More Related Content
Similar to 「進化し続けるインフラ」のためのマルチアカウント管理 (20)
More from Recruit Lifestyle Co., Ltd. (20)
「進化し続けるインフラ」のためのマルチアカウント管理
- 21. 基盤の権限構成
4つの権限:何度も調整して今の形に
● 管理者権限 - プロダクト責任者向け
○ SCPやS3バケットポリシーでDenyされていること以外なん
でもできる
● 開発者権限 - 開発者一般向け
○ IAM作成・変更、ビリング、RI・SP購入、Config、
CloudTrail、VPC作成・変更、DX、VPNなどをDenyしてい
る
● 運用者権限 - 運用者向け
○ 開発者に加えてSubnet、SecurityGroup、Spot、
RouteTable、NetworkACLをDenyしている
● コンテンツ権限 - S3バケット更新用
- 30. Consolidated Billing
&
Cost Explorer
● Invoiceの金額とce:GetCostAndUsage APIを利用
して、毎月Pythonスクリプトでどのアカウントにい
くら配賦するか算出
● 親アカウントで購入しているSavingsPlansのコスト
も、各アカウントで適用された割引額にあわせて
配賦
● 各アカウントの管理者に金額をお知らせするメー
ルは、Google App Scriptで一斉送信
- 35. Terraform化の対象
● CloudTrail + S3バケット
● Config
● GuardDuty
● VPC/Subnet/RouteTable/NATGW
● いくつかのSecurityGroup
● VPC Flow Logs + CWロググループ
● VPCピアリング
● CLB/ALB/NLBログ用S3バケット
● DB Subnet/ElastiCache Subnet
● 内部HostedZone/DHCPオプション