対象読者 様々なプロダクトへ AWS アカウントや環境を提供する SRE / CCoE チームを想定しています。 マルチAWSアカウント環境 SRE / CCoE は各プロダクトが安全かつ便利に AWS を利用できるよう、AWS アカウントの設定・払い出しや周辺コンポーネントの提供(踏み台・ID管理・ログ収集 etc...)を行います。 個別プロダクトの基盤設計や構築は行いません。 私の担当案件では 100 以上の AWS アカウントを提供しています。これでも多いとは言えず、例えば NTT ドコモでは 2,000 以上の AWS アカウントを管理[1]しているそうです。 セキュリティ対応方針 セキュリティグループの全開放や S3 バケットのパブリック公開など、AWS リソースの不適切な設定についての対応を考えます。 ゲート型 IAM ポリシーやサービスコントロールポリシー (SCP) で
![マルチAWSアカウント環境のセキュリティって無理ゲーじゃね?](https://cdn-ak-scissors.b.st-hatena.com/image/square/b005055c569b52fd57a61951be58275455ca7063/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--tqfukqyP--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%2525E3%252583%25259E%2525E3%252583%2525AB%2525E3%252583%252581AWS%2525E3%252582%2525A2%2525E3%252582%2525AB%2525E3%252582%2525A6%2525E3%252583%2525B3%2525E3%252583%252588%2525E7%252592%2525B0%2525E5%2525A2%252583%2525E3%252581%2525AE%2525E3%252582%2525BB%2525E3%252582%2525AD%2525E3%252583%2525A5%2525E3%252583%2525AA%2525E3%252583%252586%2525E3%252582%2525A3%2525E3%252581%2525A3%2525E3%252581%2525A6%2525E7%252584%2525A1%2525E7%252590%252586%2525E3%252582%2525B2%2525E3%252583%2525BC%2525E3%252581%252598%2525E3%252582%252583%2525E3%252581%2525AD%2525EF%2525BC%25259F%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ATakuya%252520Terada%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EvQUNnOG9jSUJHdEJIQ2hzYXVjbWNMWFdaYlpBNG1LSmFrbGhSOF84WGttc0Rkb0E1eVZrPXM5Ni1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)