AWS Control Towerの薄くない本
- 2,500 JPY
『AWS Control Towerの薄くない本』 2024年2月:業務で関わることはなくなったので更新をやめました。 A5版, PDF, 本文339ページ (いまのところ) 粗々書き終わっているのですが、まだ書き直しなどが発生していてなかなか終わりません。 書き終わるために、まだ手直しの途中ですが手を入れた部分から公開を開始しました。 書き終わりることを前提に高めの頒布価格設定になっています。完成したら値上げする予定です。購入済みの方は、無償で新しいバージョンがダウンロードできるので少しお得になります。 ページ数が多いので紙版をリリースする予定はありません。 スクリーンショットが多いので、内容は濃くはありません。入門レベルです。 大半のスクリーンショットは、マネジメントコンソールが刷新される前のものでしたが、流石に変化が激しく、そのままでは誤解を与えてしまうこともあるので、順次差し替えを行っていますので完成がさらに先に伸びました。
関連する薄い本について
すでに公開済みの姉妹編2冊の扱いは以下になります。 『AWS Control Towerを始める前にマッサラのアカウントにやっておく準備の薄い本』 (https://kinneko.booth.pm/items/3611982) 長くなってしまうので取り込まない予定です。改定継続中です。 『既存アカウントをAWS Control Tower配下に取り込む薄い本』 (https://kinneko.booth.pm/items/3807608) 内容については、少し強化したバージョンを取り込み終わっています。 こちらの改訂は中止しています。
目次(予定含む)
はじめに 1. AWS Control Towerをはじめる前に 1 1.1 規模によるAWSアカウント管理戦略の変化 1 1.2 AWS Control Towerは救世主か? 3 1.3 本書で扱う作業の達成事項 4 1.4 注意事項 4 1.5 使用するサービス 5 1.6 マスターアカウントの開設 6 マスターアカウントの操作 8 1.7 はじめる前に用意するもの 8 2. AWS Control Towerの有効化 11 2.1 開始リージョンの設定 13 2.2 AWS Control Towerを開始する 16 2.3 料金の確認とリージョンの選択 18 料金の確認 18 ホームリージョン 20 リージョン拒否設定 20 ガバナンスのための追加 AWS リージョン 23 2.4 組織単位 (OU) の設定 27 基礎となるOU 27 追加のOU 29 2.5 共有アカウントの設定 30 管理アカウント 31 ログアーカイブアカウント 32 アカウントの監査 34 2.6 CloudTrail と暗号化を設定する 37 AWS CloudTrail の設定 38 Amazon S3 のログ設定 39 KMS暗号化 41 2.7 ランディングゾーンの確認とセットアップ 42 2.8 設定の進捗確認 50 2.9 AWS Organizationsの電子メールアドレス確認処理 59 2.10 AWS IAM Identity Centerの招待メールの対応 63 2.11 その他の電子メールへの対応 70 AWS Notification - Subscription Confirmation 70 「ようこそ」と「お客様の AWS アカウントの準備ができました 」 71 2.12 設定内容を確認する 72 ダッシュボード 73 ガードレール 75 ガードレールの実体 80 ランディングゾーン 89 2.13 この時点での課金状況 91 3. OUの追加と移動 95 3.1 現在のOU構成と変更するOU構成 95 3.2 OUの新規作成 97 3.3 一度作成したOUは移動できない 103 3.4 OUの削除 105 4. dev OUに開発メンバーを招待する 111 4.1 AWS SSOが AWS IAM Identity Centerになった 111 4.2 各OUの権限ポリシー 113 4.3 登録メンバーとグループ 114 グループの作成 114 グループの削除 119 グループにアクセス権限を割り当てる 121 4.4 AWSアクセスポータルURLのカスタマイズ 128 4.5 アイデンティティソースの選択 132 4.6 サインインのタイムアウト時間の延長 134 4.7 アクセス許可セットごとのタイムアウト時間の設定 140 4.8 AWS IAM Identity Centerへのユーザーの招待 148 4.9 招待メールの了承と初回サインイン 156 4.10 AWS IAM Identity