AWS Organizations

AWS のホワイトペーパーに新しい推奨 OU として Business Continuity OU が追加されました

マネージドサービス部 佐竹です。本ブログでは、AWS のホワイトペーパー「Organizing Your AWS Environment Using Multiple Accounts」の「Recommended OUs and accounts」において、11個目の推奨 OU として新たに追加されました「Business Continuity OU」…

AWS Organizations でメンバーアカウントの root メールアドレスを管理アカウントで一元管理できるようになりました

現地時間 2024年6月7日 に新しくリリースされた AWS Organzations の管理アカウントからメンバーアカウントの root メールアドレスを変更できるようになった機能を試してみるとともに影響範囲を確認してみた記事です。

(小ネタ)スクリプトを使い、複数アカウントをAWS Organizationsの特定OUに移動させてみた

エンタープライズクラウド部の山下(祐)です。 AWS Organizations環境下で、複数のアカウントを特定のOUに一括で移動させたかったので、簡単なスクリプトを組んで移動させてみました。 今回の環境 今回は、以下のような条件下で移動を行います。 Organization…

AWS Config Rulesを使用し、組織全体で一定期間利用の無いIAMユーザーにDenyポリシーをアタッチしてみた

エンタープライズクラウド部の山下(祐)です。 今回は、AWS Config Rules(以下、Configルール)で一定期間利用の無いIAMユーザーを検知し、修復アクションでAWSDenyAllポリシーをアタッチ&管理者へのメール通知を行ってみたいと思います。 また、CloudForma…

Organizations 環境でのデフォルトセキュリティグループのルール自動無効化

はじめに こんにちは。エンタープライズクラウド部の脇江です。 今回は Organizations 環境でデフォルトセキュリティグループのルールを自動的に無効化する方法について記載します。 はじめに 対象読者 デフォルトセキュリティグループとは? デフォルトセキ…

IAM Identity Center における組織インスタンスとアカウントインスタンスの違いについてと注意点

IAM Identity Center において新たにアカウントインスタンスの提供が開始されていますが、その違いと、お客様からのお問い合わせを受けて認識した注意点についてまとめました

マルチアカウント環境における S3 バケットのレプリケーション設定方法

カスタマーサクセス部 岡部です。AWS Organizations を利用したマルチアカウント環境にて S3 バケットのレプリケーション設定の方法を記載しております。

マルチアカウントへの権限集約のポイントと必要な移行ステップ

こんにちは! エンタープライズクラウド部技術2課の日高です。 今回はマルチアカウントへの「権限集約のポイントと必要な移行ステップ」についてブログを記載しようと思います。 はじめに マルチアカウントにおけるユーザー認証方法の選択基準 マルチアカウ…

マルチアカウント環境下におけるSecurity Hubの有効化方法について

こんにちは。AWS CLIが好きな福島です。 はじめに 背景 それぞれの機能で出来ること 最適な実装について 注意点 その他の実装例について 終わりに はじめに 今回はマルチアカウント環境下におけるSecurity Hubの有効化方法について、ブログにまとめたいと思…

マルチアカウント環境で StackSets の失敗を検知し、通知する方法

カスタマーサクセス部 岡部です。AWS Organizations を利用したマルチアカウント環境にて StackSets の失敗を EventBridge で検知し、AWS Chatbot へ通知する方法を記載しております。

Amazon GuardDuty で検出結果の S3 への保存をクロスアカウントしようとしてハマった話

マネージドサービス部 佐竹です。Amazon GuardDuty の検出結果をクロスアカウントアクセスして S3 バケットに保存する設定を行う際に、少々権限まわりでハマったため、その解決方法について詳細に記載しました。Amazon S3 のアクセス権に関するざっくりとし…

マルチアカウントでのAWS Security Hubの通知について考えてみる

エンタープライズクラウド部の松田です。こんにちは。 今回はマルチアカウント環境での AWS Security Hub の通知についてです。 はじめに シングルアカウントでの実装方法 マルチアカウントでの実装方法 イベントパターンのサンプル まとめ 参考記事 はじめ…

