AWS Control Tower でのタスクの自動化

多くのユーザーは、アカウントのプロビジョニング、コントロールの割り当て、監査など、AWS Control Tower のタスクを自動化することを好みます。これらの自動アクションは、次のコールを使って設定できます。

• AWS Service Catalog API

• AWS Organizations API

• AWS Control Tower API

• AWS CLI

関連情報ページには、AWS Control Tower でタスクを自動化するのに役立つ多くの優れた技術ブログ記事へのリンクが含まれています。次のセクションでは、タスクの自動化を支援する、この「AWS Control Tower ユーザーガイド」の領域へのリンクを示します。

コントロールタスクの自動化

AWS Control Tower API を使用して、コントロール (ガードレールとも呼ばれます) の適用や削除に関するタスクを自動化できます。詳細については、AWS Control Tower API リファレンスを参照してください。

AWS Control Tower API を使用して制御操作を実行する方法の詳細については、ブログ記事「AWS Control Tower が API (組織単位に対する事前定義済みの制御) をリリース」を参照してください。

landing zone タスクの自動化

AWS Control Tower のlanding zone API は、landing zone に関連する特定のタスクを自動化するのに役立ちます。詳細については、AWS Control Tower API リファレンスを参照してください。

OU 登録を自動化する

AWS Control Tower のベースライン API は、OU の登録などの特定のタスクを自動化するのに役立ちます。詳細については、AWS Control Tower API リファレンスを参照してください。

アカウントの自動解約

AWS Organizations API を使用して AWS Control Tower メンバーアカウントの閉鎖を自動化できます。詳細については、「AWS Control Tower のメンバーアカウントを AWS Organizationsから解約する」を参照してください。

アカウントのプロビジョニングと更新の自動化

AWS Control Tower Account Factory カスタマイズ (AFC) を使用すると、カスタマイズしたテンプレートを使用して、AWS Control Tower コンソールからアカウントを作成できます。 AWS CloudFormation このテンプレートはブループリントと呼ばれます。このプロセスは、1 つのブループリントを設定した後はパイプラインを維持しなくても、新しいアカウントを作成したり、アカウントを繰り返し更新したりできるという意味では、自動化されています。

Terraform (AFT) 用 AWS Control Tower Account Factory は、AWS Control Tower GitOps でのアカウントプロビジョニングとアカウント更新のプロセスを自動化するモデルに従っています。詳細については、「 AWS Control Tower Account Factory for Terraform (AFT) によるアカウントのプロビジョニング 」を参照してください。

AWS Control Tower (CfCt) のカスタマイズにより、AWS Control Tower のlanding zone をカスタマイズし、 AWS ベストプラクティスに沿った状態に保つことができます。 AWS CloudFormation カスタマイズはテンプレートとサービスコントロールポリシー (SCP) を使用して実装されます。詳細については、「 AWS Control Tower のカスタマイズ (CfCT) の概要 」を参照してください。

自動アカウントプロビジョニングの詳細と動画については、「チュートリアル: AWS Control Tower を使用した自動アカウントプロビジョニング」および「IAM ロールを使用した自動アカウントプロビジョニング」を参照してください。

スクリプトによるアカウントの更新も参照してください。

プログラムによるアカウントの監査

プログラムによるアカウントの監査の詳細については、「Programmatic roles and trust relationships for the AWS Control Tower audit account」(AWS Control Tower 監査アカウントのプログラムによるロールと信頼関係) を参照してください。

その他のタスクの自動化

自動リクエストという方法で特定の AWS Control Tower Service Quotas を増やす方法については、「Automate Service Limit Increases」 (サービス制限引き上げの自動化) というビデオをご覧ください。

オートメーションと統合のユースケースについて説明している技術的なブログについては、「Automation and integration」(オートメーションと統合) を参照してください。

セキュリティに関連する特定の自動化タスクに役立つ 2 つのオープンソースサンプルが用意されています。 GitHub

• aws-control-tower-org-setup-sample というサンプルは、セキュリティ関連サービスの委任管理者として Audit アカウントを自動設定する方法を示しています。

• aws-control-tower-account- というサンプルは、新しいアカウントをプロビジョニングして設定するときに、Step Functions setup-using-step-functions を使用してセキュリティのベストプラクティスを自動化する方法を示しています。このサンプルには、 AWS Service Catalog 組織で共有されているポートフォリオへのプリンシパルの追加や、組織全体の IAM Identity Center グループを新しいアカウントに自動的に関連付けることが含まれています。 AWS また、各リージョンのデフォルトの VPC を削除する方法についても説明します。

「AWS セキュリティリファレンスアーキテクチャ」には、AWS Control Tower に関連するタスクを自動化するためのコード例が含まれています。詳細については、規範的ガイダンスページと関連リポジトリを参照してください。AWS GitHub

CLI AWS CloudShell AWS での作業を容易にするサービスで AWS Control Tower を使用する方法については、 AWS および AWS CLI を参照してくださいAWS CloudShell 。

AWS Control Tower はオーケストレーションレイヤーであるため AWS Organizations、API や AWS CLI AWS を使用して他の多くのサービスを利用できます。詳細については、「AWS 関連サービス」を参照してください。