SlideShare a Scribd company logo

AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)

N
NTT DATA Technology & Innovation

AWS Organizations連携サービスの罠 (Security JAWS 第26回 発表資料) 2022年8月25日 NTTデータ 奥村 康晃

Technology
1 of 34
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Most read
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
© 2022 NTT DATA Corporation [Security JAWS 第26回] AWS Organizations連携サービスの罠 2022/8/25 株式会社NTTデータ 奥村康晃
© 2022 NTT DATA Corporation 2 自己紹介 氏名:奥村 康晃 所属:NTTデータ ビジネスソリューション事業本部 データセンタ&クラウドサービス事業部 役割: - クラウド分野における技術リード - 先進技術のソリューション取り込み 好きなAWSサービス: - Organizations Security JAWS登壇: - Managed Service Provider(MSP)によるマルチOrganizations管理の裏側 - https://www.slideshare.net/nttdata-tech/managed-service-provider- security-jaws-24
© 2022 NTT DATA Corporation 3 本セッションをやろうと思った背景 Organizationsが一般的に利用されることが多くなり、それに伴いOrganizationsと連携が 可能なAWSサービスを使いたいというご相談を受けることが増えてきた あまり検討をされずに使い始めてしまうと、後から設計(設定)変更を余儀なくされたり、使わ れなくなったりという不幸なことが起きてしまう できればこうしたことを未然に防ぎたいと思い、ぜひともノウハウ共有させていただければと、登壇 させていただいた!
© 2022 NTT DATA Corporation 4 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 5 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 6 AWS Organizations連携サービスとは? • AWS Organizations と連携することでマルチアカウントの情報を集約管理したり、一括 制御することができるサービス群 • 現時点で30を超えるAWSサービスがAWS Organizationsと連携が可能 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html • AWSマルチアカウント環境を効率的に集約管理できそうな仕組みではあるが、実運用上ハ マりやすいいくつかの『罠』が散りばめられている • 本セッションでは、セキュリティサービスである下記4つのサービスについて、Organizations 連携サービスの『罠』について、紹介する 1. AWS Config 2. AWS Security Hub 3. Amazon Detective 4. IAM(組織アクティビティ)
© 2022 NTT DATA Corporation 7 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 8 AWS Config Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Configで記録しているAWSリソース構成情報をまとめて表示可能 • Configルールの評価結果をまとめて表示することも可能
© 2022 NTT DATA Corporation 9 AWS Configの罠 Organizations連携をしても、組織内のすべてのメンバーアカウントのAWS Configを有効化すること はできないため、一括有効化の方法は別途検討する必要がある。 また同様に、Configルールの一括配布もできないため、一括配布が必要な場合も検討が必要 AWS Cloud AWS Config AWS Cloud AWS Config AWS Cloud AWS Config ・ ・ ・ × 無効→有効 rule rule rule × ルール配布 メンバーアカウント メンバーアカウント Config管理アカウント
© 2022 NTT DATA Corporation 10 AWS Configの罠への対応策 1/2 Config有効化およびConfigルールの配布をAWS純正サービスで実現しようとする場合、AWS CloudFormation StackSetsがオススメ! CloudFormation StackSetsとは? 1つのAWS CloudFormationテンプレートを使用して、複数のAWSアカウントにスタックを作成できる AWS Cloud CloudFormation StackSets管理アカウント Stack Template AWS Cloud AWS Cloud Stack Stack Sets OUや AWSアカウント単位 で指定可能
© 2022 NTT DATA Corporation 11 AWS Configの罠への対応策 2/2 AWS Configの有効化やConfigルールの作成はCloudFormationで実現できるため、 CloudFormation StackSetsを利用することで、組織内のすべてのメンバーアカウントに一律の設定が 可能 https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html
© 2022 NTT DATA Corporation 12 【参考】CloudTrailはOrganizations連携をすると一括有効化が可能 CloudTrailはOrganizations連携を行っていれば、 組織内のすべてのアカウントを一括で有効化が可能です。
© 2022 NTT DATA Corporation 13 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 14 AWS Security Hub Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Security Hubの検査結果をまとめて表示可能 • 組織のメンバーアカウントのAWS Security Hubを一括で有効化 A A B B
© 2022 NTT DATA Corporation 15 AWS Security Hubの罠 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。
© 2022 NTT DATA Corporation 16 Organizations連携サービスにおけるアカウントの関係性 1/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud メンバー アカウント =Linked アカウント 管理アカウント =Payerアカウント Organizations Organizationsは管理アカウントとメンバーアカウントの関係性があり、特に何も設定をしなければ、管 理アカウントに情報が集約されていく ただ、管理アカウントは請求情報などのセンシティブなデータがあるため、極力利用しないのがベストプラク ティス(https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)
© 2022 NTT DATA Corporation 17 Organizations連携サービスにおけるアカウントの関係性 2/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud 委任管理者 アカウント 管理アカウント =Payerアカウント Organizations メンバーアカウントの中から委任管理者(そのサービスの親となるアカウント)を指定することができる 各サービスで委任管理者を指定することができるため、場合によってはサービスごとに委任管理者が異な ることも起きてしまう。 委任管理者 アカウント サービスA サービスB