Organizations を利用した GuardDuty の有効化手順

こんにちは。技術課の加藤ゆです。 久しぶりブログを書きました。最近は30度近い日が続いて、アイスコーヒーがおいしい季節ですね。 本記事では、単一リージョンでのGuardDuty有効化手順を記します。 Organizations環境では、 組織内のすべてのアカウントへ …

特定リージョン以外の操作をSCPで制限した場合、マネジメントコンソール上のグローバルサービスの表示がどうなるのか調べてみた

こんにちは!エンタープライズクラウド部技術2課の日高です。 特定リージョン以外の操作をSCPで制限した場合、グローバルサービス(検証ではS3を利用しました)のマネジメントコンソールでの表示はどうなるのか気になったので調べてみました。 気になったこ…

AWS Organizations におけるアクセス統制

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations における「アクセス統制」について整理してみます AWS Organizations におけるアクセス統制 AWS Organizations のおさらい アクセス統制について ①IAM方式…

マルチアカウント環境でAWS Service Catalogを利用する

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はマルチアカウント環境でAWS Service Catalog を利用する方法について整理していきます。 先に結論 おさらい AWS Service Catalog とは 想定しているマルチアカウント環境につ…

AWS Organizations における統合と委任について整理する

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 今回はAWS Organizations でよく利用される「統合」と「委任」について整理してみます AWS Organizations のおさらい AWS Organizations の統合と委任 概要 サポートしているAWSサ…

AWS Organizations におけるOU設計について考えてみる

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 最近は一気に気温が高くなり、我が家で生活しているフレンチブルドッグがバテ気味なのでそろそろクーラーを付けようか悩んでいます。 さて、昨今AWS Organizations を用いたマルチ…

AWS Organizations におけるSCP設計のポイントを整理してみる

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 サウナブームが到来しているせいか、毎週通っているサウナの人が徐々に増えてきて困っております さて、今回はAWS Organizations におけるSCP設計のポイントを整理してみようと思い…

【AWS Config】AWS Control Towerがやってくれる設定とやってくれない設定についてまとめました

EC部 技術1課の松田です。こんにちは。 今回はAWS Control TowerがやってくれるAWS Configの設定と、やってくれない設定についてお話しします。やってくれない設定についてはどうすればよいのか?という話にも触れていきたいと思います。 なおタイトル詐欺の…

AWS マルチアカウント統制下での Savings Plans 購入戦略を理解する

カスタマーサクセス部 佐竹です。本ブログでは、AWS Organizations を利用したマルチアカウント統制下における、Savings Plans の購入戦略について解説します。また3つの戦略においてはそれぞれ環境概略図を掲載し、さらに各注意点も合わせて記載していきま…

SCPによるAWS IAM Access Analyzer、AWS Security Hub、Amazon Detectiveの無効化拒否設定

こんにちは! CS課でOJTをしていた日高です! AWS Organizationsを利用していてセキュリティサービスの無効化・削除を拒否したい場合ってよくあるケースだと思います。 本記事ではOJT期間中に検証する機会があった IAM Access Analyzer、AWS Security Hub、A…

【AWS Backup】バックアップポリシーを使ってOrganizations配下のリソースをバックアップしてみる

2022年9月よりサーバーワークスにジョインしましたCI2部2課の三角です。 今回はAWS Backupのバックアップポリシーを使ってOrganizationsのOU配下のバックアップを取得したいと思います。 具体的な作業内容はOrganizationsの管理アカウントでAWSBackupのバッ…

マルチアカウントでAWS Configを使う時は「リトライ」機能に気を付けよう

CI2-1の松田です。こんにちは。 今日はあまり知られていないであろうAWS Configの「リトライ」の挙動についてお話します。 知らないとハマるかも?というところですので、特にマルチアカウントでAWS Configを使われている方は、最後までお付き合い頂ければ幸…

Reachability Analyzer が AWS Organizations に対応しアカウントを跨いだ分析が可能となりました

カスタマーサクセス部 佐竹です。2022年11月28日、ついに Amazon VPC Reachability Analyzer が AWS Organization に対応し AWS アカウントを跨いだ到達可能性分析に対応しました。実際にハマってしまったポイントを含めて本アップデートについて解説します。

