1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

NEAdvent Calendar 2023

Day 23

ControlTowerについて調査してみた!

Last updated at Posted at 2023-12-22

はじめに

この記事はNE Advent Calendar 2023 23日目の記事です。

概要

この記事では、ControlTowerを調査することになった経緯、既存アカウントへの導入調査、コントロールについて記述しています。
ControlTowerの操作などについては記述しておりません。

ControlTowerとは?

セキュリティサービス群にベストプラクティスに則った設定を投入し、マルチアカウント環境を構成・運用するサービスです。

経緯

AWS Organizationsを利用してマルチアカウントの管理などを行っているのですが、セキュリティ向上・運用の効率化を図るためにControlTowerが導入できないか調査を行なっております。

既存アカウントへのControlTower導入調査

  • 既存アカウントが存在した状態でControlTowerを導入しても既存のサービスに影響がないかを調査いたしました。

分かったこと

  • ControlTowerが作成したOUにはSCPが設定されている。
    • ControlTowerを正常に稼働させるために必要な禁止項目を定義したSCPで既存のサービスへの影響はない。
  • AWS Organizationsを利用して作成されたリソースはControlTowerへの登録を実施しない限り管理外になる。
    • ControlTower側で設定されているSCP,Configルールの影響を受けない。
  • CloudTrail 証跡の既存のデプロイがある場合はCloudTrailの料金が重複発生するため、アカウントレベルの証跡を削除しておくと良い。

コントロール

  • AWS環境全体に継続的なガバナンスを提供する高レベルのルールです。
    ※本記事で紹介するものは2023年12月21日時点のコントロール内容になります。

必須コントロール

  • ControlTowerを正常に稼働させるために必要な禁止事項をSCPで定義したもの
    必須コントロール.png

強く推奨されるコントロール

  • マルチアカウントのベストプラクティスに基づく制限事項
    強く推奨されるコントロール.png

選択的コントロール

  • AWSエンタープライズ環境で一般的に利用されている制限項目
    選択的コントロール.png

まとめ

既存アカウントが存在している時に新規のサービスを導入する場合、今回記述した内容以外にも検証・調査する必要があるので導入コストは高いと思いますが、ControlTowerを導入してもすぐに既存のアカウントに影響を与えることはないことが分かったので良かったです。
この記事が誰かのお役に立てると幸いです。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?