© 2022 NTT DATA Corporation 18 AWS Security Hubの罠 1/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を同一アカウントに しておくと・・・ Security HubとDetectiveの例
© 2022 NTT DATA Corporation 19 AWS Security Hubの罠 2/4 Detectiveの詳細画面へ遷移可能
© 2022 NTT DATA Corporation 20 AWS Security Hubの罠 3/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を別々のアカウントに しておくと・・・ Security HubとDetectiveの例
© 2022 NTT DATA Corporation 21 AWS Security Hubの罠 4/4 Detectiveの詳細画面へ遷移不可
© 2022 NTT DATA Corporation 22 別々の委任管理アカウントを指定してしまった場合の影響 すべてのSecurity Hub統合サービスに影響があるわけではなく、 MacieやInspectorではSecurity Hubで実現できなくなる機能が増えるわけではない。 いくつか試した中で機能差分が確認できたものは、DetectiveとGuardDuty。 とはいえ、公式ドキュメントにもSecurity Hub統合サービスの委任管理者は同一アカウントとすべきとい うガイドが出ているため、特に理由がなければ、同一アカウントにそろえておくべき https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-account-restrictions-recommendations.html#securityhub-coordinate-admins
© 2022 NTT DATA Corporation 23 【参考】芋づる式に検討が増えるOrganizations連携サービス Security HubではConfigの有効化が必須なので、芋づる式に検討が必要なサービスが増える このように複数のサービスが利用前提となっているものとして下記があるので、事前に検討が必要。 ※CloudFormation StackSetsは必須ではなく、実運用上必要となることが多いため記載 # サービス名 利用前提サービス 1 AWS Control Tower 5つ (AWS CloudTrail, AWS Config, AWS CloudFormation Stacksets, AWS Single Sign-On, AWS Service Catalog) 2 AWS Firewall Manager 3つ (AWS CloudFormation Stacksets, AWS Config, AWS Resource Access Manager) 3 AWS Security Hub 2つ (AWS Config, AWS CloudFormation Stacksets) 4 AWS Audit Manager 3つ (AWS Security Hub, AWS Config, AWS CloudFormation Stacksets) 5 Amazon Detective 2つ (Amazon GuardDuty, AWS CloudFormation Stacksets)
© 2022 NTT DATA Corporation 24 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 25 Amazon Detective Organizationsと連携するとできることは? • 各メンバーアカウント内の検知情報の集約表示も可能 • 組織に新規追加されたメンバーアカウントのAmazon Detectiveを自動で有効化 A B B B B A A
© 2022 NTT DATA Corporation 26 Amazon Detectiveの罠 1/2 GuardDutyの有効化後48時間経過しないと、Detectiveを有効化できない https://aws.amazon.com/jp/detective/faqs/ この仕様は委任管理者の設定にも有効であり、GuardDutyの委任管理者設定後、48時間経過しな いと、Detectiveの委任管理者設定ができない 管理アカウント 委任アカウント GuardDuty 委任管理 アカウント設定 GuardDuty 有効 48時間 Detective 委任管理 アカウント設定 Detective 有効
© 2022 NTT DATA Corporation 27 Amazon Detectiveの罠 2/2 GuardDuty有効化後48時間経過していない状態で委任管理アカウントを指定すると、 下記のようにエラーが発生。 この制約は、新規追加したAWSアカウントのDetective自動有効化にも適用されるため、組織に新規 追加されたAWSアカウントのDetectiveが有効化されるのには48時間待機が必要
© 2022 NTT DATA Corporation 28 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 29 IAM(組織アクティビティ) Organizationsと連携するとできることは? • 組織内のAWSサービスを最後に利用したAWSアカウントを把握することができる(IAMアクセスアナ ライザーの組織版)
© 2022 NTT DATA Corporation 30 IAM(組織アクティビティ)の罠 一見すごいよさそうに見えるが、対象や操作者はそれぞれかなり粗い粒度でしか見えない 対象:サービスまで(アクションは見えない) 操作者:AWSアカウントまで(IAMレベルでは見えない) 対象 操作者 また、記録されるのはSCPで許可されているサービスのみであるため、 Denyされているサービスへのアクセスを確認するといった用途でも利用ができない
© 2022 NTT DATA Corporation 31 【参考】管理アカウントでしか利用できないサービス IAM(組織アクティビティ)は、管理アカウントでしか利用できないOrganizations連携サービス そのほかにも下記のサービスが管理アカウントでしか利用できない。管理アカウントはSCPによる制御がで きないため、開放する際はIAMポリシーによる厳密な制御が必要 • AWS Artifact • AWS Backup • AWS CloudTrail • AWS Compute Optimizer • AWS Control Tower • AWS Directory Service • AWS Health • AWS Marketplace • AWS Resource Access Manager • Service Quotas • タグポリシー • AWS Trusted Advisor • AWS Well-Architected Tool
© 2022 NTT DATA Corporation 32 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
© 2022 NTT DATA Corporation 33 まとめ • Organizations連携サービスの『罠』を紹介 1. Config → 一括有効化やルール配布方法の検討が必要 2. Security Hub → 同一AWSアカウントを委任管理者へ設定しないとすべての機能 を利用できない 3. Detective → 前提サービスであるGuardDutyの有効化後48時間経過しないと、 有効化ができない 4. IAM(組織アクティビティ) → 表示できる情報はかなり粗いものだけ • 現時点では注意ポイントはいくつかあるものの、マルチアカウント環境を集中管理できること のメリットは大きいので、本日紹介した点などを事前に検討いただきながら、ぜひとも積極的 にご活用いただきたい!
© 2022 NTT DATA Corporation

