ヤマムギ

growing hard days.

*

「第二回 AWSマルチアカウント事例祭り」に参加しました

   


AWSマルチアカウント事例祭りに参加しました。
YouTube配信でした。

マルチアカウントでのIAMユーザ把握と可視化 IAMユーザー棚卸しへの取り組み

株式会社ZOZOテクノロジーズ CTO室 / 技術開発本部 SRE部 テックリード 光野 達朗さん

IAM認証情報レポートに取得を自動化して、分析されたと。
すんごい参考になります。

  • CloudFormation Service Managed StackSets
  • Athena
  • QuickSight

で構築されたそうです。

StackSetsで作成するのは、日次で実行するLambdaと実行するためのEventBridgeが主。
認証情報レポートの格納先S3は集約分析用のアカウント、AthenaとQuickSightもそのアカウントで構築。

Athenaのクエリーで$pathからS3オブジェクト名を取得できると。
便利ですね。
目的は必要ないIAMユーザーを各アカウントから削除することだそうです。

AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと

ニフティ株式会社 基幹システムグループ 石川 貴之さん

3年で200アカウント、利用者数は240名さん。
大変そう。

新規アカウントは20分で自動作成。
CloudFormation StackSetsでほとんど作って、できないとこはStep FunctionsからLambdaで実行されています。
ルートユーザーのパスワード再設定とMFA設定はやっぱり手動なのかあ。

コンプラチェックはConfigRule。
GuardDutyの結果もクロスアカウントで集約。

セキュリティインシデントを乗り越えるために行ったマルチアカウントでの取り組みについて

Classi株式会社 プロダクト開発部 大南 賢亮さん

Classiは教育現場をサポートするクラウドサービス。
サービスそのものに興味ありますね。

4/5に不正アクセスによりサービス停止されて、ユーザー情報流出の可能性があり、7月に外部サイトで流出の確認された。
なかなかに重たいお話ですね。
そこから対策を講じてきたそうです。

  • Organizationsで管理専用アカウントを作成
  • 推奨構成に準じてOUを構成
  • SCPのポリシー変更テストするOUを作成
  • awslabs/git-secrets導入
  • AWS SSOをAzureADと直接連携
  • 発見的ガードレールの実装

SIEM on Amazon ESの導入などなど、これからも今後の対策予定があるとのこと。

すごく参考になりました!
ありがとうございました。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

 - event, study ,

ad

ad

  関連記事

IoTセミナー in おおさか「IoTで変わる!企業と働き方」に行ってきました

これからの企業と働き方 ~IoT・AIが創造する未来~ さくらインターネット株式 …

AWS Summit 2016 Tokyoに参加してきました (前日 ~ Day1)

AWS Summit 2016 Tokyoにて、セッション聴講、ブース展示拝見、 …

「JAWS-UG 新潟 プチキャッチアップ 2021 #3」に参加しました

「当日、始まってからやること決めます。 AWSに関する記事や動画を見ながら、参加 …

Innovation EGG 第7回 『クラウドネィティブ化する世界』に行ってきました

Innovation EGG 第7回 『クラウドネィティブ化する世界』に行ってき …

Java SE 7 Silver対策勉強をしながらメモ 2015/1/31

本日は演算子。 休日出勤が土日と続きますがこういう時ほど続ける! いつものごとく …

Oracle Java SE7 Silverを受験してみて

受験の目的 Goldの前提条件だから Gold資格を取得する目的は技術レベルを理 …

JAWS DAYS 2018の1日前に名古屋にいました「JAWS-UG名古屋 AWS勉強会 JAWS DAYS 2018前夜祭」

仕事の都合でJAWS DAYS 2018の前日は名古屋にいました。 宿泊地はお店 …

「Kubernetes(k8s)導入とその後」を聞きにCTO Meetupというイベントに来ました

CTOではないのですが、参加者要項に「Kubernetesを知りたいエンジニア」 …

「Serverless Meetup Japan Virtual #15 – re:Cap」を視聴しました

オンラインで時間がかぶっていなかったので、はしごしました。 場所移動がないのもオ …

Java SE 7 Silver対策勉強をしながらメモ 2015/2/5

本日は例外。 いつものごとくマークダウンで記載したのでそのままJetpack M …