Centerサインイン画面の使い方 165 5. MFA(多要素認証)を設定する 171 5.1 サインイン時のMFAの必須化 171 MFAの購入と配布 171 ユーザーのMFA使用状況の確認 172 ユーザーのMFAを無効にする 174 MFA使用を必須に設定する 175 5.2 MFA認証の追加 (yubikey) 190 5.3 MFA認証の追加 (認証アプリ) 199 5.4 電子メールのベリフィケーションコード送付の自動停止 207 5.5 物理キーを使ったサインイン 207 5.6 認証アプリと物理キーの優先順位 208 5.7 MFAデバイスの削除 210 5.8 サインイン中のMFAデバイスの削除 210 6. AWS IAM Identity Centerの追加設定 213 6.1 表示されるAWSアカウント名を変更する 213 6.2 決済担当者の権限を追加する 222 許可セットの作成 223 マスターアカウントにBillingグループとBilling許可セットを割り当てる 234 ユーザーアカウントをBillingグループに登録する 240 決済権限のみのユーザー 245 6.3 招待メールを送ったのに期限切れした人に対応する 249 招待期限切れの画面表示 249 期限切れを起こしたユーザーの確認 253 ユーザーを削除して再登録する方法 256 手動で確認メールを再送付する 258 手動でパスワードリセットメールを再送付する 262 6.4 フェデレーティッドユーザー名の表示を変更したい 268 7. AWSアカウントの新規作成 279 7.1 Account Factoryの成り立ち 279 7.2 Account Factoryへの課金 280 7.3 Account Factoryを使ったAWSアカウントの作成に必要な情報 280 7.4 Account Factoryを使ってAWSアカウントを追加する 282 "No launch paths found for resource"エラー 293 複数のAWSアカウントの作成の自動化 294 7.5 AWS IAM Identity CenterでユーザーをAWSアカウントに紐づける 297 7.6 AWS IAM Identity CenterユーザーをAWSアカウントに割り当てる 303 7.7 AWS IAM Identity CenterユーザーをAWSアカウントから削除する 316 7.8 AWS IAM Identity CenterグループをAWSアカウントに割り当てる 320 8. AWSアカウントの削除 329 8.1 AWS Organizationsコンソールからアカウントを停止する 329 8.2 AWS IAM Identity Centerアカウントの掃除 339 ----[現在ここまで]---- 9. 既存のAWSアカウントを取り込む 341 アカウント移行前の注意点 342 9.1 既存の有効サービスとのコンフリクト 343 AWS Organizatios 343 AWS Config 348 9.2 既存アカウントをAWS Organizationsに招待する 349 9.2 マスターアカウントからの招待に応じる 357 9.3 招待を受け入れた後の状態を確認する 363 9.4 既存アカウントをOU配下に移動する 367 9.5 OUを再登録する←間違い? 375 「事前チェックに失敗しました。」と表示される場合 410 AWS IAM Identity Centerでサインインできるか確認する 433 9.6 既存アカウント側のIAMなどを見直す 436 9.7 課金情報の継続性 437 9.8 既存アカウントが別のAWS Organizations配下であった場合の課金問題 442 9.9 OUの更新に失敗する 444 9.10 AWS Control Tower配下はVPCが異なる 453 9.11 AWS Organizationsのアカウント上限緩和申請 457 9.12 クレジットカードの決済金額の上限設定 473 組織を離れる 474 10. AWS Control Towerの追加設定と操作 510 10.1 AWS Control Tower使用時の請求表示 510 10.2 AWS Control Towerのランディングゾーン更新 511 10.3 AWS Control Towerのマスターアカウントのメールアドレスを変更する 530 10.4 AWS Control Towerのエラー確認方法 537 10.5 Log Archiveの扱い 540 11. アカウント統合後のサポート契約 546 12. この後のAWS Control Towerの運用 549 13. AWS Control Towerの導入でエラーになった 550 14. エラー発生! 