More Related Content

PDF
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
PPTX
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 
PDF
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
 
PDF
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
 
PDF
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
PDF
おひとりさまAWS Organizationsのススメ
Makio Tsukamoto
 
PPTX
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
PDF
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
 
Infrastructure as Code (IaC) 談義 2022
Amazon Web Services Japan
 
20220409 AWS BLEA 開発にあたって検討したこと
Amazon Web Services Japan
 
AWS Black Belt Techシリーズ Amazon VPC
Amazon Web Services Japan
 
20190806 AWS Black Belt Online Seminar AWS Glue
Amazon Web Services Japan
 
AWS Black Belt Online Seminar 2016 AWS CloudFormation
Amazon Web Services Japan
 
おひとりさまAWS Organizationsのススメ
Makio Tsukamoto
 
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
 
20210126 AWS Black Belt Online Seminar AWS CodeDeploy
Amazon Web Services Japan
 

What's hot (20)

PPTX
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
 
PDF
Serverless時代のJavaについて
Amazon Web Services Japan
 
PDF
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
 
PDF
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
PDF
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
 
PDF
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
 
PDF
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
 
PDF
Google Cloud で実践する SRE
Google Cloud Platform - Japan
 
PDF
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Toru Makabe
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
PDF
DockerとPodmanの比較
Akihiro Suda
 
PDF
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
Amazon Web Services Japan
 
PDF
[AKIBA.AWS] VGWのルーティング仕様
Shuji Kikuchi
 
PDF
[AKIBA.AWS] VPCをネットワーク図で理解してみる
Shuji Kikuchi
 
PDF
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
 
PPTX
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
 
PPTX
Amazon Athena で実現する データ分析の広がり
Amazon Web Services Japan
 
PDF
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
 
PDF
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
 
PDF
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
NTT DATA Technology & Innovation
 
Serverless時代のJavaについて
Amazon Web Services Japan
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
 
20200526 AWS Black Belt Online Seminar AWS X-Ray
Amazon Web Services Japan
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
NTT DATA Technology & Innovation
 
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
Amazon Web Services Japan
 
Google Cloud で実践する SRE
Google Cloud Platform - Japan
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
Toru Makabe
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
Amazon Web Services Japan
 
