概要
AWS Control Towerは、AWSアカウントを管理するためのツールです。これを使うと、複数のAWSアカウントを統一されたルールやベストプラクティスに基づいて管理できます。
ランディングゾーンとは
ランディングゾーンは、AWS Control Towerが作成する管理用の基盤環境です。この環境には、以下のような設定が含まれます:
- セキュリティのベストプラクティス(ガードレール)
- アカウント管理の仕組み(AWS Organizations)
- ログ管理や監査のためのAWSリソース
- ランディングゾーンを作成することで、複数のAWSアカウントを統一して管理できる基盤が整います。
本番アカウントと開発アカウント
- 本番アカウント: 実際のサービスを提供するための環境
- 開発アカウント: テストや新しい機能の試験を行うための環境
この2つのアカウントを、用途に応じて別々に作成します。
OU (Organizational Unit)とは
AWS Organizationsで使われる、アカウントをグループ分けするための単位です。
- 本番OU: 本番環境用アカウントをまとめたグループ
- 開発OU: 開発環境用アカウントをまとめたグループ
これにより、各グループごとに異なるポリシーや制限を適用することができます。
簡単にいうと「会社のオフィス環境」
- ランディングゾーン
- ビル全体の設計図と管理ルール(セキュリティゲート、監視カメラなど)。
- ビル全体の設計図と管理ルール(セキュリティゲート、監視カメラなど)。
- 本番アカウントと開発アカウント
- ビル内の2つの部屋(1つは顧客対応用の「本番オフィス」、もう1つは実験や新規プロジェクト用の「開発オフィス」)。
- ビル内の2つの部屋(1つは顧客対応用の「本番オフィス」、もう1つは実験や新規プロジェクト用の「開発オフィス」)。
- 本番OUと開発OU
- 部屋の用途ごとに異なる鍵やアクセスルールを適用。
メリット
- 本番環境と開発環境を分けることで、セキュリティや運用ミスのリスクを軽減。
- AWS Control Towerが提供するルールで、効率的に管理と監視が可能。
- 環境ごとのポリシー適用で柔軟性を確保。