AWS Control Tower とは
AWS Control Tower は、規範的なベストプラクティスに従って、AWS 複数アカウント環境を設定して管理するための簡単な方法を提供します。AWS Control Tower は、AWS Organizations、AWS Service Catalog、AWS IAM Identity Center (successor to AWS Single Sign-On) など、他のいくつかの AWS のサービスの機能の「オーケストレーション」を行い、1 時間足らずでランディングゾーンを構築します。リソースは、ユーザーに代わって設定および管理されます。
AWS Control Tower オーケストレーションは、AWS Organizations の機能を拡張します。組織やアカウントに、ベストプラクティスからの逸脱であるドリフトをさせないために、AWS Control Tower は予防および発見的制御 (ガードレール) を適用します。例えば、ガードレールを使用して、セキュリティログと必要なクロスアカウントアクセス許可が作成され、変更されないようにすることができます。
少数のアカウントをホストしている場合は、アカウントデプロイとアカウントガバナンスを容易にするオーケストレーションレイヤーを持つことは有益です。AWS Control Tower は、アカウントとインフラストラクチャをプロビジョニングする主な方法として採用できます。AWS Control Tower を使用すると、より簡単に企業基準を遵守し、規制要件を満たし、ベストプラクティスに従うことができます。
AWS Control Tower を使用すると、分散チームのエンドユーザーは、Account Factory で設定可能なアカウントテンプレートを使用して、新しい AWS アカウントを迅速にプロビジョニングできます。一方、中央のクラウド管理者は、すべてのアカウントが、確立された、会社全体のコンプライアンスポリシーと連携していることをモニタリングできます。
つまり、AWS Control Tower は、数千の企業との連携で確立されたベストプラクティスに基づいて、安全性と適合性を備えた、複数アカウントの AWS 環境を設定および管理する最も簡単な方法を提供します。AWS Control Tower での作業、および AWS 複数アカウント戦略で概説されているベストプラクティスの詳細については、「AWS マルチアカウント戦略: ベストプラクティスガイダンス」を参照してください。
機能
AWS Control Tower には次の機能があります。
-
ランディングゾーン — ランディングゾーンは、セキュリティとコンプライアンスのベストプラクティスに基づく、優れたアーキテクチャ設計の複数アカウントの環境です。これは、すべての組織単位 (OU)、アカウント、ユーザー、およびコンプライアンス規制の対象とするその他のリソースを保持するエンタープライズ全体のコンテナです。ランディングゾーンは、いずれの規模の企業のニーズに合わせてもスケーリングできます。
-
ガードレール — ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールには、予防的と発見的の 2 種類があります。この 2 種類のガードレールには、必須、強く推奨、選択的の 3 つのガイダンスカテゴリが適用されます。ガードレールの詳細については、「ガードレールの仕組み」を参照してください。
-
Account Factory — Account Factory は、事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化するのに役立つ、設定可能なアカウントテンプレートです。AWS Control Tower には、組織内でアカウントプロビジョニングワークフローの自動化を支援する、組み込みの Account Factory が用意されています。詳細については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。
-
ダッシュボード — このダッシュボードでは、中央のクラウド管理者のチームがランディングゾーンを継続的に監視できます。このダッシュボードを使用して、企業全体でプロビジョニングされているアカウント、ポリシーの適用に対して有効にされているガードレール、ポリシーの非準拠の継続的検出に対応するガードレール、およびアカウントと OU によって編成され非準拠リソースを確認できます。
AWS Control Tower と他の AWS のサービスとやり取りする方法
AWS Control Tower は、AWS Service Catalog、AWS IAM Identity Center (successor to AWS Single Sign-On)、AWS Organizations など、信用と信頼性のある AWS のサービス上に構築されています。詳細については、「統合サービス」を参照してください。
AWS Control Tower を他の AWS のサービスと共に、既存のワークロードを AWS に移行するのに役立つソリューションに組み込むことができます。詳細については、「How to take advantage of AWS Control Tower and CloudEndure to migrate workloads to AWS
構成、ガバナンス、拡張性
-
自動アカウント設定: AWS Control Tower は、AWS Service Catalog のプロビジョニングされた製品の上に抽象化として構築された Account Factory (または「自動販売機」) を使用して、アカウントのデプロイと登録を自動化します。Account Factory は AWS アカウントを作成して登録し、それらのアカウントにガードレールとポリシーを適用するプロセスを自動化します。
-
集中型ガバナンス: AWS Organizations の機能を活用することで、AWS Control Tower は、複数アカウント環境全体で一貫したコンプライアンスとガバナンスを保証するフレームワークを設定します。AWS Organizations サービスは、アカウントの集中的なガバナンスと管理、API からのアカウント作成、サービスコントロールポリシー (SCP) など、複数アカウント環境を管理するための不可欠な機能を提供します。
-
拡張性: AWS Organizations と AWS Control Tower コンソールで直接作業することで、独自の AWS Control Tower 環境を構築または拡張できます。既存の組織を登録し、既存のアカウントを AWS Control Tower に登録すると、変更が AWS Control Tower に反映されていることがわかります。AWS Control Tower ランディングゾーンを更新して、変更を反映させることができます。ワークロードにさらに高度な機能が必要な場合は、AWS Control Tower と共に他の AWS パートナーソリューションを活用できます。
AWS Control Tower を初めてお使いになる方に
このサービスを初めて使用する方には、以下を読むことをお勧めします。
-
ランディングゾーンを計画および整理する方法の詳細については、「AWS Control Tower ランディングゾーンの計画」および「AWS Control Tower ランディングゾーンに対する AWS マルチアカウント戦略」を参照してください。
-
最初のランディングゾーンを作成する準備ができている場合は、「AWS Control Tower の使用開始方法」を参照してください。
-
ドリフトの検出と防止の詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。
-
セキュリティの詳細については、「AWS Control Tower のセキュリティ」を参照してください。
-
ランディングゾーンおよびメンバーアカウントの更新方法については、「AWS Control Tower での設定更新管理」を参照してください。