案件でControlTowerの検証を行う機会があったので、確認できたことやControlTowerの挙動などについて記事を書こうと思います。マルチアカウントの検証は個人だとハードルが高いので勉強になりました。この記事に添付した画像はは2021年9月時点のコンソールの物となります。タイミングによっては画面のレイアウトや設定項目等変更となっている可能性がある点にご留意ください。
ControlTower記事リンク
・ControlTower①マルチアカウント環境をセットアップする←今ここ
・ControlTower②ControlTower内の状況確認
・ControlTower③SSOの確認・アカウントの追加・削除
・ControlTower④ガードレールの設定
・ControlTower⑤Auditアカウントに作成されるリソースについて
・ControlTower⑥LogArchiveアカウントに作成されるリソースについて
・ControlTower⑦SecurityHubの有効化
・ControlTower⑧GuardDutyの有効化
・ControlTower⑨CloudWatchクロスアカウントダッシュボードの設定
・ControlTower⑩LogArchiveアカウント内バケットへのCloudWatchLogs集約
ControlTowerとは
AWSのベストプラクティスに従ってOUやアカウントを一括設定・管理できるサービスです。
ControlTowerを使用する事で、マルチアカウントへのCloudTrail・Configの有効化やログの集約設定・権限回り・SSOなどが短時間で設定できます。セットアップ後はOUへのアカウントの追加や「ガードレール」と呼ばれる権限や検知などのルール設定も一括で管理できるので、マルチアカウント環境を新規で構築したい場合には活用できるかと思います。
参考:https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/what-is-control-tower.html
ControlTowerによって自動で構築されるリソース
ユーザーガイドによると、まったく何もない状態でControlTowerを開始すると「log archive account」と「audit account」が自動作成されてSecurityOUという組織に所属するみたいです。
各アカウント内のリソース
ユーザーガイドによると、CloudFormation、CloudTrail、S3など複数のリソースが自動で構築・設定されるようです。詳細はユーザーガイドのAccount Factory によるアカウントのプロビジョニングと管理に記載がありました。
必須のガードレール
また、初期設定では各種ガードレールのうち、「必須のガードレール」と呼ばれる物が自動で設定されます。必須のガードレールについては削除したり無効化することができないので、事前にどういったものが設定されるのかは確認しておいた方が良いかと思います。
早速設定してみる
早速設定してみます。
マネジメントコンソールの検索窓に「ControlTower」と打ち込みControlTowerのサービス画面に移動し、「ランディングゾーンの設定」からセットアップを行います。
ちなみに、前提条件を満たしていないと画像のようなエラーが出て先に進めません。検証環境などで設定が残っている場合は確認する必要がありそうです。
料金の確認とリージョンの選択画面です。下にスクロールしていくと、ホームリージョンや追加リージョンの設定が行えます。
今回はホームリージョンを東京、追加リージョンはバージニアのみ設定しました。
追加リージョンには今後リソースを構築する予定のリージョンをすべて追加しておきましょう。
この設定はセットアップ後に変更することも可能です。
ホームリージョン・追加リージョンに設定したリージョンで、CloudTrailやConfigの有効化が行われます。リージョンをすべて追加できたら、「次へ」を押下します。
OUの設定画面です。
「基礎となるOU」のOU名はデフォルトのままで設定しました。
「追加のOU」の設定です。
今回は検証用OUを追加したかったので、「新しいOUを作成」を選択し、OU名に「Sandbox」と入力しました。
今回の検証環境には既にOUが存在していたので、「OUの作成をオプトアウト※OUの作成をしないという意味」という選択肢も表示されています。追加OU名を入力したら、「次へ」を押下します。
共有アカウントと暗号化設定の画面です。
管理アカウントはControlTowerの親になるアカウント(つまり現在ControlTowerのセットアップをしているアカウント)の事です。ログアーカイブアカウント・監査アカウントはControlTowerにより新規で作成されるので、アカウントに設定するEメールアドレスを入力します。
ログアーカイブアカウントについて、「アカウントの作成」に入力したアドレスでSNSのサブスクリプションなども設定されるので、あどれすはメーリングリストのものなどにしておくと便利かと思います。今回はアカウント名をデフォルトのまま作成しました。
監査アカウントについてもログアーカイブアカウントと同様にメールアドレスの設定を行います。また、既にKMSのカスタマー管理キーを作成済で、CloudTrailやConfigのログを暗号化したい場合は「暗号化を有効化して、カスタマイズする」のチェックを入れ、カスタマー管理キーのARNを指定できます(※カスタマー管理キーに適切なキーポリシーが設定されていることを確認してください)。
アカウント名・アドレス設定と、KMS暗号化の設定が全て完了したら、「次へ」を押下します。
ControlTowerにより自動作成される各種IAMロールの権限の確認画面です。
「こんなIAMロールができますけどいいですか」という確認なので、一通り眺めておくと良いかと思います。作成されるロールについてはユーザーガイドにも記載されているのでご確認ください。
最後に、ControlTowerによりリソースへのアクセス許可設定が設定されること、リソースが自動作成されることを承諾するチェックボックスにチェックをいれ、「ランディングゾーンの設定」を押下します。これでセットアップ設定が完了です。
セットアップが完了するとControlTowerのトップページに設定完了までの残り時間表示が出現します。60分程度かかるので、その間はおやつを食べたり別の仕事をするなどしながら待っていると良いでしょう。体感だとランディングゾーン構築は40分程度で完了しました。
ControlTowerの初期設定は以上で完了です。
次回の記事で各アカウントに作成されるリソースの確認や、ガードレールの追加設定・アカウントの追加設定など書いていこうと思います。