DockerとPodmanの比較
Akihiro Suda
 
AWS Black Belt Techシリーズ Elastic Load Balancing (ELB)
Amazon Web Services Japan
 
[AKIBA.AWS] VGWのルーティング仕様
Shuji Kikuchi
 
[AKIBA.AWS] VPCをネットワーク図で理解してみる
Shuji Kikuchi
 
20201111 AWS Black Belt Online Seminar AWS CodeStar & AWS CodePipeline
Amazon Web Services Japan
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
NTT DATA Technology & Innovation
 
Amazon Athena で実現する データ分析の広がり
Amazon Web Services Japan
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
Amazon Web Services Japan
 
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
Amazon Web Services Japan
 
Ad

Similar to AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料) (20)

PDF
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
PPTX
Occセキュリティ分科会 河野
OCC Cloud SECF
 
PDF
クラウドサービスの基本的な事
Mitsuaki Kida
 
PDF
AADDs Came to Azure
Mari Miyakawa
 
PPTX
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
NTT DATA Technology & Innovation
 
PDF
プライベートクラウドへの準備はできていますか?[ホワイトペーパー]
KVH Co. Ltd.
 
PDF
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
日本マイクロソフト株式会社
 
PDF
AWS の IoT 向けサービス
Amazon Web Services Japan
 
PDF
クラウド検討の進め方
コシキ・バリューハブ株式会社/KOSHIKI ValueHub
 
PPTX
【AWS Night in ITHD】AWSとのSoftLayerで仮想ネットワークオーバーレイ
Nobuyuki Matsui
 
PDF
20250630_aws_reinforce_2025_aws_sheild_network_security_director
uedayuki
 
PDF
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
PDF
AWS と Denodo で実現するデータ活用基盤 - データ民主化を加速するクラウド活用のポイント
Denodo
 
PDF
クラウドにおける Zero Trust の考え方 PALO ALTO NETWORKS DAY 2019 | TOKYO
Ryuki Yoshimatsu
 
PDF
Microsoft Build 2020: Azure IoT 関連最新情報
IoTビジネス共創ラボ
 
PDF
ハイブリッドクラウド構築の要所
Salesforce Developers Japan
 
PPTX
【Serverless Days】マルチクラウド環境における持続的コスト最適化サイクルの実践.pptx
Keita Higaki
 
PDF
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
Takayuki Ishikawa
 
PPTX
Data & AI Update 情報 - 2020年6月版
Takeshi Fukuhara
 
PPTX
Microsoft Azure のセキュリティ
junichi anno
 
セキュリティ設計の頻出論点
Tomohiro Nakashima
 
Occセキュリティ分科会 河野
OCC Cloud SECF
 
クラウドサービスの基本的な事
Mitsuaki Kida
 
AADDs Came to Azure
Mari Miyakawa
 
どうやって決める?kubernetesでのシークレット管理方法(Cloud Native Days 2020 発表資料)
NTT DATA Technology & Innovation
 
プライベートクラウドへの準備はできていますか?[ホワイトペーパー]
KVH Co. Ltd.
 
【de:code 2020】 Azure Expert MSP の FIXER が処方、DX に効く 「クラウド運用」「AI」「人材育成」 の即効薬
日本マイクロソフト株式会社
 
AWS の IoT 向けサービス
Amazon Web Services Japan
 
クラウド検討の進め方
コシキ・バリューハブ株式会社/KOSHIKI ValueHub
 
【AWS Night in ITHD】AWSとのSoftLayerで仮想ネットワークオーバーレイ
Nobuyuki Matsui
 
20250630_aws_reinforce_2025_aws_sheild_network_security_director
uedayuki
 
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
 
AWS と Denodo で実現するデータ活用基盤 - データ民主化を加速するクラウド活用のポイント
Denodo
 
クラウドにおける Zero Trust の考え方 PALO ALTO NETWORKS DAY 2019 | TOKYO
Ryuki Yoshimatsu
 
Microsoft Build 2020: Azure IoT 関連最新情報
IoTビジネス共創ラボ
 
ハイブリッドクラウド構築の要所
Salesforce Developers Japan
 
【Serverless Days】マルチクラウド環境における持続的コスト最適化サイクルの実践.pptx
Keita Higaki
 
AWS導入から3年 AWSマルチアカウント管理で変わらなかったこと変えていったこと
Takayuki Ishikawa
 
Data & AI Update 情報 - 2020年6月版
Takeshi Fukuhara
 
Microsoft Azure のセキュリティ
junichi anno
 
Ad

More from NTT DATA Technology & Innovation (20)

