AWS Control Tower とは - AWS Control Tower
機能AWS Control Tower が他の AWS サービスとやり取りする方法AWS Control Tower を初めてお使いになる方に

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower とは

AWS Control Tower は、規範的なベストプラクティスに従って、 AWS マルチアカウント環境をセットアップして管理するための簡単な方法を提供します。AWS Control Tower は、 AWS Organizations、 AWS Service Catalog、 など、他のいくつかの AWS サービスの機能をオーケストレーションして AWS IAM Identity Center、1 時間以内にランディングゾーンを構築します。リソースは、ユーザーに代わって設定および管理されます。

AWS Control Tower オーケストレーションは の機能を拡張します AWS Organizations。組織やアカウントに、ベストプラクティスからの逸脱であるドリフトをさせないために、AWS Control Tower はコントロール (ガードレールと呼ばれることもあります) を適用します。例えば、コントロールを使用して、セキュリティログと必要なクロスアカウントアクセス許可が作成され、変更されないようにすることができます。

少数のアカウントをホストしている場合は、アカウントデプロイとアカウントガバナンスを容易にするオーケストレーションレイヤーを持つことは有益です。AWS Control Tower は、アカウントとインフラストラクチャをプロビジョニングする主な方法として採用できます。AWS Control Tower を使用すると、より簡単に企業基準を遵守し、規制要件を満たし、ベストプラクティスに従うことができます。

AWS Control Tower を使用すると、分散チームのエンドユーザーは、Account Factory で設定可能な AWS アカウントテンプレートを使用して、新しいアカウントをすばやくプロビジョニングできます。一方、中央のクラウド管理者は、すべてのアカウントが、確立された、会社全体のコンプライアンスポリシーと連携していることをモニタリングできます。

つまり、AWS Control Tower は、何千もの企業と連携することで確立されたベストプラクティスに基づいて、安全で準拠したマルチアカウント AWS 環境を設定および管理する最も簡単な方法を提供します。AWS Control Tower の使用および AWS マルチアカウント戦略で説明されているベストプラクティスの詳細については、「」を参照してくださいAWS マルチアカウント戦略: ベストプラクティスガイダンス

機能

AWS Control Tower には次の機能があります。

  • ランディングゾーン — ランディングゾーンは、セキュリティとコンプライアンスのベストプラクティスに基づく、優れたアーキテクチャ設計の複数アカウントの環境です。これは、すべての組織単位 (OU)、アカウント、ユーザー、およびコンプライアンス規制の対象とするその他のリソースを保持するエンタープライズ全体のコンテナです。ランディングゾーンは、いずれの規模の企業のニーズに合わせてもスケーリングできます。

  • コントロール – コントロール (ガードレールと呼ばれることもあります) は、 AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。予防コントロール、検出コントロール、プロアクティブコントロールの 3 種類があります。必須、強く推奨、選択的の 3 つのガイダンスカテゴリが適用されます。コントロールの詳細については、「コントロールの仕組み」を参照してください。

  • Account Factory — Account Factory は、事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化するのに役立つ、設定可能なアカウントテンプレートです。AWS Control Tower には、組織内でアカウントプロビジョニングワークフローの自動化を支援する、組み込みの Account Factory が用意されています。詳細については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。

  • ダッシュボード — このダッシュボードでは、中央のクラウド管理者のチームがランディングゾーンを継続的に監視できます。このダッシュボードを使用して、企業全体でプロビジョニングされているアカウント、ポリシーの適用に対して有効にされているコントロール、ポリシーの非準拠の継続的検出に対応するコントロール、およびアカウントと OU によって編成され非準拠リソースを確認できます。

AWS Control Tower は AWS Service Catalog AWS IAM Identity Center、 や などの信頼できる AWS サービスの上に構築されています AWS Organizations。詳細については、「統合サービス」を参照してください。

既存のワークロードの移行に役立つソリューションに、AWS Control Tower を他の AWS サービスに組み込むことができます AWS。詳細については、「How to take advantage of AWS Control Tower and CloudEndure to migrate workloads to AWS」(AWS Control Tower と CloudEndure を活用してワークロードを AWS に移行する方法) を参照してください。

構成、ガバナンス、拡張性

  • 自動アカウント設定: AWS Control Tower は、 AWS Service Catalogのプロビジョニングされた製品の上に抽象化として構築された Account Factory (または「自動販売機」) を使用して、アカウントのデプロイと登録を自動化します。Account Factory は AWS アカウントを作成および登録でき、それらのアカウントにコントロールとポリシーを適用するプロセスを自動化します。アカウントの作成とプロビジョニングの詳細については、「プロビジョニングの方法」を参照してください。

  • 一元化されたガバナンス: の機能を採用することで AWS Organizations、AWS Control Tower はマルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保するフレームワークをセットアップします。この AWS Organizations サービスは、アカウントの中央ガバナンスと管理、 AWS Organizations APIs からのアカウント作成、サービスコントロールポリシー (SCPs)、リソースコントロールポリシー (RCPs) など、マルチアカウント環境を管理するために不可欠な機能を提供します。

  • 拡張性: AWS Control Tower コンソールだけでなく、 で直接作業することで AWS Organizations、独自の AWS Control Tower 環境を構築または拡張できます。既存の組織を登録し、既存のアカウントを AWS Control Tower に登録すると、変更が AWS Control Tower に反映されていることがわかります。AWS Control Tower ランディングゾーンを更新して、変更を反映させることができます。ワークロードにさらに高度な機能が必要な場合は、AWS Control Tower とともに他の AWS パートナーソリューションを活用できます。

AWS Control Tower を初めてお使いになる方に

このサービスを初めて使用する方には、以下を読むことをお勧めします。

  1. ランディングゾーンを計画および整理する方法の詳細については、「AWS Control Tower ランディングゾーンの計画」および「AWS AWS Control Tower ランディングゾーンのマルチアカウント戦略」を参照してください。

  2. 最初のランディングゾーンを作成する準備ができている場合は、「AWS Control Tower の使用開始方法」を参照してください。

  3. ドリフトの検出と防止の詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

  4. セキュリティの詳細については、「AWS Control Tower のセキュリティ」を参照してください。

  5. ランディングゾーンおよびメンバーアカウントの更新方法については、「AWS Control Tower での設定更新管理」を参照してください。