Cotrol Towerとは
一言でいうと、「マルチアカウント環境の自動プロビジョニングを行うマネージドサービス」
Cotrol Towerではマルチアカウント環境のことをランディングゾーンと呼んでおり(Cotrol Tower特有の名称ではないが)実態としては以下の構成となっている。
デフォルトで作成される「管理/監査/ログ・アーカイブアカウント」をまとめて共有アカウントと呼んでいる。
Cotrol Towerで出来ること
AWS Black Belt AWS Control Tower 基礎編で紹介のある通り、以下5つのカテゴリで"Cotrol Towerで出来ること"を紹介する。
ログ集約
各アカウントのAWS ConfigとCloudTrailのログをログ・アーカイブアカウント内のS3バケットに集約している。
AWS Control Towerでアカウントを作成したタイミングからログの集約は開始される。
コントロール適用
コントロール設定にて、マルチアカウントを不適切状態に遷移させない様統制をきかせることができる。
コントールは400を超えるプリセットから選択可能。
コントールの動作は以下の3種類。
| 動作の種類 | 詳細 | 実装方法 |
|---|---|---|
| 予防コントロール | 対象の操作を実施できないようにする | OrganizationsのSCP |
| 検出コントロール | 望ましくない操作を行った場合に発見する | Config Rules(SecurityHubと連携) |
| プロアクティブコントロール | ルールに沿ったリソースのみを作成可能にする | CloudFormation Hooks |
発見的統制/予防的統制のガードレルを適切に敷く必要があります。
通知
AWS Configで把握したAWSリソース変更情報とConfig Rulesの準拠状況をSNSにて通知する。
ID一元管理
IAM Identity Centerと各アカウントを連携することで、各アカウントのユーザ情報をIAM Identity Centerで一元管理する。
AWSアカウント作成とプロビジョニング
Account Factoryにてガバナンスの効いたアカウントを作成する。
アカウント作成時には、Service Catalog、CloudFormation StackSetsを用いてベストプラクティスに沿ったリソース群をデプロイすることで効率的なプロビジョニングを実現する。
ダッシュボード
Control Towerダッシュボードより、管理アカウント数や、非準拠リソースを参照可能。