PDF
開発中の新機能 Spark Declarative Pipeline に飛びついてみたが難しかった(JEDAI DAIS Recap#2 講演資料)
NTT DATA Technology & Innovation
 
PDF
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
NTT DATA Technology & Innovation
 
PDF
PGConf.dev 2025 参加レポート (JPUG総会併設セミナー2025 発表資料)
NTT DATA Technology & Innovation
 
PDF
Can We Use Rust to Develop Extensions for PostgreSQL? (POSETTE: An Event for ...
NTT DATA Technology & Innovation
 
PDF
つくって壊して直して学ぶ Database on Kubernetes (CloudNative Days Summer 2025 発表資料)
NTT DATA Technology & Innovation
 
PDF
2025年現在のNewSQL (最強DB講義 #36 発表資料)
NTT DATA Technology & Innovation
 
PDF
Java in Japan: A Journey of Community, Culture, and Global Integration (JavaO...
NTT DATA Technology & Innovation
 
PDF
Unveiling the Hidden Layers of Java Class Files: Beyond Bytecode (Devnexus 2025)
NTT DATA Technology & Innovation
 
PDF
論理レプリケーションのアーキテクチャ (第52回 PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
PDF
実はアナタの身近にある!? Linux のチェックポイント/レストア機能 (NTT Tech Conference 2025 発表資料)
NTT DATA Technology & Innovation
 
PDF
Apache Sparkに対するKubernetesのNUMAノードを意識したリソース割り当ての性能効果 (Open Source Conference ...
NTT DATA Technology & Innovation
 
PDF
PostgreSQL最新動向 ~カラムナストアから生成AI連携まで~ (Open Source Conference 2025 Tokyo/Spring ...
NTT DATA Technology & Innovation
 
PDF
pgbenchのスレッドとクライアント (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
PDF
PostgreSQLのgitレポジトリから見える2024年の開発状況 (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
PDF
ストリーム処理はデータを失うから怖い?それ、何とかできますよ! 〜Apahe Kafkaを用いたストリーム処理における送達保証〜 (Open Source...
NTT DATA Technology & Innovation
 
PDF
生成AI時代のPostgreSQLハイブリッド検索 (第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
PDF
DAIS2024参加報告 ~Spark中心にしらべてみた~ (JEDAI DAIS Recap 講演資料)
NTT DATA Technology & Innovation
 
PDF
PostgreSQLのHTAP適応について考える (PostgreSQL Conference Japan 2024 講演資料)
NTT DATA Technology & Innovation
 
PDF
静かに変わってきたクラスファイルを詳細に調べて楽しむ(JJUG CCC 2024 Fall講演資料)
NTT DATA Technology & Innovation
 
PDF
Gartnerも注目するグリーンソフトウェアの実現に向けて (Green Software Foundation Global Summit 2024 T...
NTT DATA Technology & Innovation
 
開発中の新機能 Spark Declarative Pipeline に飛びついてみたが難しかった(JEDAI DAIS Recap#2 講演資料)
NTT DATA Technology & Innovation
 
PostgreSQL18新機能紹介(db tech showcase 2025 発表資料)
NTT DATA Technology & Innovation
 
PGConf.dev 2025 参加レポート (JPUG総会併設セミナー2025 発表資料)
NTT DATA Technology & Innovation
 
Can We Use Rust to Develop Extensions for PostgreSQL? (POSETTE: An Event for ...
NTT DATA Technology & Innovation
 
つくって壊して直して学ぶ Database on Kubernetes (CloudNative Days Summer 2025 発表資料)
NTT DATA Technology & Innovation
 
2025年現在のNewSQL (最強DB講義 #36 発表資料)
NTT DATA Technology & Innovation
 
Java in Japan: A Journey of Community, Culture, and Global Integration (JavaO...
NTT DATA Technology & Innovation
 
Unveiling the Hidden Layers of Java Class Files: Beyond Bytecode (Devnexus 2025)
NTT DATA Technology & Innovation
 
論理レプリケーションのアーキテクチャ (第52回 PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
実はアナタの身近にある!? Linux のチェックポイント/レストア機能 (NTT Tech Conference 2025 発表資料)
NTT DATA Technology & Innovation
 
Apache Sparkに対するKubernetesのNUMAノードを意識したリソース割り当ての性能効果 (Open Source Conference ...
NTT DATA Technology & Innovation
 
