AWSの認定試験のSAPを取得しようと思っているので
学んだことを書き留めていこうと思います
個人的に資格勉強している内容や参加したクラスルームで学んだことを書きます
受講クラスルーム:Advanced Architecting on AWS
受講時の状況
新卒エンジニア SAA取得済み
業務で一年弱AWSは触っている
調べながら使えはするもののちゃんと理解があるかと言われると微妙。
勢いでAdvancedのクラスを受けてしまったが大丈夫か...と思っていました。
→講師の方に丁寧に解説して頂いて、思ったより理解できて、非常にタメになりました。
AWSアカウントの複数運用について
なぜ、アカウントを複数作るのか?
1.ログを生成しているアカウントとは別のアカウントにログを保存する
AWSログと設定データを一元的に保存、保護、処理できる
複数アカウントでセキュリティのモニタリングとコンプライアンスの確認を簡素化する
2.リソース保護を一元化する
AMI、EBS、Service Catalogなどを親アカウントから一つ以上の関連アカウントに共有
→デプロイを一元管理することができる。
許可されたユーザのみがそれらのリソースを変更できるように権限を最適化できる
3.開発用、検証用、商用に分ける
検証段階のデプロイが商用に影響を与えることを防ぐ。また権限管理も簡単になる。
IAM アイデンティティセンター
・AWSアカウントおよびクラウドへのSSOアクセスを一元管理するサービス
SAMLをサポートするカスタムアプリケーションに対するアクセスとアクセス許可を
管理する場合にも役立つ
主な機能
・ユーザとグループの作成管理を行いSSOを一元管理
・既存の企業IDの利用
・既存のIAMユーザ、ロール、ポリシーとの共存
・ユーザはIDプロバイダーに一回ログインすれば良い
・OrganizationsやAWS APIと統合されている
アイデンティティセンターの設定
- サービスを有効化するとデフォルトのストアが作成される
- そのストアでユーザとグループを直接管理できる
- ユーザーを作るとデフォルトでEメールが送信され、独自のパスワードを設定できる
- そのメールとパスを使用することでユーザポータルにサインインし、
割り当てられた全てのアカウントとアプリケーションに一箇所からアクセスできる
必要に応じて、既存のAWS Directory Service for Microsoft Active Directory
に接続し、ActiveDirectory管理ツールでユーザ管理できる
外部のIDプロバイダからIAMアイデンティティセンターにユーザとグループを
プロビジョニングし、アクセス許可を管理することもできる
AWS Organizations
・複数アカウントの管理を簡単にするリソース
・例えばIAMポリシーは特定のアカウントに付与するのが常だが、
SCPを適用することで組織(OU)単位でのアカウントグループアクセス制御できる。
・各アカウント請求の一括管理もできる。
特徴
・SCPとIAMがどちらもアクセス許可しているリソースにのみ実行アクセス可
(どちらか片方ではNG)
・組織のアカウント内にあるリソース間でタグを標準化できる
・SCPのみではアクセス許可できず、IAMと組み合わせて用いる
→明示的な許可ではなく、IAMで許可されているアクションが
本当に許可されているかのフィルタというイメージ
・リソースベースのポリシーには直接影響しない
・デフォルトのSCPはFullAWSAccess
AWS Control Tower
・組織に複数のAWSアカウントがある場合、クラウドのセットアップとガバナンスの
設定は時間がかかってしまうのでそういった際にこのリソースを使う
数回クリックするだけで新しいAWSアカウントをプロビジョニングできる
・OrganizationやIAMアイデンティティセンター、Service Catalogなどを組み合わせて
作成することができ、基準に合ったアカウントを作成できる
・ダッシュボードでアカウントやOUごとの基準を満たしていないリソースを確認できる
管理アカウント
ランディングゾーン専用に作成したアカウントのこと
Accout FactoryのプロビジョニングやOU、コントロールの管理も行う
ランディングゾーン
適切に設計されたマルチアカウントのAWS環境で
セキュリティやコンプラに準拠した基準となる環境
コントロール
継続的なガバナンスを提供するルールのこと
下記のような対応がある
予防:SCP(ポリシー違反を禁止)
検出:AWS Config(コンプラ違反の検出)
プロアクティブ:CloudFormationフック(リソースか基準を満たすことを確実にする)
Account Factory
組織のアカウントプロビジョニングワークフローの自動化を行う
テンプレートを使用することで新アカウントのプロビジョニングを標準化できる
Service Catalogを用いることで、より詳細なリソース単位のプロビジョニング
ができる。(この時リクエストしたユーザにサービスへのフルアクセスを許可する必要はない)
ダッシュボード
クラウド管理者がランディングゾーンをモニタリングでき、
基準を満たしていないリソースを確認する
まとめ
単一アカウントから複数アカウントへ移行する方法やその時に
有用なリソースをまとめました。これらのサービスの理解もまだまだなので、どんどん
内容を濃くできるよう学ぶ度に編集していこうと思います。