2022年8月30日、 AWS との共同ウェビナー「最新動向をアイレットと AWS が語る~AWS Organizations の活用事例ご紹介~」を開催しました!
IT がビジネス実現にあたって不可欠な技術となる中、コンピューティング、データベース、ストレージ、アプリケーション等のサービスをインターネット経由で利用する「クラウド(クラウドサービス、クラウドコンピューティング)」が近年普及しています。例えば世界で幅広く採用されているクラウドとしてアマゾン ウェブ サービス(AWS)があります。
AWS をすでに活用し、ビジネスや組織のスケールアップをお考えの企業様の中には、スケールアップに伴う多数の AWS アカウントをセキュアかつ効率的に管理できるかについてお悩みの方もいらっしゃるかもしれません。
こうしたお悩みを解決するのが、複数の AWS アカウントの一元的な管理・統制を行なう AWS Organizations です。
この記事では、AWS Organizations のサービス概要、関連する AWS サービス、具体的な活用事例を中心に、2名によるセッションおよび質疑応答をレポートいたします!
マルチアカウントの必要性と AWS Organizations
まず、アマゾンウェブサービスジャパン合同会社 Senior Partner Solutions Architect ・高橋達矢氏(以下、高橋(達)氏)が登壇しました。高橋(達)氏は、技術的な支援やパートナー向けのトレーニング提供、セミナー講座等を行なっています。セッションでは、マルチアカウントの必要性やアカウント管理のポイント、 AWS Organizations や関連して利用できるサービスについて紹介しました。
マルチアカウントの必要性
高橋(達)氏は、ビジネスの実現という切り口からマルチアカウントの必要性についてお話を展開しました。
「IT はビジネスの成長を実現するための手段であり、ビジネスの要求事項からどのような IT 環境が求められているのかを考えていく必要があります」(高橋(達)氏)。
お客様のビジネスが提供する価値、それを実現するためのアイディアや実現スピード、セキュアかつコンプライアンス要件に準拠することがビジネスの要求事項であると、高橋(達)氏は捉えています。
こうした要求事項から、組織のセキュリティや監査要件への適合、高い可用性やスケーラビリティの確保、ビジネス要件の変更に追従できる柔軟性が IT 環境に求められると、高橋(達)氏は分析します。
ただし、こうした IT 環境を実現するためには、多くのチームや人数で作業する状況でもセキュリティや企業としてのコンプライアンスを統制できるか、コストの請求を適切に管理できるか、アカウントやサービス単位で環境を分離できるかなどが課題となります。こうした課題を解決するための方法がマルチアカウントの運用だといいます。
アカウント分割で管理可能となること
高橋(達)氏は、アカウントを分割することで、次の4つの管理が可能になると述べています。
- 開発環境やテスト環境、本番環境といった環境をセキュリティやガバナンス、コンプライアンス対応のために分離できる
- アカウント単位で AWS のコストが表示されるので、課金の管理が単純化できる
- 各ビジネス部門で AWS アカウントを割り当てることで、完全に分離された環境を構築し、独自のポリシーで IT 環境を運用できる
- アカウント分離によって、セキュリティレベルの違うワークロードを明確に分離できる
マルチアカウントの構成のポイント
こうしたアカウント分割による管理のメリットを踏まえた上でアカウントの構築が必要となってきますが、「アカウントを手作業で作成すると、ガバナンスやセキュリティ設定の抜け漏れや、構築自体のボトルネック化、継続的に各アカウントがコンプライアンスに遵守しているかの管理コストが必要といった課題が生じる」(高橋(達)氏)といいます。
そこで、 高橋(達)氏はAWS でマルチアカウントを構成するポイントについての解説に移りました。
「AWS は Builder (開発者)に適切なツールを提供するセルフサービスプラットフォームだと位置づけられており、(冒頭で述べた)ビジネス価値を素早く実現するためのプラットフォームを目指しています」(高橋(達)氏)
Builder が自由に開発できるために重視すべきセキュリティの考え方について、「ゲートキーパー(門番)」と「ガードレール」という対比を使って高橋(達)氏は説明しました。高橋(達)氏によると、従来型のセキュリティだと Builder がルールを守ってツールを利用しているかをゲートキーパーがその都度確認するというのが大半でしたが、開発スピードや生産性の低下が懸念されるといいます。そこで、ガードレールをあらかじめ用意し、セキュアにサービスを作るのが重要になるというお話でした。
ガバナンスをスケールさせるのにも、こうしたガードレール的な考え方が重要だといいます。
マルチアカウントの構成を迅速化する AWS Organizations
複数の AWS アカウントに対してポリシーベースのコントロールを一括して適用できるサービスが AWS Organizations であり、代表的な機能としてアカウントの階層的なグループ化、 IAM との統合とサポート、 AWS の各種サービスとの統合等が挙げられます。
この他、AWS IAM Identity Center (AWS SSO の後継サービス)や Amazon GuardDuty といった AWS Organizations に関連するサービスを高橋(達)氏は紹介し、最初のセッションが終了しました。