PostgreSQL最新動向 ~カラムナストアから生成AI連携まで~ (Open Source Conference 2025 Tokyo/Spring ...
NTT DATA Technology & Innovation
 
pgbenchのスレッドとクライアント (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
PostgreSQLのgitレポジトリから見える2024年の開発状況 (第51回 PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
ストリーム処理はデータを失うから怖い?それ、何とかできますよ! 〜Apahe Kafkaを用いたストリーム処理における送達保証〜 (Open Source...
NTT DATA Technology & Innovation
 
生成AI時代のPostgreSQLハイブリッド検索 (第50回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
 
DAIS2024参加報告 ~Spark中心にしらべてみた~ (JEDAI DAIS Recap 講演資料)
NTT DATA Technology & Innovation
 
PostgreSQLのHTAP適応について考える (PostgreSQL Conference Japan 2024 講演資料)
NTT DATA Technology & Innovation
 
静かに変わってきたクラスファイルを詳細に調べて楽しむ(JJUG CCC 2024 Fall講演資料)
NTT DATA Technology & Innovation
 
Gartnerも注目するグリーンソフトウェアの実現に向けて (Green Software Foundation Global Summit 2024 T...
NTT DATA Technology & Innovation
 

AWS Organizations連携サービスの罠(Security JAWS 第26回 発表資料)

