AWS Control Towerは、マルチアカウント環境でAWSのベストプラクティスに従って管理するための方法を提供するAWSサービスです。
AWS Control Towerを利用すると、AWS Organizations、AWS Service Catalog、AWS IAM Identity Center等の他AWSサービスを自動的に構成します。
本記事ではAWS Control Towerでできる事について紹介します。
Controlの機能
ランディングゾーン
ランディングゾーンとは、セキュリティとコンプライアンスのベストプラクティスに基づいた、マルチアカウントの AWS 環境の事です。
ランディングゾーンを設定すると、Organizationsを利用したマルチアカウント構成が自動的にセットアップされます。
ガードレール(コントロール)
ベストプラクティスに則り、利用者がセキュリティ上問題のある誤操作を禁止や検知する設定です。
ガードレールは複数存在し、ガードレール毎に有効/無効化をするか決めることができます。
ガードレールは主に予防、検出、プロアクティブコントロールの3種類があります。
- 予防コントロール
- Organizations のSCP(Service Control Policy)を利用したコントロール
- 適用すると、特定のアクションを禁止する。
- 検出コントロール
- Security Hubを利用して実装するコントロール
- 適用すると、特定のアクションを検出する。
- プロアクティブコントロール
- CloudFormation Hooksを利用したコントロール
- 適用すると、ルールに準拠してないCloudformationを実行できなくなる。
Account Factory
ベストプラクティスに沿ったAWSアカウントを作成する機能です。
Service Catalog を活⽤し、Amazon VPC やコントロールが設定されたアカウントをプロビジョニングします。
利用料金
Control Tower自体は利用料金がかかりません。
ただし、Control Towerを利用した際に、AWS ConfigやS3等、他AWSサービスを使用する為、他AWSサービス料金がかかります。
まとめ
AWS Control Towerの機能についてまとめました。
AWS Control Towerでマルチアカウント構成を考えている方や、マルチアカウント構成を取っていてAWSのベストプラクティスに沿った構成にしたい、という方にお勧めの機能となります。
本記事を通して、AWS Control Towerの理解が深まれば幸いです。