本稿は、NTT テクノクロス Qiita Advent Calendar 2025 シリーズ2 の 17 日目の記事です。
NTTテクノクロス の福嶋です。
普段はAWSを活用したシステムの設計、構築の業務をしています。
今回は AWS の中でもよく話題になる AWS Control Tower を使った構成 マルチアカウント構成 を、ゆるっと・ふわっと をテーマに紹介します。
はじめに
AWS を使っていると、こんな疑問が浮かびませんか?
- マルチアカウントってなんで必要?
- AWS Control Tower って本当に便利なの?
- AWS Organizations だけじゃダメなの?
実際、AWS のマルチアカウント構成は 企業や組織ごとに正解が異なるテーマです。
この記事では、Control Tower を使ったマルチアカウント構成について解説します。
また、より楽に運用できるように、Control Tower の基本機能に加えて、ちょっとした+αのポイントもあわせて紹介していきます。
用語説明
| 用語 | 説明 |
|---|---|
| OU(Organizational Unit) | AWS Organizations 内でアカウントをグループ化する単位。役割や権限をまとめて管理しやすくするための「フォルダ」のようなもの。 |
| SCP(Service Control Policy) | Organizations の OU やアカウントに適用できるポリシーで、「できる操作・できない操作」を制限する。IAM 権限よりも強力で、アカウント全体の操作を制御する。 |
| CDK(Cloud Development Kit) | AWS のインフラをプログラミング言語でコード化(IaC)できるツール。TypeScript や Python などで書いて AWS リソースを自動作成できる。 |
| CFn(CloudFormation) | AWS のインフラをテンプレート(JSON/YAML)で定義し、自動でリソースを作成・管理するサービス。IaC の代表的な仕組み。 |
| BLEA(Baseline Environment on AWS) | AWS が公式に提供するセキュリティベースラインのテンプレート集。Control Tower 環境をより強固で安全にするためのコード群。 |
| CI/CD | ソフトウェアやインフラのビルド・テスト・デプロイを自動化する仕組み。AWS では CodePipeline や CodeBuild などのサービスが使われる。 |
AWS マルチアカウントの主な構成パターン
AWS でマルチアカウントを導入・運用する際の代表的なパターンは、大きく3つに分けられます。
この記事では、その中でも特に ② Control Tower を活用したパターン に焦点を当てて解説します。
① Organizations を利用して、その他は自前構築
AWS Organizations をベースに
OU・SCP・ログ基盤・アカウント払い出しを 自前で構築する方法。
② Control Tower を利用して構築(本記事の主題)
AWS Control Tower をベースに
マルチアカウントのベストプラクティスで構築する方法。
③ フル独自ガバナンス構成
CFn / CDK / Terraform などを使って完全カスタムで実現する方法。
AWS Organizations とは?(Control Tower の土台)
AWS Organizations は、
複数の AWS アカウントをまとめて管理するための “土台” となるサービスです。
主な役割
- OU(組織単位)でのアカウントグルーピング
- SCP(Service Control Policy)での制御
- 一括請求管理(Consolidated Billing)
- プログラムからアカウントを作成できる API
- Delegated Administrator による中央管理 など
Control Tower はこの Organizations の上に乗って動くため、
Organizations が “基盤中の基盤” になります。
AWS Control Tower とは?
