジノ クレジットカード)はユースカジノ クレジットカードOU配下のみで利用することで、ユースカジノ クレジットカードの統制を図る |
| 8 | Rootユーザの使用禁止 | 制限をかけることのできないrootユーザについては利用を禁止し、不要なリスクを削減する。(Control Tower利用時は強制適用) |
| 9 | Rootユーザのアクセスキー作成禁止 | 制限をかけることのできないRootユーザ(ユースカジノ クレジットカード管理ユーザ)ののアクセスキー作成を禁止し、セキュリティの脅威を削減する。 |
| 10 | API アクションの実行にMFAを要求する | 特定の操作時は必ずMFAのワンタイムの入力をmustとする (EC2(サーバ)の削除など) |
| 11 | 特定のEC2タイプのみ利用可とする | 費用の適正化の為、特定タイプのEC2のみ利用可とする |
| 12 | GuardDutyの無効化禁止 | ユースカジノ クレジットカード者以外のユーザにGuardDutyの無効化を実施させない |
| 13 | VPCフローログの無効化禁止 | ユースカジノ クレジットカード者以外のユーザにVPCフローログの無効化を実施させない |
| 14 | Security Hubの無効化禁止 | ユースカジノ クレジットカードのセキュリティのベストプラクティスのチェックを行うSecurity Hubの無効化禁止 |
| 15 | セキュリティグループの変更禁止 | 不用意のセキュリティ開放を制限するため、セキュリティグループの作成・設定変更については特定のユーザのみ権限を付与する。 (通常ユーザは作成されたセキュティグループのアタッチ・デタッチのみを許可) |
基本的には「無効化禁止」については実施しておいて問題ないかと思います。
この場合、特定のユーザやロールのみは無効化対象から外すということができるため、例外を持たせておいたほうが良いでしょう。(rootユーザ、および一部ユースカジノ クレジットカード者のみは許可するなど)
SCPの制限はユースカジノ クレジットカードに実施するものとなるため、制限してしまうとrootユーザであっても実施することができませんのでご注意ください。
セキュリティグループの変更禁止などはきちんと運用ルールを定義する必要があるものについては、運用を実施していく中で必要であれば定義していく。というスタンスのほうが良いかと思います。
参考までに「特定のユーザやロールのみは無効化対象から外す例外設定」についてサンプルを記載します。
■特定のユーザ、ロール、rootからDeny制限を無効化するSCP設定
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyXXXXXX",
"Effect": "Deny",
"Action": [
"XXXXXXXXX"
],
"Resource": [
"*"
],
"Condition": {
"StringNotLike": {
"ユースカジノ クレジットカード:PrincipalARN": [
"arn:ユースカジノ クレジットカード:iam::*:user/XXXXX",
"arn:ユースカジノ クレジットカード:iam::*:role/XXXXX",
"arn:ユースカジノ クレジットカード:iam::*:root"
]
}
}
}
}ユースカジノ クレジットカード Organizationsを利用しての基本統制について
また、ずいぶんと長くなってしまいましたが、第2回でOrganizations自体の設計については必要なものを説明できたかと思います。
とはいえ、実際は統制を取るということについては、
- ユーザユースカジノ クレジットカード(IAM、SSO)
- Control tower
- Security Hub、GuardDuty、ユースカジノ クレジットカード Config
- NW全体設計
など様々な設計を実施する必要があります。
また、ずいぶん長くなってしまったため、一旦こちらで切らせていただきます。
第3回はユーザユースカジノ クレジットカード(IAM、SSO)を予定しています。ユーザユースカジノ クレジットカードとControl towerまで設計できれば統制の土台はできたという形になるかと思いますので、もう少々お付き合いください。
では、「ユースカジノ クレジットカードでマルチアカウント管理を考える(その3)」でお会いしましょう。
おわりに
ユースカジノ クレジットカードは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にユースカジノ 登録ください。
ユースカジノ クレジットカードが提供する
ユースカジノ クレジットカード構築・運用サービス
お客様のAWSビジネス利活用をユースカジノ クレジットカードの経験豊富なエンジニアがサポート!
コンサルティング・構築・運用までをワンストップかつ柔軟にご支援します。