AWSリソースのタグ設計について考えてみる - アカウント設計パターン編-

CI2部 技術2課の山﨑です。 先日ブログを書いたAWSリソースのタグ設計 - 基礎編- ではタグ設計に関する基礎知識を整理して考えてみましたが、今回はもう一歩踏み込んでアカウント設計のパターンごとにタグ設計について考えてみました。 検討したアカウント設…

AWSリソースのタグ設計について考えてみる - 基礎編-

CI2部 技術2課の山﨑です。 AWSリソースを設計する際に一度は目にしたことがある「タグ」の設定ですが、多くのAWSリソースではオプションとしてタグが付与できるようになっています。 今回はAWSリソースのタグ設計について考えてみました。 AWSリソースにお…

AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる

CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い(拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い)ため、同じ…

CloudFormation StackSetsのOU単位のデプロイにおいてアカウント単位でデプロイ可能なオプションが追加されました

CI2部 技術2課の山﨑です。 複数のAWSアカウントならびに複数のリージョンにワンオペレーションでAWSリソースをデプロイすることができるCloudFormation StackSetsはとても便利で、マルチアカウント運用をしている場合は重宝されている方もいらっしゃるので…

【更新】AWSにおけるアクセスポリシーの評価ロジック

CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…

IAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されました

CI2部 技術2課の山﨑です。 4月27日にIAM Policy の Condition要素で利用可能なGlobal Condition Key が3つ追加されるというアップデートがありました。 aws.amazon.com 今回はこのアップデートで一体何が便利になったのかを一部ご紹介します。 Global Condi…

AWS Single Sign-On (AWS SSO) を Terraform で作成する

はじめに 高橋 (ポインコ兄) です。 今回は Terrafoarm で AWS Single Sign-On (SSO) を作成してみます。 AWS SSO の基本的な部分については、以下ブログが参考になると思います。 blog.serverworks.co.jp また、Terraform についてはこちらをどうぞ。 blog.…

タグポリシーの大文字化コンプライアンスって何?

大文字化コンプライアンスって? 実際にやってみた 大文字化コンプライアンスあり 大文字化コンプライアンスなし まとめ こんにちは!技術2課濱岡です。 最近はピクミンブルームにハマって散歩ばかりしてます! さて、今回は小ネタです。 大文字化コンプライ…

Amazon S3 Storage Lens を組織単位で有効化する

営業部 佐竹です。本日は、Amazon S3 のコスト最適化に役立つツールである Storage Lens を組織単位で有効化する方法を記載します。

【AWS CLI】Organizations関連の情報取得編

こんにちは。AWS CLIが好きな福島です。 はじめに 利用するコマンド,サブコマンド <command> <subcommand> Organizations周り describe-organization ①OrganizationsID,機能セット,AWSアカウントID,メールアドレス アカウント関連 list-accounts ①AWSアカウント名,ID,ステータス ②</subcommand></command>…

AWS OrganizationsとCFn StackSetsを実際に運用して判明した現場に即したOU構成

こんにちは。AWS CLIが好きな福島です。 はじめに 結論 構成図 Foundation OU とは Suspended OU とは 導入した理由 ①RootにアタッチできるSCPの擬似的な制限緩和 補足 ②CloudFormaion StackSetsのエラー回避 補足 ポイント 備考 終わりに はじめに 今回は、…

【Organizations】 主要なガバナンス・セキュリティサービスを組織で一括で有効化する

最近ランニングを始めたCI部2課の山﨑です。 今回はOrganizationsを用いたAWS環境を構成する上で、主要なセキュリティサービスを組織で一括で有効化する方法を整理しました。 はじめに Organizations組織への展開イメージ セキュリティサービスの設定方法一…

AWS Config Aggregator を委任してマルチアカウント&マルチリージョンの評価を集約する

CI部 佐竹です。本日は、AWS Organizations に統合された AWS Config をメンバーアカウントに委任した後、AWS Config アグリゲーターを活用したデータ集約の設定方法について記載します。AWS Config Rules の状況を組織(Organization)でまとめて閲覧された…