AWS Control Tower は、
“ちゃんとしたマルチアカウント構成” を自動で作り、継続的にガバナンスしてくれるサービス です。
この記事では、Control Tower の機能を 4 つの便利カテゴリ に整理して紹介します。
これから紹介する機能は、マルチアカウント環境を安全に、そしてスムーズに運用するためにとても大切なポイントです。
もし、① Organizations を利用して、その他は自前構築する方法や、③ フル独自ガバナンス構成を組み立てる方法を選ぶと、設計から構築、運用までぜんぶ自分たちで用意しなければいけません。
その分、時間も手間もかかりますし、専門的な知識も必要になります。
でも、Control Tower を使えば、こうした面倒な部分があらかじめ組み込まれていて、
簡単に環境を作れて、ずっと自動で見守ってくれるので、運用の負担が大きく減ります。
これは、マルチアカウント運用を始めるうえで、大きなメリットです。
Control Tower の 4 つの便利機能
初期基盤(Landing Zone)の自動構築
- Audit / Log Archive アカウント、OU、ログ集約など
- マルチアカウントの土台を自動生成
ガードレール(SCP/Config/CFn Hooks)によるガバナンスの自動化
- 危険操作の禁止(SCP)、設定逸脱の検知(Config)、CFn の安全チェック(CFn Hooks)
- ガバナンスが OU 単位で一括適用される
Account Factory(+ IAM Identity Center)によるアカウント&アクセス払い出し統一
- アカウント作成手順の統一化+アクセス権の中央管理
- “アカウントの作り方が人によって違う問題” を解消
ログ・セキュリティの集約と可視化(+ BLEA による高度なガバナンス)
- CloudTrail / Config / GuardDuty / Security Hub の統合管理
- さらに BLEA でセキュリティガバナンスを強化
初期基盤(Landing Zone)の自動構築
まずは Control Tower の便利な機能のひとつ、
「Landing Zone の自動構築」 から解説します。
ランディングゾーンは、スケーラブルで安全な、適切に設計されたマルチアカウント AWS 環境です。
AWS 公式でも頻繁に登場する概念で、
人によってはこれを「基盤 OU の初期セット」「マルチアカウントの土台」と呼ぶこともあります。
Control Tower を有効化すると、
この Landing Zone を ほぼフル自動で構築してくれる のが魅力です。
Landing Zone で自動生成されるもの
Control Tower が有効化されると、
以下の 3 つの“基盤アカウント”が用意されます。
Management アカウント
AWS Organizations の親アカウントであり、Control Tower を有効化する際に使用する既存のアカウントです。
Control Tower の設定や OU の管理をここで行います。
Log Archive アカウント
CloudTrail や AWS Config など
すべての AWS アカウントの監査ログを一元集約する専用アカウント。
- CloudTrail の強制集約
- Config データの集中管理
- 不正削除に強い構造(S3 バケットはバージョニング+削除制御)
など、ログの改ざん防止や追跡性向上に関わる重要な役割を持っています。
Audit アカウント
セキュリティの監査を専門に行うアカウント。
- GuardDuty
- Security Hub
- Inspector
- Access Analyzer
- Compute Optimizer
などを Delegated Administrator(委任管理者アカウント) として設定することが多いです。
初期 OU(組織単位)も自動作成される
Control Tower では、
Foundational OU(基礎となる OU)として、次の OU が自動で作成されます。
- Security OU(Audit アカウント / Log Archive アカウント を格納)
さらに、必要に応じて Additional OU(追加の OU)を作成することが可能で、
代表例として以下の OU を設けることが多いです。
- Workloads OU(実際のアプリケーション・システムが入る場所)
これにより、
- “セキュリティ系アカウント” は Security OU
- “アプリが動くアカウント” は Workloads OU
という 明確な役割分離が実現 します。
これは AWS Well-Architected Framework に沿った構成であり、
ガバナンス・責務・権限分離の観点でとても重要です。
詳細は AWS Organizations における組織単位のベストプラクティス を参照。
ログ基盤と監査設定も最初から入っている
Landing Zone を構築すると、次の設定が自動で入ります。
CloudTrail の組織有効化
- すべてのアカウントで CloudTrail が強制的に有効
Config の組織有効化
- リソース変更を全アカウントで記録し、Log Archive アカウント に集約
ログ書き込み先 S3 の強固な保護
- パブリックアクセス遮断
- バージョニング有効
- MFA Delete(※必要に応じて有効化)
各種役割・権限の初期設定
- Cross-account ロール(AWSControlTowerExecutionRole など)
- 自動修復のためのロールが生成
今後追加するアカウントにも自動適用される
Control Tower で新規アカウントを作成すると、上記の設定(CloudTrail、Config、ロールなど)が 自動的に適用 されます。
これにより、手動設定なしで一貫したセキュリティ・ログ基盤が維持 され、
運用負荷を大幅に削減できます。
Control Tower の Landing Zone が“めちゃ便利”な理由
これをすべて 自前で作る場合 を想像するとわかりやすいです。
自作する場合は…
- Audit/Log Archive 用アカウントの作成
- OU を作成
- CloudTrail 組織設定
- Config Recorder の組織設定
- S3 バケットのポリシー/暗号化/削除防止設計
- IAM ロールのクロスアカウント設定
