第二回 AWSマルチアカウント事例祭り #ama_fes02 実況まとめ!
#ama_fes02 問題点: Switch Roleのセキュリティ。やったこと: AWS SSOへの移行。2020年9月 東京リージョンローンチをキッカケ。AWS SSO移行時のトラブル: 管理者Roleを削除したところ、CMKが閲覧、変更不可能になった。AWSサポートに協力してもらい何とか復旧できた
2021-02-09 20:12:40「KMS CMKの管理者ポリシーのプリンシパルのロールを消してしまった」こ、こわいですね。 サポートになんとかしてもらえたらしい。 (いつでもできると思わないほうがいいそうです) #ama_fes02
2021-02-09 20:13:21"KMS CMKの管理者ポリシーのプリンシパルのロールを消してしまった" なるほど。これは怖い ロールの最終使用日等を見ながら削除するとかで、一定の予防にはなるかな?何にしろ、この辺気が付きづらいので注意が必要だな #ama_fes02
2021-02-09 20:15:38#ama_fes02 予防的ガードレール: Organizations における SCP の活用。発見的ガードレール: CloudTrail / Config / GuardDuty / Security Hub / Trusted Advisor
2021-02-09 20:16:20マルチアカウント導入したところは、次はSIEM導入を検討するところが多いな。やっぱり不可分なんでしょうね。この辺の知識も強化していかないといけないなぁ #ama_fes02
2021-02-09 20:16:57"Permission Boundaryは難しい" 物凄く同意。設定するのも大変だし、思ったどおりの制限が出来ているか、検証するの大変なんだよなぁ。 #ama_fes02
2021-02-09 20:18:50#ama_fes02 Q&A: Q. RoleとSCPの管理を行うのは負荷にならなかったでしょうか。A. SCP に設定するものがそう多くないため、大きな負荷にならなかったとのこと / Q. 予防的ガードレールとしてPermission Boundary使っていますでしょうか? A. 運用が難しいと考え、現在は使っていないとのこと
2021-02-09 20:19:44ConfigRuleなどの検知設定のチューニング時の基準みたいなものはありますか? 必要/不要の判断の際に参考にするバックグラウンドとなるセキュリティポリシーが存在するのでしょうか #ama_fes02
2021-02-09 20:20:35#ama_fes02 Q&A: Q. SCPはAWS導入の初期から実施されましたでしょうか?AWSを運用した途中からSCPを入れるとしたら苦労しましたか? A. AWS利用開始から6年経過して導入。計画メンテナンスなどにタイミングでSCPを有効にしているとのこと
2021-02-09 20:25:14🎇第二回AWSマルチアカウント祭りアフターパーティーやります!🎇 イベントにご参加いただいた皆様ありがとうございました!この後、20:40よりclubhouseにてアフターパーティを開催します🎉答えきれなかったご質問などにゆるっとお答えする予定です。#ama_fes02 joinclubhouse.com/event/mWO56raL
2021-02-09 20:27:46同僚が書いたブログの紹介ですが、Organizations周りの機能について全10回の連載がされています。なかなかの大作なので、ご参考までにどうぞ fu3ak1.hatenablog.com/entry/2021/01/… ※自分で書いた訳ではないのに偉そうですがw #ama_fes02
2021-02-09 20:32:01