AWS Control Tower とは - AWS Control Tower
FeaturesAWS Control Tower が他の AWS のサービスをどのように連携させるかAWS Control Tower を初めてお使いになる方向けの情報

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower とは

AWS Control Tower は、抽象化またはオーケストレーション機能いくつかの他の機能を組み合わせて統合するレイヤーAWS サービス(AWS Organizations、AWS シングルサインオン、AWS Service Catalog など) AWS Control Tower では、数千の企業との連携で確立されたベストプラクティスに基づいて、安全性と適合性を備えた、複数アカウントの AWS 環境を設定および管理する最も簡単な方法が利用できます。

複数のアカウントをホストしている場合は、アカウントの展開とアカウントのガバナンスを容易にするオーケストレーションレイヤーを作成すると有益です。AWS Control Tower を使用すると、分散したチームのエンドユーザーが、新しい AWS アカウントチームをすばやくプロビジョニングできます。中央のクラウド管理者には、すべてのアカウントが、一元的に確立された、会社全体のコンプライアンスポリシーと連携していることが認識されています。

AWS Control Tower の操作と、AWS マルチアカウント戦略で概説されているベストプラクティスの詳細については、適切に設計された AWS 環境としてlanding zone を作成する

Features

AWS Control Tower には以下の機能があります。

  • ランディングゾーン— landing zone は、セキュリティとコンプライアンスのベストプラクティスに基づく、優れたアーキテクチャ設計の、複数アカウントの AWS 環境です。これは、すべての組織単位 (OU)、アカウント、ユーザー、およびコンプライアンス規制の対象とするその他のリソースを保持するエンタープライズ全体のコンテナです。ランディングゾーンは、いずれの規模の企業のニーズに合わせてもスケーリングできます。

  • ガードレール— ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールには、予防的発見的の 2 種類があります。この 2 種類のガードレールには、必須強く推奨選択的の 3 つのガイダンスカテゴリが適用されます。ガードレールの詳細については、「ガードレールの仕組み」を参照してください。

  • Account Factory— Account Factory は、事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化するのに役立つ、設定可能なアカウントテンプレートです。AWS Control Tower には、組織内でアカウントプロビジョニングワークフローの自動化を支援する、組み込みのアカウントファクトリーがあります。詳細については、「Account Factory によるアカウントのプロビジョニングと管理」を参照してください。

  • ダッシュボード— 中央のクラウド管理者のチームが、ダッシュボードでlanding zone を継続的に監視できます。このダッシュボードを使用して、企業全体でプロビジョニングされているアカウント、ポリシーの適用に対して有効にされているガードレール、ポリシーの非準拠の継続的検出に対応するガードレール、およびアカウントと OU によって編成され非準拠リソースを確認できます。

AWS Control Tower は、信用と信頼性のある AWS のサービス上に構築されています。AWS Service Catalog,AWS Single Sign-On, およびAWS Organizations。詳細については、「統合サービス」を参照してください。

AWS Control Tower を他の AWS のサービスとともに、既存のワークロードを AWS に移行するのに役立つソリューションに組み込むことができます。詳細については、「AWS Control Tower と CloudEndure を活用してワークロードを AWS に移行する方法」を参照してください。

構成、ガバナンス、拡張性

  • アカウント設定の自動化: AWS Control Tower は、アカウントファクトリー(または「自動販売機」)を使用して、アカウントのデプロイと登録を自動化します。このファクトリーは、AWS Service Catalog のプロビジョニング済み製品の上に抽象化として構築されています。Account Factory は AWS アカウントを作成および登録でき、これらのアカウントにガードレールとポリシーを適用するプロセスを自動化します。

  • 集中型ガバナンス: AWS 組織の機能を採用することで、AWS Control Tower は、マルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保するフレームワークをセットアップします。AWS Organizations サービスは、アカウントの一元的なガバナンスと管理、API からのアカウント作成、サービスコントロールポリシー(SCP)など、マルチアカウント環境の管理に不可欠な機能を提供します。

    AWS Control Tower のオーケストレーションでは、AWS Organizations 機能を拡張する一連の規定されたルールと定義に従うことができます。たとえば、ガードレールを使用して、セキュリティログと必要なクロスアカウントアクセス権限が作成され、変更されないようにすることができます。

  • 拡張機能: AWS Organizations で直接作業することで、独自の AWS Control Tower 環境を構築または拡張できます。既存の組織を登録し、既存のアカウントを AWS Control Tower に登録した後、変更を反映するように AWS Control Tower のlanding zone を更新すると、変更内容が AWS Control Tower に反映されます。ワークロードがさらに高度な機能が必要な場合は、AWS AWS Control Tower とともに他の AWS パートナーソリューションを活用できます。

AWS Control Tower を初めてお使いになる方向けの情報

このサービスを初めて使用する方には、以下を読むことをお勧めします。

  1. landing zone 計画と整理方法の詳細については、」AWS Control Tower landing zone を計画するおよびAWS コントロールタワーのlanding zone のための AWS マルチアカウント戦略

  2. 最初のランディングゾーンを作成する準備ができている場合は、「AWS Control Tower の開始方法」を参照してください。

  3. ドリフトの検出と防止の詳細については、「AWS Control Tower のドリフトを検出して解決」を参照してください。

  4. セキュリティの詳細については、「AWS Control Tower のセキュリティ」を参照してください。

  5. landing zone およびメンバーアカウントの更新方法については、AWS Control Tower での設定更新管理