  • 1. © 2022 NTT DATA Corporation [Security JAWS 第26回] AWS Organizations連携サービスの罠 2022/8/25 株式会社NTTデータ 奥村康晃
  • 2. © 2022 NTT DATA Corporation 2 自己紹介 氏名:奥村 康晃 所属:NTTデータ ビジネスソリューション事業本部 データセンタ&クラウドサービス事業部 役割: - クラウド分野における技術リード - 先進技術のソリューション取り込み 好きなAWSサービス: - Organizations Security JAWS登壇: - Managed Service Provider(MSP)によるマルチOrganizations管理の裏側 - https://www.slideshare.net/nttdata-tech/managed-service-provider- security-jaws-24
  • 3. © 2022 NTT DATA Corporation 3 本セッションをやろうと思った背景 Organizationsが一般的に利用されることが多くなり、それに伴いOrganizationsと連携が 可能なAWSサービスを使いたいというご相談を受けることが増えてきた あまり検討をされずに使い始めてしまうと、後から設計(設定)変更を余儀なくされたり、使わ れなくなったりという不幸なことが起きてしまう できればこうしたことを未然に防ぎたいと思い、ぜひともノウハウ共有させていただければと、登壇 させていただいた!
  • 4. © 2022 NTT DATA Corporation 4 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 5. © 2022 NTT DATA Corporation 5 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 6. © 2022 NTT DATA Corporation 6 AWS Organizations連携サービスとは? • AWS Organizations と連携することでマルチアカウントの情報を集約管理したり、一括 制御することができるサービス群 • 現時点で30を超えるAWSサービスがAWS Organizationsと連携が可能 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html • AWSマルチアカウント環境を効率的に集約管理できそうな仕組みではあるが、実運用上ハ マりやすいいくつかの『罠』が散りばめられている • 本セッションでは、セキュリティサービスである下記4つのサービスについて、Organizations 連携サービスの『罠』について、紹介する 1. AWS Config 2. AWS Security Hub 3. Amazon Detective 4. IAM(組織アクティビティ)
  • 7. © 2022 NTT DATA Corporation 7 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 8. © 2022 NTT DATA Corporation 8 AWS Config Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Configで記録しているAWSリソース構成情報をまとめて表示可能 • Configルールの評価結果をまとめて表示することも可能
  • 9. © 2022 NTT DATA Corporation 9 AWS Configの罠 Organizations連携をしても、組織内のすべてのメンバーアカウントのAWS Configを有効化すること はできないため、一括有効化の方法は別途検討する必要がある。 また同様に、Configルールの一括配布もできないため、一括配布が必要な場合も検討が必要 AWS Cloud AWS Config AWS Cloud AWS Config AWS Cloud AWS Config ・ ・ ・ × 無効→有効 rule rule rule × ルール配布 メンバーアカウント メンバーアカウント Config管理アカウント
  • 10. © 2022 NTT DATA Corporation 10 AWS Configの罠への対応策 1/2 Config有効化およびConfigルールの配布をAWS純正サービスで実現しようとする場合、AWS CloudFormation StackSetsがオススメ! CloudFormation StackSetsとは? 1つのAWS CloudFormationテンプレートを使用して、複数のAWSアカウントにスタックを作成できる AWS Cloud CloudFormation StackSets管理アカウント Stack Template AWS Cloud AWS Cloud Stack Stack Sets OUや AWSアカウント単位 で指定可能
  • 11. © 2022 NTT DATA Corporation 11 AWS Configの罠への対応策 2/2 AWS Configの有効化やConfigルールの作成はCloudFormationで実現できるため、 CloudFormation StackSetsを利用することで、組織内のすべてのメンバーアカウントに一律の設定が 可能 https://docs.aws.amazon.com/ja_jp/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html
  • 12. © 2022 NTT DATA Corporation 12 【参考】CloudTrailはOrganizations連携をすると一括有効化が可能 CloudTrailはOrganizations連携を行っていれば、 組織内のすべてのアカウントを一括で有効化が可能です。
  • 13. © 2022 NTT DATA Corporation 13 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 14. © 2022 NTT DATA Corporation 14 AWS Security Hub Organizationsと連携するとできることは? • 組織のメンバーアカウントのAWS Security Hubの検査結果をまとめて表示可能 • 組織のメンバーアカウントのAWS Security Hubを一括で有効化 A A B B
  • 15. © 2022 NTT DATA Corporation 15 AWS Security Hubの罠 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。
  • 16. © 2022 NTT DATA Corporation 16 Organizations連携サービスにおけるアカウントの関係性 1/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud メンバー アカウント =Linked アカウント 管理アカウント =Payerアカウント Organizations Organizationsは管理アカウントとメンバーアカウントの関係性があり、特に何も設定をしなければ、管 理アカウントに情報が集約されていく ただ、管理アカウントは請求情報などのセンシティブなデータがあるため、極力利用しないのがベストプラク ティス(https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html)
  • 17. © 2022 NTT DATA Corporation 17 Organizations連携サービスにおけるアカウントの関係性 2/2 AWS Cloud AWS Cloud AWS Cloud AWS Cloud 委任管理者 アカウント 管理アカウント =Payerアカウント Organizations メンバーアカウントの中から委任管理者(そのサービスの親となるアカウント)を指定することができる 各サービスで委任管理者を指定することができるため、場合によってはサービスごとに委任管理者が異な ることも起きてしまう。 委任管理者 アカウント サービスA サービスB
  • 18. © 2022 NTT DATA Corporation 18 AWS Security Hubの罠 1/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を同一アカウントに しておくと・・・ Security HubとDetectiveの例
