振り返りシリーズ
- セッション 01: エージェント向けアーキテクチャ設計への開発者ロードマップ
- セッション 02: Amazon Bedrock Data Automation
- セッション 03: AgentCore 上のマルチエージェント
- セッション 04: Nova Act と Strands Agents を実践で活用したエージェント型 AI の構築
- セッション 04: 仕様駆動開発と Kiro で移行プロジェクトを加速
- セッション 06: 「マッチング」から「理解」へ: AgentCore Memory が実現するパーソナライズド AI 検索の実践
- セッション 07: 観測から最適化へ – LLM オブザーバビリティから AIOps へ、リアルタイムの洞察をインテリジェントな自動化に変える
- セッション 08: TEAM の導入と最高のエンジニアリングチームの構築
- セッション 09: いわゆるサーバーレスデータベースの5年間から得た5つの厳しい教訓
- セッション 14: AI が私の仕事をしたらどうなるか Q Developer CLI と Kiro が私の日常業務をどう変えたか
- セッション 16: 警戒を保ちながら迅速に:Amazon Bedrock エージェント開発に不可欠なセキュリティ
- セッション 26: 1 台の H100 で OSS LLM をよりスマートに、低コストで、高速に実行
- セッション 28: 最新の統合メタデータアーキテクチャ:データサイロを解消する新たなアプローチ
- セッション 29: サーバーレス MediaOps:Amazon Web Services 上の AI による動画ワークフローの自動化
- セッション 30: 大規模パフォーマンステストによる効率性と信頼性を重視したアーキテクチャ設計
- セッション 31: オープンソースで世界をつなぐ: テクノロジー、コミュニティ、グローバルな開発者関係をめぐる実践の旅
- セッション 33: リアルタイム物流分析のためのストリーミング Iceberg テーブルの構築
- セッション 34: 大規模ロボット戦略トレーニングの高速化: Kiro、Trainium、EKS に基づく自動クローズドループアーキテクチャ
- セッション 35: 仕様駆動開発で「Vibe」から実用レベルへ
- セッション 36: クラウドコスト分析をよりスマートに: StrandsとAgentCoreによるFinOpsインテリジェントエージェントの構築
- セッション 37: CNCF Kagent、K8sGPT、Nova Sonicを使用したK8s向け対話型エージェントAIOpsの変革
セッションノート
マルチアカウントと IAM の設計:
- [ 1 ] シングルアカウントアーキテクチャ:
- 権限管理が複雑で、セキュリティの確保が困難
- ワークロードごとのコスト追跡が困難
- 運用ミスやクォータの問題が発生しやすく、運用が困難
- [ 2 ] マルチアカウントアーキテクチャ:
- 権限を分離してセキュリティを向上
- 各ワークロードのコストを容易に把握
- 作業の影響を最小限に抑えて運用効率を向上 ジャンプアカウント方式:
- ジャンプアカウントを設定し、IAM ユーザーを集約
- ユーザーはジャンプアカウントにログインし、各アカウントのロールに切り替える
- 各アカウントの権限は対象ロールに付与
- ジャンプアカウント方式を使用した IAM 設計のヒント:
- [ 1 ] 実際の役割に基づいてグループを作成
- [ 2 ] 役割に基づき、アカウントごとにロールを作成
- [ 3 ] IAM グループごとに切り替え先アカウントと IAM ロールを定義 TEAM によるアクセス制御:
- 本番環境のアクセス制御をどのように扱うべきか?
- 変更管理: いつ、誰が変更作業のために本番環境へアクセスしたか?
- 本番アクセス制御: 本番環境にはいつでもアクセスできるか?
TEAM によるアクセス制御
TEAM(Temporary Elevated Access Management)とは?
- Temporary Elevated Access Management の略称
- アカウントへのアクセスを管理するための承認ベースのワークフロー
- IAM Identity Center アクセスポータルからアクセス可能なアプリケーションとして提供 TEAM による本番アクセス制御のワークフロー(申請):
- [1/3] 本番アカウントには読み取り専用権限のみを持つ状態で、アプリケーションから TEAM を選択
- [2/3] リクエストを作成
- [3/3] まだ承認されていないため、ステータスは保留中 TEAM による本番アクセス制御のワークフロー(承認):
- 承認者は「リクエストを承認」から該当するリクエストを選択し、コメントを入力して承認 TEAM による本番アクセス制御のワークフロー(権限付与):
- 本番アカウントへのアクセス権限が追加済み
- 承認されたため、ステータスは「承認済み」に設定 全体的な TEAM の構成:
- ① IAM Identity Center の Amazon Web Services アクセスポータルにアクセス
- ② TEAM アプリケーションにアクセス
- ③ 昇格アクセスを申請
- ④ 昇格アクセスを承認
- ⑤ 昇格アクセスを有効化
- ⑥ 昇格アクセスを実行
- ⑦ セッションアクティビティを記録
- ⑧ 昇格アクセスを終了
- ⑨ リクエストの詳細とセッションアクティビティログを確認
TEAM の設計と実装:
- IAM Identity Center への移行に向けた権限の整理:
- ① 各アカウントのロールとポリシーを整理し、Permission Set を作成
- ② ジャンプアカウントのグループとポリシーを整理し、Entra ID にグループを登録
- ③ 割り当てを作成し、CloudFormation を活用 ペルソナの割り当てと承認ワークフローのルール設計:
- TEAM には4つのペルソナがある(アクセス申請、アクセス申請の承認、ログ監査、ルール管理)
- ペルソナの割り当てと承認ルールを設計
- ペルソナ割り当ての設計
- 何を承認申請すべきか?
- 誰が承認または却下すべきか?
- 承認を付与する最長時間
- 通知先(メール、チャット...) 小規模な運用から適用範囲を段階的に拡大:
- 小規模なチームで運用をテストし、適用範囲を段階的に拡大
- 個人 → 自分のチーム → 部門全体
- [ 1 ] 既存システムと並行運用
- 業務への影響を最小化
- [ 2 ] フィードバックに基づいて設定と運用を見直す
- ペルソナの割り当ては十分か?意図しない権限が付与されていないか? IAM Identity Center x TEAM:
- Entra ID からプロビジョニングされた SSO ユーザーを使用
- IAM Identity Center アクセスポータルを介して非本番アカウントのロールに切り替える
- TEAM での承認後に非本番アカウントのロールに切り替える
TEAM の利点:
- IAM Identity Center x TEAM:
- [ 1 ] ユーザーの観点:
- アカウント間のロール切り替えがより簡単になった
- リクエストまでの経路が短くなり、UI がよりシンプルで明確になった
- 開発効率が向上
- [ 2 ] 管理者の観点:
- IAM 管理から解放
- ペルソナの割り当てやリクエストルールなどの設定管理がより簡単になった
- 運用効率が向上 まとめ:
- 「TEAM」を通じて、すべての「Team」メンバーの運用意識とセキュリティ意識が向上
- マルチアカウント構成では、本番アカウントのアクセス管理を検討
- 「IAM Identity Center x TEAM」により容易な制御が可能
- TEAM の実装により、チームの生産性、セキュリティ、コンプライアンスが向上