SCP を活用してマネジメントコンソールにログイン可能な IAM ユーザの作成を禁止する

CI部 佐竹です。 本日は AWS Organizations の SCP を活用し、ジャンプアカウント以外のアカウントで「マネジメントコンソールにログイン可能な IAM ユーザ」の作成を組織レベルで禁止してみます。

AWSのホワイトペーパーから学ぶ AWS Organizations における推奨 OU 構成

CI部 佐竹です。 本日は、AWSのホワイトペーパー(白書)を読みながら、AWS Organizations の OU に関するベストプラクティスを学びたいと思います。 はじめに Organization (組織) SCP (サービスコントロールポリシー) エンティティ Root OU (organizationa…

【Organizations】SCPを利用して複数AWSアカウントのEC2へのパブリックIP付与を禁止する

こんにちは。AWS CLIが好きな福島です。 はじめに 結論 注意点 ①SCP適用前のAWSアカウントが対象 ②全AWSアカウントが対象 SCPのポリシー 解説 ①自動割り当てパブリック IPを有効にした場合、EC2を作成させない制限 自動割り当てパブリック IPを無効にしなけ…

AWS Organizations の SCP でリージョン制限

2021年6月の時点で、我々が通常使っているAWSアカウントには21リージョンが存在します。 しかし、多くの人が実際に使っているリージョンは数個ではないでしょうか。 AWS Organizations の SCPを利用し、特定リージョンのみ利用可とする方法を試したので紹介…

AWS SSO、AD、ABACを触ってみる

お久しぶりです。 クラウドインテグレーション部 柿﨑です。 IAMには属性ベースのアクセスコントロール(以下、ABAC)というものがございます。 ドキュメントを読んだだけではちゃんと理解できているか怪しいため、今回は触りながらABACの挙動を確認してみよう…

AWS Organizations でのアカウント新規作成を通知する

SRE部佐竹です。 今回は、AWS Organizations で AWS アカウントを新規に払い出ししたときに、その通知を送りたいという要望に対応します。実装方法は簡単で SNS と CloudWatch Events を設定するだけで、CloudTrail の API をフックして通知が可能です。

組織内の AWS Trusted Advisor の推奨をまとめて取得できる Organizational view を活用する

SRE部 佐竹です。 今回は AWS Trusted Advisor の新機能 Organizational view を活用し、組織内の全AWSアカウントまとめて Trusted Advisor の結果を取得後、分析を行います。 はじめに Organizational view を利用する Organizational view の結果を確認す…

AWS Organizations タグポリシーで組織内のタグを標準化する

SRE部 佐竹です。 本日は AWS Organizations の「タグポリシー (Tag policies)」について記載します。 タグポリシー とは、AWSサービスが生成する各リソースに付与可能なタグの標準化を各AWSアカウントに強制し、結果として「タグの入力間違い」を防ぐことが…

AWS Organizations の SCP で 設計時に気を付けるべきポイント

SRE2課 佐竹です。 AWS Organizations の SCP を設計していくうえで「ハマりやすい」ポイント(制限)をまとめました。AWS Organizations の SCP を設計する前にご一読頂けると嬉しく思います。

AWS Organizations の SCP で MFA を組織の全 IAM ユーザに強制する

SRE2課 佐竹です。 引き続き、AWS Organizations のお話です。今回は IAM ユーザにおけるMFAの強制(MFAが設定されていない状態では、極限られた動作しか実行できない)を AWS Organizations の SCP で実装する方法とその検証結果について記載しました。

AWS Organizations の SCP の継承について

SRE2課 佐竹です。 AWS Organizations のサービスコントロールポリシー(SCP) の「継承」を正しく理解できておらず、設計でハマったので調査してみました。 はじめに 用語説明 SCP(サービスコントロールポリシー) エンティティ Root OU(organizational unit…

GuardDutyのマルチアカウント設定がAWS Organizationsで少し簡単になりました

2020年4月21日のアップデートです。 Amazon GuardDuty simplifies multi-account threat detection with support for AWS Organizations Amazon GuardDutyはAWS組織のサポートを追加して、組織内のすべての既存および将来のアカウントにわたる脅威の検出を簡…