みなさん、こんにちは。サニービュー事業部の小寺です。

先日、AWS Control Towerが東京リージョンでも利用できるようになりました。今日は AWS Control Towerのサービスの概要について、お伝えします。
https://aws.amazon.com/jp/blogs/news/aws-control-tower-tokyo/

■ランディングゾーンとは

今まで、東京リージョンでは、Control Tower が利用できなかったため、AWS Landing Zone(ランディングゾーン)という、セキュアなマルチアカウントの AWS 環境を迅速に設定できるソリューションがありました。

AWS Control Towerを活用したランディングゾーンの構築より引用


ランディングゾーンを使うと、Cloud Formationで環境がセットアップでき、コアアカウントとリソースの作成時に初期セキュリティベースラインの実装が行われます。さらに、マルチアカウントアーキテクチャ、ID およびアクセス管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ作成を開始するためのベースライン環境設定などが行われます。現状では、Landing Zone はAWSより引き続きサポートがされる予定とのことです。なお、新しい機能は「Control Tower」でアップデートされていくことになります。

■AWS Control Towerとは

AWS Control Towerは、ランディングゾーンの後に出てきたセキュアなマルチアカウントの AWS 環境を、セットアップし管理するためのマネージドサービスです。主な機能については、次のAWS Control Towerの機能にまとめてみました。

もし、今からご利用されたい場合、既存の Organizations の組織に連携するには、組織のマスターアカウント上でControl Towerのコンソールから通常通り有効化するだけで利用が可能です。もしくは既にControl Towerを利用されている場合、新たにAWSアカウントを追加することも可能です。

■AWS Control Towerの機能

1) ランディングゾーン
「ランディングゾーンとは」の通りです。

2) ガードレール
セキュリティ、オペレーション、コンプライアンス向けの事前にパッケージされたガバナンスルールです。企業全体もしくは、特定のアカウントのグループへの適用が選択できます。ガードレールは予防的と発見的の2種類があります。

予防的ガードレールではアクションの発生が防止でき、発見的ガードレールでは特定のイベントが発生した時にそれが検知され、アクションがCloudTrailに記録されます。

また、ガードレールには、必須および任意のものがあります。
必須のガードレールは、Landing Zone のセットアップの一部として自動的に使用されます。必須のガードレールの例では、以下のことが実行されます。

・AWS Control Tower 向けの IAM ロール設定への変更を禁止する
・ログアーカイブに対するパブリック読み取りアクセスを禁止する
・ログアーカイブに対するポリシーの変更を禁止する

3) Account Factory

事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化する設定可能なアカウントテンプレートです。組織内でアカウントプロビジョニングワークフローの自動化支援ができます。
ダッシュボード 中央のクラウド管理者がLanding Zoneの断続的な監視をできます。企業全体のアカウント、ガードレール等を確認できます。

4) ダッシュボード
OU およびアカウントの数や有効化されたガードレールの数やガードレールに対する OU とアカウントのステータスを確認することができます。また、有効化されたガードレールに関して、違反しているリソースのリストを確認することもできます。

■利用料金

AWS Control Tower は追加料金なしでご利用いただけます。AWS Control TowerによりセットアップされたAWSサービスで実際に利用したサービスに対して料金が発生します。また、AWSサービスにも追加料金のかかるものとそうでないものが存在します。

いくつか例を挙げておきますと、AWS Organizations、AWS Single Sign-On、AWS CloudFormationなどのサービスは追加料金なしで利用可能ですが、AWS Service Catalog、AWS CloudTrail、AWS Configなどのサービスは利用するのに料金が発生します。

■まとめ

いかがでしたでしょうか。AWS Control Towerのサービス概要について、お伝えしました。東京リージョンでも利用可能になっております。

AWSのご相談は、ぜひSunny Cloudへ。どんなご相談でもお待ちしております。

▼「無料相談」受付中です
https://www.sunnycloud.jp/contact-us/