マルチAWSアカウント環境のセキュリティって無理ゲーじゃね？

ARANK

対象読者様々なプロダクトへ AWS アカウントや環境を提供する SRE / CCoE チームを想定しています。マルチAWSアカウント環境SRE / CCoE は各プロダクトが安全かつ便利に AWS を利用できるよう、AWS アカウントの設定・払い出しや周辺コンポーネントの提供（踏み台・ID管理・ログ収集 etc...）を行います。 個別プロダクトの基盤設計や構築は行いません。私の担当案件では 100 以上の AWS アカウントを提供しています。これでも多いとは言えず、例えば NTT ドコモでは 2,000 以上の AWS アカウントを管理しているそうです。セキュリティ対応方針セキュリティグループの全開放や S3 バケットのパブリック公開など、AWS リソースの不適切な設定についての対応を考えます。ゲート型IAM ポリシーやサービスコントロールポリシー (SCP) で セキュリティリスクのある操作をすべて禁止してしまう という考え方です。セキュアではありますが、プロダクト側は SRE / CCoE へ変更依頼を出さねばならず、クラウドの良さがまったく享受できません。ガードレール型ガードレールは以下の 2 種類から構成されます。予防的統制：リスクのある操作をさせない発見的統制：リスクのある操作を検…