マルチアカウント管理を効率化する AWS Organizations
続いて、アイレット 2022 Japan AWS Partner Ambassador・高橋修一(以下、高橋(修))が登壇しました。高橋(修)が所属するクラウドインテグレーション事業部 MSP 開発セクションは、MSP 業務を自動化する社内サービスを中心に、様々なサービスを開発しています。セッションでは、ミスミグループ様やアイレット社内開発セクションでの活用事例が紹介されました。
事例1(ミスミグループ様)
まず高橋(修)から、AWS Organizations を導入する背景について説明がありました。 FA 機器などを取り扱うミスミグループ様は、100以上の AWS アカウントを保有し、マルチベンダー体制で様々な会社がアカウントを使用する状況にあります。しかし、会社やプロジェクトによって必要な統制やアクセスが異なるため、アカウントの統制を個別で制御するのは非効率で膨大な工数がかかるといった管理コストの高さが課題でした。
そのため、組織全体で集約的な管理の必要性から、AWS Organizations を活用したマルチアカウントの管理を開始しました。
ミスミグループ様の事例では、利用している AWS Organizations 統合サービスのうち、次の3つのサービスの実例が紹介されました。
- AWS Health
- AWS CloudFormation StackSets
- AWS Systems Manager
この事例では、3,000台を超える Amazon EC2 に対する脆弱性確認エージェントを一括導入しました。個別に1アカウントずつ導入するには、膨大な工数がかかります。そのため、 AWS Organizations と連携した AWS Cloud Formation StackSets と AWS Systems Manager を使って一括導入したと、高橋(修)から説明がありました。
こうした脆弱性確認エージェントの一括導入により、膨大なコストを削減できたとのことです。
また、ヘルスイベントの表示や通知の一元化できる AWS Health サービスについて高橋(修)から紹介がありました。 AWS Organizations と連携することで、対象アカウントからヘルスイベント情報を集約し、 AWS Health Aware で Microsoft Teams への通知が可能となりました。
事例2(アイレット社内開発セクション)
続いて、アイレット社内開発セクションでの活用事例について、高橋(修)が説明しました。 MSP 開発セクションでは、 AWS アカウント数は10数程度、セクション全体で8人、社内サービスごとに本番アカウント、ステージングアカウント、開発アカウント、共通的な技術検証用アカウントがあるという状況でしたが、しかし、この規模でもベストプラクティスやガイドラインがあっても個別に設定するのが厄介な状況でした。そのため、 AWS Organizations を最近使用し始めました。
高橋(修)からは、 Amazon GuardDuty による脅威検知の説明や AWS Organizations と連携することで検出結果を一覧化できたという説明がありました。
アイレットの対応サービスのご紹介
AWS Organizations の利用方法の説明の後、 AWS Organizations に対応したアイレットのサービスについて高橋(修)が紹介しました。また、アイレットによる既存のAWS請求代行サービスと、2022年7月から開始した AWS Organizations と連携できるサービスについて紹介し、2つ目のセッションが終了しました。
質疑応答
最後に質疑応答の時間が設けられました。
・AWS Health Aware で通知する内容をフィルタできるか
「種類やスケジュール、リージョン、アカウントなど、指定するパラメータでマークフィルタをかけることが可能です」(高橋(修))
・AWS 請求代行サービス + Organizationsを契約した場合の、アカウントや SSO ユーザーの登録や最初の受け渡し方法は?
「申し込み時に代表となる管理者の名前とメールアドレスを提供していただくと、ユーザーが作成されます。その後、送信される招待メールを承認し、パスワードを設定することでログインできます」(高橋(修))
・AWS 請求代行サービス + Organizations の契約料金はアカウント数が増えるにつれ値上げされるのか?
「契約料金は値上げされません。途中でアカウント数が増えても、組織単位で初期の月額2万円のままです」(高橋(修))
・管理者以外も AWS Organizations の機能を理解したほうがいいのか?
「AWS Organizations ではサービスコントロールポリシーで制限をかけるので、変更があったことについて管理者以外のエンジニアにも周知したほうがいいですね」(高橋(修))
「AWS 請求代行サービス + Organizations」の詳細はこちら:https://cloudpack.jp/lp/aws-organizations/
以上が、「最新動向をアイレットとAWSが語る~AWS Organizationsの活用事例ご紹介~」のウェビナーレポートとなります。ご出席いただきました皆様、開催にご支援いただきましたスポンサーの皆様、本当にありがとうございました。