awsのメリットの1つに複数アカウントを利用できる点があります。プロダクト毎や環境毎にアカウントを作成することで作業効率やシステムセキュリティを強化することができます。一方、アカウントを増やすことで外部からのリスクや脅威を広げることにつながります。
awsで複数アカウントを利用する場合のメリットやデメリット、ベストな監視方法などを紹介します。
awsで複数アカウントに分けるメリット
多くのシステムでは1人に対して1アカウントというのが一般的であり、ユニークユーザに対して複数のアカウントを所持することを禁止するシステムも存在します。awsでは、1人に対して1アカウントという制限が存在せず、1人のユーザがいくつでもアカウントを所持する事が可能です。
しかし、アカウントを増やすことはセキュリティ面でリスクを拡大させる要因にもなるため、できる限り必要最小限のアカウント数で対応するのがベストプラクティスです。awsで複数アカウントを所持するメリットはいくつかあります。
まず、コスト面でのメリットです。awsは利用するそれぞれのプロダクトでコストが発生する仕組みで、コスト計算はアカウント単位で行われます。1人のユーザが複数のプロダクトに跨がって利用している場合、アカウント単位でコストが計算されるとプロダクト毎のコストを計算できなくなります。
そのため、1つのプロダクトごとにアカウントを用意する事でプロダクト単位のコストを容易に計算できるようになります。次に、環境面でのメリットです。システムの開発には試験環境で正常動作を確認してから本番環境に移行するのが望ましい方法です。
試験環境と本番環境では試験内容により与える権限などを変える必要があります。同一アカウントを利用することで権限の切り替えを頻繁に行わなければならず。逆にこれがリスクになる場面も発生します。そのためアカウントを試験環境と本番環境に分けるのが望ましい方法です。
最後に役割面でのメリットです。試験環境と本番環境と同じ考え方で、プロダクト毎によってユーザに与える権限を変えなければならないケースもあります。この場合でも複数アカウントを保持する事で権限管理が設計通りに行う事ができます。
複数アカウントによるリスク
複数アカウントを行うメリットはありますが、アカウントの数が多くなればなるほどそのリスクも比例して高まります。アカウントはawsに接続するためのキーです。キーの数が少なければ物理的に侵入される可能性も低くなります。
また、1人で複数のアカウントを所持していると、自分でいくつのアカウントを所持しているのか分からなくなったり、パスワードの設定の面倒さから、すべてのアカウントに同じパスワードを設定するなどリスクを高める挙動が多くなります。
そのため複数アカウントを利用する場合には誰にいくつのアカウントを発行しているのか、それぞれのアカウントの中で利用されていないアカウントは存在しないかなどを定期的に確認する必要があります。この管理を怠ると、利用していないアカウントを不正利用されて、システムへの侵入などのリスクを高める要因になります。
awsの複数アカウントの管理方法
複数アカウントの管理の第一歩は不必要なアカウントを作らないということです。アカウントの作成や削除の管理は単一アカウントの場合よりも厳密に行わなければなりません。新規アカウント申請時には、発行済みのアカウントで対応できない明確な理由があるか、アカウントの使用頻度の計画は妥当性を持っているかなどを検討する必要があります。
システム構成や考え方を変えることによってアカウントを増やすまでもなく、対応することができる場面も数多くあります。そのため、アカウント発行時のガイドラインを整備したり、承認プロセスを厳格化させることによってアカウントの無法作成を未然に防止することができます。
awsはクラウドシステムを構築する段階で最適な構成を考えるベストプラクティスを展開しています。AWS Well-Architected Frameworkは、実際に構築や運用をした実績をもとに構成されており、知見の集大成とも言える存在です。
このベストプラクティスに則った設計や構築、運用を行う事で、様々なリスクを低減させコスト最適化を図り、ビジネス成功の確率を高める事が可能になります。複数アカウントの最適化に関する記載もあるため、awsで複数アカウントを持たなければならない場合には目を通しておく価値はあります。
複数アカウントはOrganizationsで適切に監視
awsでは複数アカウントを適切に管理するためのツールを提供しています。Organizationsは複数アカウントを統合的に管理できるawsのサービスであり、組織内のアクセス管理をスムーズに実行させることができます。
Organizationsの最大のメリットは複数アカウントを一元管理できる点です。ユーザに紐付くアカウントはすべて独立した役割を持っていますが、同一ユーザのものという紐付けを行う事でアカウントの連動管理が可能になります。
例えば、1つのアカウントを停止させれば、同じユーザの他のアカウントも同時に停止させることができます。システム環境や権限についての同期を取ることも可能です。本番環境でのアカウントから試験環境のアカウントへの権限などの同期を取ることで試験環境単体でのアカウント変更作業工数を削減できます。
また、別ユーザへのアカウントも含めた一斉の権限変更やマルチアカウント作成の制限なども設定できます。これらの機能を用いることで複数アカウントの管理工数を大幅に削減することができます。アカウントの利用監視も行う事ができます。
アカウントが一定期間利用していなかったり、同一期間に複数のアカウントが作成されたケースなどをアラートで知らせる機能なども備わっています。しかもawsを利用している場合は無料で使用できる便利なツールです。
合わせて読む:awsでvpcを使ったネットワークには監視でリスク対策が必須
最後は人の目でアカウントを必要最小限に管理
Organizationsで複数アカウントを楽に管理する事ができても、最終的にはシステム担当による定期的なアカウントの棚卸しが最も重要なポイントです。アカウントは作成権限があれば自由に作れるため、システム担当者が知らないところで新規アカウントを作成されている事例は山ほどあります。
それらのアカウントが適正に利用されているのか、本当に必要なアカウントなのかを定期的に調査し、アカウントの整理をしていくのが理想です。アカウントが増えることでのリスクや脅威が増加することを念頭に、アカウント管理を行うのがベストな方法です。
awsの複数アカウントは監視でリスクを回避
awsは1人のユーザで複数アカウントを所持できます。コスト面の区別や環境面でメリットがありますが、アカウントを増やすことはリスクや脅威の拡大に直結します。複数アカウントでも適切に管理できるOrganizationsを導入し監視体制の強化を行ったり、システム管理者による定期的なアカウントの棚卸しを実施する事がベストプラクティスです。