550 15. 以下リサイクル用 AWS Control Towerの配下の2種類のアカウント 579 ルートアカウントのパスワードのリセット 579 8.1 AWSアカウントを管理解除する 586 8.2 AWSアカウントをAWS Service catalogから管理解除する 593 8.3 AWSアカウントの削除 600 削除の確認 626 アカウント削除時に「汚染」と表示される 629 AWS IAM Identity Centerのユーザー削除 632 8.4 管理解除されたAWSアカウントを管理下に戻す 638 8.5 管理除外したアカウントをスタンドアロンアカウントに戻す 648 あとがき
更新履歴
作業中版A1 2022.9.1公開 本文65ページ。 作業中版B1 2022.9.2公開 本文85ページ。 作業中版C1 2022.9.6公開 本文107ページ。 各所追記、修正など。 「8.3 登録メンバーとグループ」にグループの登録手順など追記中(未完)。 「1. AWSアカウントの管理戦略の変化」を追記。 「2. AWS Control Towerは救世主か?」まったく未完。 「16. アカウント統合後のサポート契約」追記。 構成に問題あるような感じで迷走中。ページ数増加中。 作業中版D1 387ページ スクリーンショットを最新に差し替える決心をしたが、画面だけで なく設定内容も変わっていてメゲそう... ControlTowerのデプロイに失敗する問題が出て、サポート契約を 行って問い合わせ中... 10/2 本文合計395ページ 「AWS Control Towerは救世主か?」書き上げる。 AWS SSOを一括置換したときのミスを修正。(IAMが抜けていた) P72「8.11設定内容を確認する」の前まで画面の再キャプチャ終わり。 マネジメントコンソールの画面変わりすぎ。 まだC1のところまで辿り着かない。なぜかページ数は増えている。 10/3 本文合計402ページ 2022.10.3公開 本文92ページ。 「8. AWS Control Towerの有効化」までの更新を完了して公開。 C1と比較して、9.10章分が後退している。 作業中版E1 406ページ 2022.10.15公開 本文107ページ。 「9. OUの追加と移動」までの更新を完了して公開。 作業中版F 417ページ 2022.10.21公開 本文127ページ。 「10.4 サインイン時のMFAの必須化」の途中まで C1版の内容に追いついたので、C1の頒布は中止します。 作業中版G 418ページ 2022.11.08公開 本文131ページ。 遅々として進まず。そして新しいネタが上がってくる... 作業中版H 450ページ(ただしバッサリ消える章が残っている) 2022.11.10公開 本文159ページ。 AWS仕様変更のため「11.1 セッション時間を延長する」廃止予定 「10.7 サインインのタイムアウト時間の延長」新設 「10.8 アクセス許可セットごとのタイムアウト時間の設定」新設 11.6? 新規書き下ろし。 作業中版I 457ページ(ただしバッサリ消える章が残っている) 2022.11.11公開分 本文209ページ。 ようやく10章を抜けて、200ページも越えました。 でも、まだ先は長い... 原文のデータは2.75GBになりました。 作業中版J 全460ページ(不要部分をだいぶ削除したのに増えた...) 2022.12.08公開分 本文245ページ 「11.AWS IAM Identity Centerの追加設定」作業中 AWS Security HubがAWS Control Tower と統合されてショック... 作業効率化のためサムネイルの入れ替えは停止しました 200ページを越えたので、次回は頒布価格をアップする予定です 作業中版K 全481ページ予定 2022.12.20公開分 本文294ページ 編集が終わったページについて、レイアウト見直しを行いました 少しページ数が減り、読みやすくなったと思います 章立ての整理を行い、扉ページを追加しました 付け焼き刃に書いた冒頭の数章がダメダメだったので手を入れました MFA関係の記載がとっちらかっていたので1つにまとめました 目標の300ページに届かなかったので頒布価格は据え置きます 作業中版L 2023.02.14公開分 本文327ページ 執筆済みページ予定は意味がないので掲載をやめました。 300ページを超えましたので、頒布価格を値上げしました。 作業中版M 2023.02.21公開分 本文339ページ 『8.AWSアカウントの削除』追加。 作業中版N 編集中...