  • 19. © 2022 NTT DATA Corporation 19 AWS Security Hubの罠 2/4 Detectiveの詳細画面へ遷移可能
  • 20. © 2022 NTT DATA Corporation 20 AWS Security Hubの罠 3/4 Security Hub統合可能サービス(GuardDuty/Inspector/Macieなど)と連携させる際には、同一 のAWSアカウントを委任管理者として設定しないとすべての機能を利用できない場合がある。 Security HubとDetectiveの 委任管理者を別々のアカウントに しておくと・・・ Security HubとDetectiveの例
  • 21. © 2022 NTT DATA Corporation 21 AWS Security Hubの罠 4/4 Detectiveの詳細画面へ遷移不可
  • 22. © 2022 NTT DATA Corporation 22 別々の委任管理アカウントを指定してしまった場合の影響 すべてのSecurity Hub統合サービスに影響があるわけではなく、 MacieやInspectorではSecurity Hubで実現できなくなる機能が増えるわけではない。 いくつか試した中で機能差分が確認できたものは、DetectiveとGuardDuty。 とはいえ、公式ドキュメントにもSecurity Hub統合サービスの委任管理者は同一アカウントとすべきとい うガイドが出ているため、特に理由がなければ、同一アカウントにそろえておくべき https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-account-restrictions-recommendations.html#securityhub-coordinate-admins
  • 23. © 2022 NTT DATA Corporation 23 【参考】芋づる式に検討が増えるOrganizations連携サービス Security HubではConfigの有効化が必須なので、芋づる式に検討が必要なサービスが増える このように複数のサービスが利用前提となっているものとして下記があるので、事前に検討が必要。 ※CloudFormation StackSetsは必須ではなく、実運用上必要となることが多いため記載 # サービス名 利用前提サービス 1 AWS Control Tower 5つ (AWS CloudTrail, AWS Config, AWS CloudFormation Stacksets, AWS Single Sign-On, AWS Service Catalog) 2 AWS Firewall Manager 3つ (AWS CloudFormation Stacksets, AWS Config, AWS Resource Access Manager) 3 AWS Security Hub 2つ (AWS Config, AWS CloudFormation Stacksets) 4 AWS Audit Manager 3つ (AWS Security Hub, AWS Config, AWS CloudFormation Stacksets) 5 Amazon Detective 2つ (Amazon GuardDuty, AWS CloudFormation Stacksets)
  • 24. © 2022 NTT DATA Corporation 24 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 25. © 2022 NTT DATA Corporation 25 Amazon Detective Organizationsと連携するとできることは? • 各メンバーアカウント内の検知情報の集約表示も可能 • 組織に新規追加されたメンバーアカウントのAmazon Detectiveを自動で有効化 A B B B B A A
  • 26. © 2022 NTT DATA Corporation 26 Amazon Detectiveの罠 1/2 GuardDutyの有効化後48時間経過しないと、Detectiveを有効化できない https://aws.amazon.com/jp/detective/faqs/ この仕様は委任管理者の設定にも有効であり、GuardDutyの委任管理者設定後、48時間経過しな いと、Detectiveの委任管理者設定ができない 管理アカウント 委任アカウント GuardDuty 委任管理 アカウント設定 GuardDuty 有効 48時間 Detective 委任管理 アカウント設定 Detective 有効
  • 27. © 2022 NTT DATA Corporation 27 Amazon Detectiveの罠 2/2 GuardDuty有効化後48時間経過していない状態で委任管理アカウントを指定すると、 下記のようにエラーが発生。 この制約は、新規追加したAWSアカウントのDetective自動有効化にも適用されるため、組織に新規 追加されたAWSアカウントのDetectiveが有効化されるのには48時間待機が必要
  • 28. © 2022 NTT DATA Corporation 28 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 29. © 2022 NTT DATA Corporation 29 IAM(組織アクティビティ) Organizationsと連携するとできることは? • 組織内のAWSサービスを最後に利用したAWSアカウントを把握することができる(IAMアクセスアナ ライザーの組織版)
  • 30. © 2022 NTT DATA Corporation 30 IAM(組織アクティビティ)の罠 一見すごいよさそうに見えるが、対象や操作者はそれぞれかなり粗い粒度でしか見えない 対象:サービスまで(アクションは見えない) 操作者:AWSアカウントまで(IAMレベルでは見えない) 対象 操作者 また、記録されるのはSCPで許可されているサービスのみであるため、 Denyされているサービスへのアクセスを確認するといった用途でも利用ができない
  • 31. © 2022 NTT DATA Corporation 31 【参考】管理アカウントでしか利用できないサービス IAM(組織アクティビティ)は、管理アカウントでしか利用できないOrganizations連携サービス そのほかにも下記のサービスが管理アカウントでしか利用できない。管理アカウントはSCPによる制御がで きないため、開放する際はIAMポリシーによる厳密な制御が必要 • AWS Artifact • AWS Backup • AWS CloudTrail • AWS Compute Optimizer • AWS Control Tower • AWS Directory Service • AWS Health • AWS Marketplace • AWS Resource Access Manager • Service Quotas • タグポリシー • AWS Trusted Advisor • AWS Well-Architected Tool
  • 32. © 2022 NTT DATA Corporation 32 Agenda • AWS Organizations連携サービスとは? • AWS Organizations連携サービス利用時の罠 • AWS Config • Security Hub • Detective • IAM(組織アクティビティ) • まとめ
  • 33. © 2022 NTT DATA Corporation 33 まとめ • Organizations連携サービスの『罠』を紹介 1. Config → 一括有効化やルール配布方法の検討が必要 2. Security Hub → 同一AWSアカウントを委任管理者へ設定しないとすべての機能 を利用できない 3. Detective → 前提サービスであるGuardDutyの有効化後48時間経過しないと、 有効化ができない 4. IAM(組織アクティビティ) → 表示できる情報はかなり粗いものだけ • 現時点では注意ポイントはいくつかあるものの、マルチアカウント環境を集中管理できること のメリットは大きいので、本日紹介した点などを事前に検討いただきながら、ぜひとも積極的 にご活用いただきたい!
  • 34. © 2022 NTT DATA Corporation

Editor's Notes

  • #26: セキュリティデータの分析、視覚化をして、潜在的なセキュリティ問題の調査、根本原因を迅速に特定を支援するサービス