記事の背景
仕事上、Control Towerの設計・構築を担当することとなりました。
環境区分・サブシステム区別ごとにアカウントやOrganization Unit(OU)を分割する必要があり、その過程で採用が決まりました。
Control Tower概要
エンタープライズレベルでは、複数アカウントの管理が当たり前になってきています。
アカウント横断でガバナンスを効かせる方法はOraganizationでSCPを設定する手順がありましたが、
SCPを定義してメンテして・・・といった手間がかかっていました。
Control Towerを利用すると、
- マルチアカウントに対し適用するルールをある程度マネージドで提供してくれる
- 監査証跡を残すための仕組みを提供してくれる
といったことをやってくれます。一つづつ説明していきます。
適用するルールについて
「ガードレール」という仕組みが提供されます。これはControl Tower配下のアカウントに対し共通でルールを適用してくれます。
見たほうが早いと思います。👇のような感じです。
このように必須・強く推奨・選択式のルールが提供されます。
必須は選択の余地なく適用され、他のルールはデフォルトでは適用されていません。
個人の考えですが、強く推奨のルールは一旦ONにしておいて、問題が発生したらOFFにするのかなと思います。
監査証跡の仕組みを提供してくれる
Control Towerを建てると、Cloud Trailやログ格納のS3バケットなどが自動で作られます。
また、デフォルトでガードレールによってS3のバケットポリシーを変更不可にしたりなど、監査に役に立つ仕組みも提供されます。
何がメリットなのか
この仕組みですが、何がメリットなのかというと、一般的なアカウント統制ルールをマネージドで提供してくれることなのかと思います。
この仕組みをControl Towerなしで実装すると、一つ一つのルールを手作りしたり、ログの仕組みを作り込んだりする必要があります。
まだまだわからないことも多いですが、また新しいことが判明したら記事にします。