はじめに
すでに運用されている AWS Organizations 環境に Control Tower を導入したい場合、既存リソースへの影響など色々気になることが出てくるかと思います。
事前に知っておいた方がよい、考慮しておくとよい点などをまとめました。
既存アカウントは Control Tower に自動で登録されない
既存組織が存在する状態で Control Tower を有効化した場合、既存組織に属するアカウントは Control Tower へ自動で登録はされません。そのためサービスの有効化のみでは既存アカウントやその中で稼働するリソースに影響はありません。
OU 単位で Control Tower に登録するか、既存のアカウントを Control Tower 有効化済みの OU に登録することで既存アカウントを Control Tower の管理下に置くことができます。
監査アカウントおよびログアーカイブアカウント
監査アカウントおよびログアーカイブアカウントは Control Tower の有効化時に必ず必要になるアカウントです。
監査アカウント: セキュリティ/コンプライアンスチームが使用するためのアカウント。AWS リソースの変更情報を通知するためのカスタム Config ルールや Lambda 関数などのリソースが配置される。
ログアーカイブアカウント: AWS CloudTrail と AWS Config のログを⼀元管理し、保全するためのアカウント。
既存のアカウントを指定できる
すでにこれらのアカウントと同等の役割をもつセキュリティアカウントを運用している場合などに、Control Twoer セットアップ時に既存のアカウント ID を指定することができます。
既存アカウントを使用する際の一般的な考慮事項事項については以下のドキュメントに記載されています。
既存アカウント指定時は必須コントロールの影響を考慮する
必須コントロールとは Control Tower に登録されたすべての OU/アカウントに適用されるコントロールです。これらのコントロールはランディングゾーンのセットアップ時にデフォルトで適用され、無効にすることはできません。
既存アカウントを監査およびログアーカイブアカウントに指定した場合、これらのアカウントは Control Tower の管理下となるため、必須コントロールの影響も受けます。
必須コントロールは以下のドキュメントから参照できます。内容としては Control Tower によって作成されるリソースの変更や削除を SCP で禁止するものです。つまり、AWS Control Tower が正しく動作するために必要な設定であり、既存の稼働リソースに影響を与えるものではありません。
Control Tower セットアップ前に AWS Config を無効化しておく
既存アカウントを Control Tower に登録する場合と同様、監査アカウントおよびログアーカイブアカウントに既存のアカウントを指定する際も、事前に AWS Config を無効化しておく必要があります。
既存の AWS アカウントを監査アカウントやログアーカイブアカウントとして指定する場合は、AWS Control Tower の要件と競合するリソースがないことを確認するために、既存のアカウントはいくつかの事前起動チェックに合格する必要があります。これらのチェックが成功しない場合、ランディングゾーンのセットアップは成功しない可能性があります。特に、アカウントには既存の AWS Config リソースが存在してはいけません。
基礎となる OU に移動される
監査アカウントおよびログアーカイブアカウントは Contorl Tower セットアップ時に作成される「基礎となる OU (デフォルト名: Security)」に登録されます。これらのアカウントに既存のアカウントを指定した場合は、自動で移動されます。例えば移動前の OU で SCP を継承していた場合は、それが外れる可能性があります。
AWS IAM Identity Center の統合
Control Tower は IAM Identity Center を使用して AWS アカウントへのアクセスを管理できます。例えば Account Factory で新規をアカウントを作成する際に、同時に SSO の設定を行うことができます。
既に IAM Identity Center を運用している環境で、変更を加えたくない場合、「IAM Identity Center またはその他の方法によるセルフマネージド型 AWS アカウントアクセス」を選択することによりこの機能をオプトアウトできます。
AWS CloudTrail の設定
Control Tower による CloudTrail 設定はオプトアウトできる
Landing Zone の Version 3.0 以降、Control Tower による CloudTrail 証跡の設定がアカウントベースから、組織ベースの証跡へと変更されました。
すでに各アカウントで管理されているアカウントベース証跡を引き続き運用したい、Control Tower 有効化時点では一旦無効化しておきたい、などの理由があれば、Control Tower の CloudTrail 設定をオプトアウトすることができます。
CloudTrail 設定をオプトアウトしても証跡自体は作られる
CloudTrail 設定をオプトアウトした場合でも、すべてのアカウントで aws-controltower-BaselineCloudTrail
という証跡設定がログ記録オフの状態で作成されます。
AWS CloudTrail 証跡をカスタマイズする
ランディングゾーンをバージョン 3.0 以降に更新する場合、AWS Control Tower によって管理される組織レベルの CloudTrail 証跡をオプトインするかオプトアウトするかを選択できます。この選択は、ランディングゾーンを更新するたびに変更できます。AWS Control Tower は管理アカウントに組織レベルの証跡を作成し、その証跡のステータスはユーザーの選択に基づいてアクティブまたは非アクティブのどちらかになります。
Control Tower 配下に登録されているかどうかに関わらず、Organizations 内のすべてのアカウントに対して作成されます。
無効化状態の証跡設定は Trusted Advisor のセキュリティチェックでエラーとなったり、
GuardDuty で誤検知されたりといったことがあるので注意が必要です。
オプトイン時は CloudTrail の課金に注意する
CloudTrail はリージョン内の 2つ目以降の証跡設定に対してイベントごとの課金が発生します。既存アカウントでアカウントベース証跡があり、Control Tower の組織証跡をオプトインした場合、CloudTrail に対する料金が発生することになります。これを避けたい場合は、組織証跡の設定後に既存のアカウントベース証跡の記録をオフにするか削除する必要があります。
他にも気づいたら追記してきます。
以上です。
参考になれば幸いです。