- 各アカウントの初期状態の揃え込み
- ネットワークルール・権限ルールの統一化
これらをすべて
“自力で、漏れなく、安全に”
やらないといけません。
それが Control Tower なら
数クリックで 企業が欲しい基盤セットが丸ごとできる
というようにとても便利です。
まとめ
Landing Zone の自動構築とは
- 3つの基盤アカウント(Management アカウント/ Audit アカウント/ LogArchiveアカウント)を自動作成
- 初期 OU(Security / Workloads)も自動で生成
- CloudTrail / Config の集中監査基盤が最初から揃う
- マルチアカウントの土台が “よい感じに完成される”
という Control Tower の中核となるメリット です。
次は、
この基盤の上に GA(ガードレール)をどう適用して
安全性・運用品質を一気に高めるのか を解説します。
ガードレール(SCP/Config/CFn Hooks)によるガバナンスの自動化
前の章で、Control Tower によって Landing Zone(基盤)が自動で整うことを確認しました。
この章は、その基盤の上に 安全性・統制を担保する仕組み=ガードレール(Control)について解説します。
ガードレールとは?(OU 単位で適用される自動ガバナンス)
AWS Control Tower のガードレール は、
OU に対して有効化するだけで、全アカウントに統一されたセキュリティルールが適用される仕組み です。
Control Tower が提供するガードレールは、大きく 3 種類あります:
- 予防的ガードレール(Preventive)= SCP
- 検出的ガードレール(Detective)= AWS Config ルール
- プロアクティブガードレール(Proactive)= CFn Hooks
この 3 つの組み合わせで、
「危険操作をブロック → 設定逸脱を検知 → IaC の時点で止める」
という強固なガバナンスが実現されます。
① 予防的ガードレール(Preventive)= Service Control Policy(SCP)
Service Control Policy (SCP) は
OU 配下のアカウントで「できる操作・できない操作」を強制するポリシーです。
特徴:
- アカウントの IAM 権限では突破できない(最強)
- 危険な API コールを根本的にブロック
- 新規アカウントにも自動で適用される
代表例:
- CloudTrail を無効化する API を禁止
- S3 バケットのパブリックアクセスを作成不可
- 特定リージョン以外でのリソース作成を禁止
- ルートユーザーでの操作禁止
つまり SCP は “AWS アカウントの安全装置” と言えます。
② 検出的ガードレール(Detective)= AWS Config ルール
AWS Config を使い、
“望ましくない設定” を自動で検知する仕組みです。
特徴:
- 設定違反を検知して通知
- OU 単位で自動有効化
- Drift を可視化できる
- Security Hub と相性が良い
代表例:
- S3 が暗号化されていない
- EBS が暗号化されていない
- セキュリティグループで 0.0.0.0/0 の許可がある
- CloudTrail が無効
- MFA が必須になっていない
Preventive(SCP) で止められない “設定系のズレ” を
Detective(Config Rules)が補完するイメージです。
AWS Config の検知結果は Security Hub などにも連携されます。
検知された内容は適宜確認し、必要に応じて修正を行うことで、
より安全で安定した環境を保つことができます。
③ プロアクティブガードレール(Proactive)= CFn Hooks
CFn Hooks は
“CFn テンプレート実行時に、リソース定義をチェックし違反ならデプロイを失敗させる” 制御です。
つまり:
「IaC の段階でアウトなら作らせない」
特徴:
- Infrastructure as Code(CFn/CDK)時代に必須
- 開発チームが “気付かず危険構成を作る” のを防ぐ
- プロダクション環境の防御力が爆増
例:
- 暗号化されていない S3 バケットをデプロイしようとすると拒否
- パブリックなセキュリティグループ設定を拒否
- バージョニング無効のログバケット作成を拒否
これにより、
- プロダクトチーム:「気付かず危険なリソースを作らない」
- セキュリティチーム:「後追い監査が不要になる」
という Win-Win の世界が生まれます。
3つのガードレールを組み合わせるとこうなる
| 種類 | 中身 | 役割 | 効果 |
|---|---|---|---|
| 予防(Preventive) | SCP | 危険操作そのものを禁止 | “物理的に作れない” |
| 検出(Detective) | Config ルール | 違反設定を検知 | “ズレを見逃さない” |
| プロアクティブ(Proactive) | CFn Hooks | IaC デプロイを拒否 | “そもそもデプロイさせない” |
3つ揃うと、
危険操作 → 危険な設定 → 危険な IaC の 3 段階で完全に防御する構造
になります。
特に Control Tower の強力な点は:
OU に 1 回設定すれば、配下のアカウント全部に自動適用される ことです。
まとめ
ガードレールとは
- OU 単位でセキュリティルールを一括適用
- 新規アカウントにも自動反映
- 予防(SCP)・検出(Config)・プロアクティブ(CFn Hooks)が揃うことで
多層防御のガバナンスが完成する
という仕組みです。
次の章では、アカウント払い出しを統一する “Account Factory(+ IAM Identity Center)” を深掘りします。
Account Factory(+ IAM Identity Center によるアカウント&アクセス払い出し統一)
この章では、
- アカウントを「どうやって作るか」
- 作ったアカウントへ「どうアクセス権を割り当てるか」
という マルチアカウント運用で絶対に欠かせない 2 つの課題 をまとめて解決してくれる
Control Tower × Account Factory × IAM Identity Center の世界を解説します。
Account Factory ってそもそも何者?
