AWS Control Towerとは
マルチアカウントの環境をセットアップ・管理するためのマネージドサービス。
具体的には、、
1.マルチアカウント環境を迅速に設定
適切に設計されたマルチアカウント環境を 30 分以内にセットアップする。
2.オートメーションと組み込みガバナンス
組み込みのガバナンスでAWS アカウントの作成を自動化する。
3.事前設定済みのコントロール
事前に構成されたコントロールを使用して、ベストプラクティス、標準、規制要件を適用する。
4.サードパーティーのソフトウェアを大規模に統合
サードパーティーソフトウェアを大規模にシームレスに統合して、AWS 環境を強化する。
料金
AWS Control Tower は追加料金なしで利用できる。
ただ、AWS Control Tower をセットアップすると、ランディングゾーンおよび必須のコントロールをセットアップするように設定された AWS のサービスの費用が発生。
一部の AWS のサービスは追加料金がかからないが、
- AWS Service Catalog
- AWS CloudTrail
- AWS Config
- Amazon CloudWatch
- Amazon Simple Notification Service (Amazon SNS)、
- Amazon Simple Storage Service (Amazon S3)
- Amazon Virtual Private Cloud (Amazon VPC)
などのサービスの料金が、これらのサービスの使用量に基づいて発生する。
特徴
- 1.ランディングゾーン
AWS Control Tower では、新しいランディングゾーンのセットアップを自動化する。
ランディングゾーンとは、
セキュリティとコンプライアンスのベストプラクティスに基づいた、Well-Architected によるマルチアカウントの AWS 環境。
- 2.Account Factory
アカウントファクトリーは、設定可能なアカウントテンプレートとして、新しいアカウントのプロビジョニングを標準化するのに役立つ。
アカウントファクトリーとは、
組織内の新しいアカウントのプロビジョニングを自動化するもの。
- 3.包括的なコントロール管理
コントロールを使用することで、特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になる。
コントロールには、検出的、予防的、積極的があるが、必須でも任意でもいい。
コントロールは、
セキュリティ、オペレーション、コンプライアンスに関するあらかじめパッケージ化されたガバナンスルール。
- 4.ダッシュボード
AWS Control Tower ダッシュボードでは、AWS 環境を継続して視覚的に確認できる。
プロビジョニングされた OU とアカウントの数や、有効化なコントロール数を表示したり、OU とアカウントのステータスをそれらのコントロールと照合できる。
有効なコントロールに関して、違反しているリソースをリストとして確認することもできる。