はじめに
この記事はNE Advent Calendar 2023 23日目の記事です。
概要
この記事では、ControlTowerを調査することになった経緯、既存アカウントへの導入調査、コントロールについて記述しています。
ControlTowerの操作などについては記述しておりません。
ControlTowerとは?
セキュリティサービス群にベストプラクティスに則った設定を投入し、マルチアカウント環境を構成・運用するサービスです。
経緯
AWS Organizationsを利用してマルチアカウントの管理などを行っているのですが、セキュリティ向上・運用の効率化を図るためにControlTowerが導入できないか調査を行なっております。
既存アカウントへのControlTower導入調査
- 既存アカウントが存在した状態でControlTowerを導入しても既存のサービスに影響がないかを調査いたしました。
分かったこと
- ControlTowerが作成したOUにはSCPが設定されている。
- ControlTowerを正常に稼働させるために必要な禁止項目を定義したSCPで既存のサービスへの影響はない。
- AWS Organizationsを利用して作成されたリソースはControlTowerへの登録を実施しない限り管理外になる。
- ControlTower側で設定されているSCP,Configルールの影響を受けない。
- CloudTrail 証跡の既存のデプロイがある場合はCloudTrailの料金が重複発生するため、アカウントレベルの証跡を削除しておくと良い。
コントロール
- AWS環境全体に継続的なガバナンスを提供する高レベルのルールです。
※本記事で紹介するものは2023年12月21日時点のコントロール内容になります。
・必須コントロール
- ControlTowerを正常に稼働させるために必要な禁止事項をSCPで定義したもの
・強く推奨されるコントロール
- マルチアカウントのベストプラクティスに基づく制限事項
・選択的コントロール
- AWSエンタープライズ環境で一般的に利用されている制限項目
まとめ
既存アカウントが存在している時に新規のサービスを導入する場合、今回記述した内容以外にも検証・調査する必要があるので導入コストは高いと思いますが、ControlTowerを導入してもすぐに既存のアカウントに影響を与えることはないことが分かったので良かったです。
この記事が誰かのお役に立てると幸いです。