search
LoginSignup
0

AWS Control Tower の始め方 2022 春

個人アカウントに AWS Control Tower を設定したので、その際の流れをメモしておきます。少し前で恐縮ですが、画面ショット自体は 2022/3/29 時点の情報です。Control Tower そのものや関連するサービス自体の説明はしていません。

セットアップの流れ

Control Tower コンソールに移動し、ランディングゾーンの設定に進みます。

image.png

最初に Control Tower を設定するホームリージョンを指定します。ランディングゾーンの作成中に一部のリソースがホームリージョンでプロビジョニングされます。ランディングゾーンの作成後、ホームリージョンは変更できませんのでご注意ください。

image.png

2021/11/30 のアップデートでリージョン拒否ガードレールを設定できるようになりました。リージョン拒否設定を有効にすると、Control Tower の管理対象外とするリージョンに対するオペレーションを拒否できます。以下の例の場合、東京リージョン、バージニア北部リージョン、オハイオリージョンが管理対象リージョンとなり、それ以外のリージョンに対する操作はすべて拒否されます。

image.png

ランディングゾーンの設定後に、ランディングゾーン設定からリージョン情報を確認すると以下のように管理対象外のリージョンが拒否済みになっていることを確認できます。

image.png

参考:

組織単位 (OU) の設定では、ログアーカイブアカウントと監査アカウントが所属する 基礎となる OU と追加の OU 名のカスタマイズができます。

image.png

共有アカウントの設定ではログアーカイブアカウントと監査アカウントのメールアドレスを指定します。新規のアカウントを作成するため、既存や閉鎖済みのアカウントで使用したアドレスを使用することはできません。

※スクリーンショットを取り忘れたため、Enable AWS Control Tower for Existing Organizations より引用
image.png

2021/7/28 のアップデートで KMS による暗号化設定をサポートしています。Control Tower が設定する CloudTrail および AWS Config のログファイルに対して AWS KMS 管理キーによる暗号化 (SSE-KMS) を設定できます。特に CloudTrail の証跡に関しては SSE-KMS による暗号化が CIS AWS Foundations Benchamrk や AWS 基礎セキュリティのベストプラクティスでも推奨されているため、設定をおすすめします。

「暗号化設定を有効にして、カスタマイズする」にチェックを入れて、新しい KMS キーを作成します。

image.png

Control Towerは、マルチリージョンキーおよび非対称キーをサポートしていないため、必ず対象キーかつ単一リージョンキーで作成します。

image.png

エイリアスや説明、タグは任意の値を設定します。

image.png

キーの管理アクセス許可および使用アクセス許可では必要に応じて管理ユーザーやロール等を追加しておきます。

image.png

image.png

設定を確認し、キーを作成します。

image.png

キーの作成後に以下のキーポリシーを追加します。CloudTrail および AWS Config が KMS キーを使用できるようにするため追加が必要です。

{
  "Sid": "Allow CloudTrail and AWS Config to encrypt/decrypt logs",
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "cloudtrail.amazonaws.com",
      "config.amazonaws.com"
   ]
  },
   "Action": [
      "kms:GenerateDataKey",
      "kms:Decrypt"
   ],
    "Resource": "*"
}

image.png

ランディングゾーンの設定画面に戻り、カスタマーキーの指定で作成した KMS キーを指定します。

image.png

最後にサービスのアクセス許可に関する確認にチェックを入れ、ランディングゾーンの設定を開始します。

image.png

ランディングゾーンの設定には時間がかかりますのでしばらく待ちます。

image.png

推定残り時間は60分と表示されますが、今回の設定内容では 30 分程度で完了しました。

image.png

AWS Organizations の管理アカウントのメールアドレス認証が飛んでいるので Verify します。

image.png

image.png

AWS SSO の招待メールも飛んでいます。Accept すると AWS SSO から各アカウントへサインインできるようになります。

image.png

image.png

Control Tower の違反通知やドリフト通知を受け取るため、監査アカウントには各リージョンにaws-controltower-AggregateSecurityNotifications という SNS Topic が作成され、監査アカウントのメールアドレスがサブスクライブされます。管理対象にしたリージョンの数だけサブスクリプションの確認メールが飛んでいるはずですので、すべてのサブスクリプションを確認しておきます。

image.png

image.png

参考:

以上でランディングゾーンの初期設定は完了です。

その他おすすめ初期設定

AWS SSO

ユーザーポータル URL のカスタマイズ

AWS SSO のスタートページはについてデフォルトでは ID ストア ID (d-xxxxxxxxxx)がサブドメインになっているが、任意のサブドメインに変更可能です。

image.png

多要素認証 (MFA) の設定

今回は個人アカウントであるため、AWS SSO のサインインに IdP を使用しません。AWS SSO の ID ストアを使用するため、AWS SSO ユーザーが MFA を設定できるよう変更します。

設定 → ネットワークとセキュリティから AWS SSO ユーザーに多要素認証 (MFA) の設定を行います。
image.png

MFA を要求するタイミングやタイプなど任意のカスタマイズし、変更を保存します。

image.png

ここでは以下のように設定しました。

image.png

セキュリティキーで MFA を登録します。

image.png

アクセス許可セットのデフォルトセッション時間

アクセス許可セットのセッション時間はデフォルトで1時間となっているため、必要に応じて変更します。
image.png

以上です。
参考になれば幸いです。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
0