AWS Service Catalog の仕組みを使った
“アカウント作成専用のテンプレート” です。
利用者は次のような項目を入力するだけで、
統一されたルールで AWS アカウントを作れます。
- メールアドレス
- 所属させたい OU(組織単位)
- 初期 Virtual Private Cloud (VPC) の有無
- IAM Identity Center(旧 AWS SSO) の初期設定
つまり、Account Factory は:
「アカウントを誰が作っても同じ品質で出来上がる仕組み」
というイメージです。
Service Catalog との関係
混同しがちなので、ここで整理します。
Service Catalog = CFn を “製品化” する仕組み
Account Factory = アカウント作成専用の Service Catalog 製品
- Control Tower が自動生成するのが 既製の Account Factory
- もっと細かい初期設定を入れたい場合は
自作の Service Catalog 製品 を追加すればよい
つまり、
Account Factory は “アカウント本体”
Service Catalog(カスタム製品)は “アカウントに流し込む構成”
という役割分担です。
「Account Factory のデフォルトでは物足りない」問題
多くの企業が次のように感じます。
- 監視の初期設定も入れたい
- デフォルト IAM ロールを置いておきたい
- 共有のログ設定を仕込みたい
こうした「自社ルールの初期セットアップ」を入れたいなら、方法は 2 つ。
方法A:Account Factory Customization(AFC)
Control Tower 標準機能で、
Account Factory 実行後に追加テンプレートを流せる仕組み。
Service Catalog の「カスタム製品」を AFC に登録しておくことで、
アカウント作成直後に追加設定が自動で入ります。
方法B:アカウント作成イベントから CI/CD を起動
こちらが多くの現場で動作する構成?
- アカウント作成時に
Control Tower が EventBridge へイベントを送信(例:CreateManagedAccount) - EventBridge をトリガーに
- CodePipeline
- CodeBuild
- Step Functions
- CodeCatalyst
を起動
- CI/CD から CFn/Terraform/CDK を実行し、
自社ルールの初期セットアップを自動適用
IAM Identity Center で “アクセス管理” を集中化
アカウントを作ったあとに必要なのが「アクセス権管理」です。
AWS IAM Identity Center は
複数アカウントへのアクセス権を一元管理できるサービス です。
主なメリット:
- ユーザー/グループを中央管理
- 権限は permission set(アクセス許可セット) で統一
- 結果としてアカウントごとの IAM ロール管理が不要になる
- 利用者は AWS access portal からアカウントと権限を選んでログインするだけ
これだけで、
- IAM ロールが増加する問題
- 権限の所在が不明になる問題
- 監査に時間がかかる問題
から一気に解放されます。
Permission Set とロールの関係
Permission Set は、端的に言うと:
「複数アカウントに配布する IAM ロールのテンプレート」
具体的にはこう動きます。
- Permission Set にポリシーを設定する
- その Permission Set を
「ユーザー/グループ × AWS アカウント」へ割り当て - AWS が自動で
AWSReservedSSO_◯◯◯ロールを対象アカウントへ作成 - ユーザーは AWS access portal から
「アカウント × Permission Set」を選択してログインする
これで 権限管理が一気に標準化 できます。
Identity Center も IaC で管理するのが実務の最適解?
