StoreCon IAM Multi-Account Architecture

凡例

SSO Login — IAM Identity Center経由のログイン

AssumeRole — クロスアカウントロール切替

Device Auth — Cognito経由のデバイス認証

STS Token — 一時認証情報の発行

SCP Deny — Organizations SCPによるガードレール

Audit Log — CloudTrail/SecurityHub監査フロー

Resource Access — IAMロール経由のリソースアクセス

概要

コンビニエンスストアのストアコンピューター（56,000台）をAWSへ移行する際のIAM設計。AWS Organizationsによるマルチアカウント戦略を基盤に、人間のアクセス（SSO）とデバイスのアクセス（Cognito）を分離。本番/ステージング/開発の環境分離と、ログ集約アカウントによる統合監査を実現する。

データフロー

SSO 本部スタッフのアクセス

HQ Operations / Developers→ IAM Identity Center (SSO)→ AssumeRole→ ProdOpsRole / StagingRole / DevRole

Device 店舗デバイス認証

Store Computer (56,000)→ Cognito (Device Auth)→ STS Token→ StrConAppRole (Instance Profile)

Resource ロールからリソースへのアクセス

StrConAppRole→ Secrets Manager (DB認証情報)

StrConAppRole→ KMS CMK (暗号化/復号)

Governance ガバナンス

Organizations→ SCP (Region Lock)→ 全アカウントに適用

Audit 監査フロー

全アカウントのAPI操作→ CloudTrail (全リージョン)

GuardDuty (脅威検出)→ Security Hub (統合ダッシュボード)

レイヤー構成

レイヤー	AWSサービス	用途
Governance	Organizations, SCP	マルチアカウント管理、リージョン制限ガードレール
Identity (Human)	IAM Identity Center (SSO)	本部スタッフのシングルサインオン、クロスアカウントアクセス
Identity (Device)	Cognito User Pool / Identity Pool	56,000台の店舗端末デバイス認証、STS一時認証情報発行
IAM Roles	StrConAppRole, ProdOpsRole, DevRole	最小権限の原則に基づく職責別ロール
Encryption	KMS (CMK), Secrets Manager	データ暗号化、DB認証情報の安全な保管
Audit	CloudTrail, GuardDuty, Security Hub	全アカウント統合監査、脅威検出、セキュリティ検出結果の集約

設計のポイント

マルチアカウント分離 — 本番/ステージング/開発/セキュリティを別アカウントに分離することで、アクセスキー漏洩時の爆発半径（Blast Radius）を限定。SCPで東京リージョン以外のEC2起動を禁止し、コンプライアンスを自動適用
IAMロールによるアクセスキーレス — EC2インスタンスプロファイル（StrConAppRole）により、アプリケーションコードにアクセスキーを埋め込まずにS3/SecretsManager/KMSにアクセス。56,000台のデバイスへの鍵配布リスクをゼロに
人間とデバイスの認証分離 — 人間はSSO経由でMFA必須のAssumeRole、デバイスはCognito経由でSTS一時認証情報を取得。認証方式を分離することで、デバイス側のセキュリティインシデントが人間の管理者アクセスに波及しない
ProdOpsRoleのMFA必須化 — 本番アカウントへのAssumeRoleにMFA条件を付与。万が一SSOセッションが乗っ取られても、物理MFAトークンなしでは本番操作不可

コスト概算

ap-northeast-1 (東京) リージョン基準の月額概算。実際の費用は利用量により変動します。
為替レート: $1 = 150円（参考値）

サービス	構成	Dev (月額)	Prod (月額)
IAM / Organizations / SSO	グローバルサービス	$0 (無料)	$0 (無料)
Cognito	User Pool (56,000 MAU)	$0 (Free Tier)	$33 (4,950円)
KMS	CMK x1 + API呼出	$1-3 (150-450円)	$1-10 (150-1,500円)
Secrets Manager	シークレット x3-5	$1.20-2.00 (180-300円)	$1.20-2.00 (180-300円)
CloudTrail	マルチリージョン (1 trail)	$0 (1 trail無料)	$0-5 (0-750円)
GuardDuty	脅威検出	$4-10 (600-1,500円)	$10-30 (1,500-4,500円)
Security Hub	検出結果集約	$1-5 (150-750円)	$5-15 (750-2,250円)
合計		$7-20 (約1,050-3,000円)	$50-95 (約7,500-14,250円)

前提条件: Cognitoは50,000 MAUまでFree Tier適用（Devは範囲内、Prodは56,000 MAUで超過分のみ課金）。CloudTrailは管理イベント1 trailが無料。GuardDutyはCloudTrailイベント量・VPCフローログ量に依存

コスト最適化のポイント: IAM/SSO/Organizationsは無料サービスのためコスト懸念なし。Cognito MAU課金は56,000台で月$33程度と低額。GuardDuty/SecurityHubは全アカウント有効化を推奨（セキュリティインシデントの早期検知によるコスト回避効果が大きい）

学習ポイント

マルチアカウント戦略が「前提」である理由 — AWSではシングルアカウントでのIAMポリシーによる論理分離ではなく、アカウントレベルの物理分離がベストプラクティス。アカウントはリソースの「爆発半径」を制限する最も強力な境界であり、56,000店舗規模のシステムでは必須の設計判断
IAMロール vs IAMユーザーの使い分け — EC2やLambdaなどAWSサービスには「IAMロール」（一時認証情報、アクセスキー不要）を使う。人間のアクセスにはSSO+AssumeRoleを使う。「IAMユーザーにアクセスキーを発行する」のはアンチパターン。SAA試験でも最頻出テーマの一つ
SCPは「最大権限の天井」 — SCP（Service Control Policy）はOrganizationsレベルで適用され、IAMポリシーのAllowよりも優先してDenyが適用される。例えば「東京リージョン以外でのEC2起動を禁止」するSCPを適用すると、どのIAMユーザー/ロールでもバージニアでEC2を起動できない
Cognito Identity PoolによるSTS連携 — Cognito User Poolで認証したデバイスに、Identity Pool経由でIAMロールの一時認証情報（STS Token）を発行する。これにより、56,000台の店舗端末それぞれにアクセスキーを配布する必要がなくなり、鍵管理のリスクをゼロにできる
セキュリティサービスの階層構造 — CloudTrailは「誰が何をしたか」の証跡、GuardDutyは「異常な振る舞い」の検出、Security Hubはそれらの「統合ダッシュボード」。この3層構造がAWSセキュリティの基本であり、全アカウントで有効化するのがWell-Architectedの推奨