AWS Config
tatsuyaOrganizationsを使うとAWS Configで得られる主なメリット
1. すべてのアカウントでConfigを一括有効化
「Aggregator(集約機能)」 を使えば、複数アカウント・複数リージョンの設定状況を1箇所で集約・可視化できます。
各アカウントでConfigの有効化を忘れても、管理アカウントから自動的に有効化できます(Control Tower利用時は自動)。
2. OrganizationスコープのConfigルール適用
Organization Config Rules を使えば、特定のConfigルールを全アカウントに一括適用できます。
ルールのばらつきや、個別管理の煩雑さがなくなります。
3. ガバナンスとコンプライアンスの強化
たとえば「すべてのS3バケットは暗号化必須」などのルールをOrganization全体に強制できる。
違反リソースを検知 → Lambdaで自動通知 or 自動修正(例:タグ付けやリソース削除)というパイプラインを一貫して構築可能。
4. 一元的な違反検知・通知システム構築が可能
Lambda + SNS + EventBridgeと組み合わせれば、違反イベントを中央管理アカウントでまとめて受け取り、Slackやメール通知が可能。
例:
OrganizationConfigRule → 違反発生
→ EventBridgeで検知
→ Lambdaで通知(Slackなど) or 自動対応処理
tatsuyaCDKで自前 vs Organizations + OrgConfigRule
項目:CDKで自前対応, Organizations + OrgConfigRule
初期設定の手間: 全アカウントにCDK展開が必要, 管理アカウントから一括定義可
権限管理: 各アカウントにCDK実行用の権限必要, Organizationsが公式にサポート
ルールの一貫性: CDKバージョンや展開ミスのリスクあり, Org全体に強制的に反映可能
スケーラビリティ: アカウントが増えるたびに手動展開, 自動で新規アカウントに反映可
違反情報の集約: Aggregatorの設定が必要, Aggregator+統一ルールが前提設計
メリット: 柔軟なロジック、CDKでIaC化, 中央管理・一元化・自動化に最適
tatsuyaAWS SSO(IAM Identity Center)を使うメリット 5選
- アカウント・ロールの一元管理
複数のAWSアカウントに対して、誰がどの権限でアクセスできるかを中央のIdentity Centerで一括管理。
アカウントを跨ぐ際にも、一度のログインで複数アカウントに切り替え可能(Web/CLI両方対応)。
- ID連携(SSO)でログインが楽に
社内のIdP(Azure AD, Google Workspace, Okta, Active Directoryなど)と連携すれば、社内アカウントでそのままAWSにログイン可能。
ユーザーはAWSのIAMユーザー名やパスワードを覚える必要なし。
- CLIアクセスも統合認証で可能
aws configure sso を使えば、CLIからもSSO認証で複数アカウントに安全にアクセス可能。
特に開発者やSREにとって、パスワード管理やキー管理の手間が激減。
- 多要素認証(MFA)や監査が標準対応
MFAの強制、セッション制御、アクセスログ取得などが一元的に設定可能。
IAMユーザー+アクセスキー方式より遥かに安全で監査に強い。
- 新規アカウント・ユーザー追加が超ラクに
AWSアカウントを追加しても、Identity Centerで「このユーザーにこのロールを追加」で即アクセス可能。
部署異動、プロジェクト追加時の対応が圧倒的にスピーディー。