Identity Center の設定は意外と奥が深く、
- Permission Set の構造設計
- 外部 IdP(Entra ID / Azure AD など) との 連携
- OU ごとに割り当てる権限の分離
- ユーザー/グループ割り当ての IaC 化
などを含めると “人手管理は破綻しやすい” のが現実。
そこで現場では、
Identity Center の設定も CFn / Terraform / CDK など IaCで管理する
+
新規アカウント作成時に CI/CD で自動反映
という運用が一般的です。
最終形:アカウント・権限・初期設定が全部自動化された世界
理想的な構成はこれです
Account Factory でアカウント発行
↓
Control Tower が EventBridge にイベントを送信
↓
CI/CD(CodePipeline / CodeBuild / CDK)が起動
├ 共通ログ設定(CloudTrail / Config)
├ 監視・通知(CloudWatch / SNS)
├ セキュリティ(GuardDuty / Security Hub)
├ 自社ルールIAMロール配置
└ Identity Center の permission set を割り当て
↓
アカウント完成(=最初から自社ルール適用済み)
つまり、
「アカウント作成」+「権限付与」+「初期セットアップ」が完全自動化された状態
これが Control Tower この章の到達点です。
ここまで来ると、
AWS マルチアカウントの運用は劇的に楽になります。
ログ・セキュリティの集約と可視化 + BLEA による “一歩進んだガバナンス”
4つ目のテーマは、AWS マルチアカウント運用の 要である
ログ管理・セキュリティ統合・監査ガバナンス の話です。
Control Tower を使うことで、
- ログの一元管理
- セキュリティ検知の集約
- OU レベルの強制ルール
- 新規アカウントへのセキュリティ自動適用
といった “土台” が揃います。
さらに BLEA(Baseline Environment on AWS)を組み合わせることで、
土台を “がっちりエンタープライズ基準” へ強化できます。
Control Tower が作る「集中ログ基盤」
Control Tower を有効化した瞬間、以下のアカウントが自動作成されます。
-
Log Archive アカウント
- マルチアカウント全体の CloudTrail / Config ログを集約
- 誤削除を防ぐための強力な保護が入る
- ログを一元保管することで、後述の Security Hub / GuardDuty と相性が良い
-
Audit アカウント
- セキュリティ運用・監査専用のアカウント
- Organizations の Delegated Admin を置く先として最適
- GuardDuty / Security Hub / Inspector の Findings 集約アカウントにしやすい
つまり、Control Tower の初期化だけで、
“ログの分離・保全・集約” が完成します。
Security サービスとの連携(Organizations 連携)
Control Tower の効果を最大化するために重要なのが、
Organizations(委任管理者)連携をオンにすること
です。
これに対応している AWS セキュリティサービスは多く、
Delegated Admin を指定しておくことで
新規アカウントに自動適用される というメリットがあります。
代表的なサービス
| サービス | 用途 | 自動反映の例 |
|---|---|---|
| Amazon GuardDuty | 脅威検出 | 新規アカウントでも自動で監視開始 |
| AWS Security Hub | セキュリティ統合 | Findings が中央アカウントへ集約 |
| Amazon Inspector | 脆弱性管理 | EC2 / Lambda / ECR のスキャン自動オン |
| AWS IAM Access Analyzer | アクセス権分析 | Analyzer が組織単位で有効化 |
| AWS Config | 構成監査 | Config Recorder / Delivery Channel が自動構成 |
| AWS Compute Optimizer | リソース最適化 | 全アカウントで同一設定を維持 |
たとえば、これらを Audit アカウントに集約することで、
- セキュリティの可視化が向上
- 運用者がどのアカウントを見ればよいか明確
- 設定漏れの心配が減る
という “強化ガバナンス” の世界をつくれます。
設定逸脱を検知する AWS Config(Detective Control)
Control Tower は標準で以下を有効化します。
- AWS Config Recorder
- Delivery Channel(Log Archive アカウントに転送)
- 一部の必須 Config ルール
さらに OU 単位で追加ルールを有効化することで、
- パブリック S3 の検知
- 暗号化されていない EBS の検知
- セキュリティグループの 0.0.0.0/0 の検知
など、実運用で “絶対に見逃してはいけないポイント” を自動監査できます。
Config はガードレールの Detective Control(検出的コントロール) の中心です。
CloudTrail + Config の組み合わせが強力な理由
CloudTrail と Config を組み合わせると、
誰が / いつ / どのアカウントで / 何を変更したか
+
変更結果が適切だったかどうか
がセットで追えるようになります。
ログ管理で大切なのは、いかに使いやすく管理できるかです。
そして Control Tower は、
- CloudTrail のログをまとめて保存し(CloudTrail → Log Archive アカウント)、
- Config の情報も同じ場所に保存し(Config → Log Archiveアカウント)、
- 問題の発見結果も整理して管理する。(Findings → Auditアカウント)
つまり、最初からログの管理ルールが統一されているので、扱いやすくなっています。
BLEA(Baseline Environment on AWS)で強化する
ここまでは Control Tower 標準の話。
次は “標準を超えたセキュリティ強化” を実現する BLEA です。
BLEA(Baseline Environment on AWS) は
AWS が公式に公開している CDK ベースのセキュリティベースライン です。
BLEA には 2 種類あります
- シングルアカウント版
- Control Tower(Organizations)版(blea-gov-base-ct) ← この記事の対象
後者は、Control Tower の Landing Zone の上に
“より高度なセキュリティ・ガバナンス” を構築するためのテンプレート集になっています。
BLEA が提供する代表的なセキュリティ強化
BLEA は Control Tower の “不足しがちな部分” を補完します。
代表例
- CloudWatch メトリクス / アラームのベースライン設定
- SNS 通知の標準化(セキュリティ通知チャンネルの統一)
- デフォルトセキュリティグループの inbound/outbound ルールの修復アクション
Control Tower だけでは “機能の枠外” だった部分を
BLEA がコードで標準化してくれる というイメージです。
BLEA の適用タイミング(アカウント作成直後)
BLEA は アカウント作成の直後に自動適用 されるように組み込むのがベスト。
適用の流れの一例
- Account Factory でアカウント作成
- Control Tower が EventBridge にイベント発行
- CI/CD パイプライン起動
- BLEA の AWS CDK スタックをデプロイ
- セキュリティベースラインがすべて自動構築
BLEA が CDK ベースなので、
- セキュリティルールをコードレビューできる
- 自社向けのルールを追加しやすい
といったメリットもあります。
最終形:マルチアカウント全体のセキュリティが “自動的に揃う” 世界
最終的に実現できるのがこの状態:
Control Tower でアカウントを作る
↓
GuardDuty / SecurityHub / Config などが自動で有効化
↓
BLEA によって自社ルールのセキュリティベースライン適用
↓
CloudTrail / Config / Findings が中央アカウントに集約
↓
セキュリティ可視化ダッシュボードで全アカウント監視
つまり、
“新規アカウントなのに企業レベルのセキュリティでスタートできる”
これが Control Tower × BLEA のポイントです。
■ コストの話(ざっくり)
ここまで読んで、
Control Tower、便利すぎない? コストは?
と思った方もいるかもしれません。
Control Tower 自体は “無料” です。
※ただし「Control Tower が使う周辺サービス」は課金されます。
Control Tower 利用時に発生する代表的なコスト
| サービス | 役割 | 備考 |
|---|---|---|
| Amazon S3 | ログ保管 | CloudTrail / Config など大量に溜まる |
| AWS CloudTrail | 操作ログ | イベント数に応じて課金 |
| AWS Config | 構成監査 | ルール数・変更数による課金 |
| Amazon GuardDuty | 脅威検出 | Findings やログ分析の量が増えると上昇 |
| AWS Security Hub | セキュリティ集約 | チェック項目数で課金 |
| Amazon Inspector | 脆弱性管理 | EC2 / Elastic Container Registry(ECR) / Lambda のスキャン量 |
とはいえ:運用コストは “大幅に減る”
- 手作業で CloudTrail / Config を設定
- アカウントごとに GuardDuty / Inspector など を有効化
- ログ保管の仕組みを自作
- セキュリティ設定の統一ができず監査対応で時間を消費
- IAM ロール構築が属人化
これらの運用負荷は “確実に” 減ります。
“構築コスト → 時間・ヒューマンエラー・漏れのリスク” が削減されるので、
結局 運用コストはトータルで安くなるケースが多い というのが率直な感想です。
まとめ 〜 最初から “そこそこ強い” マルチアカウントへ
ここまで紹介した内容をまとめると…
Control Tower を使うことで得られる主なメリット
- 初期基盤(Landing Zone) が自動構築される
- ガードレール によって “破壊しにくい構成” が手に入る
-
Account Factory(+ IAM Identity Center) で
アカウント作成とアクセス管理の統一 - ログ・セキュリティの集約 による監査性の向上
Control Tower とプラスαで実現する高度な運用
- CI/CD + IaC による自社ルールの自動適用・運用自動化
- BLEA(Baseline Environment on AWS) による高度なセキュリティベースラインとガバナンス強化
つまり、
「Control Tower 単体で「最初からそこそこちゃんとセキュアなマルチアカウント基盤」が手に入り、さらに CI/CD や BLEA を組み合わせることで、より高度で自動化された運用体制を実現できる
というのが最大のメリットです。
おわりに
ここまで読んでいただきありがとうございました。
この内容が少しでも何かの参考になれば幸いです。
引き続き NTTテクノクロス アドベントカレンダーをお楽しみください。