AWS Control Tower とは - AWS Control Tower

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

AWS Control Tower とは

AWS Control Tower 抽象化を作成する、または オーケストレーション いくつかの他の機能を組み合わせて統合するレイヤー AWSサービスAWS Organizations、AWS Single Sign-on、AWS Service Catalog などの AWS サービス カタログが含まれます。 AWS Control Tower は、数千もの企業と協働して確立したベストプラクティスに基づいて、安全でコンプライアンスに準拠したマルチアカウントAWS環境をセットアップし、管理するための最も簡単な方法を提供します。

数社以上のアカウントをホストしている場合、アカウントの導入とアカウント・ガバナンスを促進するオーケストレーション・レイヤーを持つことが有益です。AWS Control Tower を使用すると、分散したチームのエンドユーザーが、新しい AWS アカウントチームをすばやくプロビジョニングできます。一方、中央クラウド管理者は、すべてのアカウントが一元的に確立された全社規模のコンプライアンスポリシーと整合していることを知っています。

との作業の詳細については、 AWS Control Tower また、AWSマルチアカウント戦略で概説されているベストプラクティスについては、 適切にアーキテクチャされたAWS環境としてランディングゾーンを作成する.

Features

AWS Control Tower には次の機能があります。

  • ランディングゾーン – Landing Zone は、セキュリティとコンプライアンスのベストプラクティスに基づく、優れたアーキテクチャ設計の、複数アカウントの AWS 環境です。これは、コンプライアンス規制の対象となる組織単位(OU)、アカウント、ユーザー、その他のリソースをすべて格納するエンタープライズ規模のコンテナです。ランディングゾーンは、いずれの規模の企業のニーズに合わせてもスケーリングできます。

  • ガードレール – ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールには、予防的発見的の 2 種類があります。この 2 種類のガードレールには、必須強く推奨選択的の 3 つのガイダンスカテゴリが適用されます。ガードレールの詳細については、「ガードレールの仕組み」を参照してください。

  • Account Factory – An Account Factory は、事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化するのに役立つ、設定可能なアカウントテンプレートです。AWS Control Tower では、組織内でアカウントプロビジョニングワークフローの自動化を支援する、組み込みの Account Factory が利用できます。詳細については、アカウントの工場によるアカウントのプロビジョニングと管理 を参照してください。

  • ダッシュボード – このダッシュボードでは、中央のクラウド管理者のチームが Landing Zone を継続的に監視できます。ダッシュボードを使用して、企業全体のプロビジョニングされたアカウント、ポリシーの施行に有効なガードレール、ポリシーの不適合を継続的に検出する有効なガードレール、アカウント別に整理された非準拠リソースを確認できます。 OUs.

AWS Control Tower は、AWS Service Catalog、AWS シングルサインオン、AWS Organizations など、信用と信頼性のある AWS のサービス上に構築されています。詳細については、統合サービス を参照してください。

AWS Control Tower を他の AWS のサービスとともに、既存のワークロードを AWS に移行するのに役立つソリューションに組み込むことができます。詳細については、以下を参照してください。 AWS Control Towerと CloudEndure AWSにワークロードを.

構成、ガバナンス、拡張性

  • 自動アカウント設定: AWS Control Tower は、アカウントファクトリー(または「自販機」)を使用して、アカウントの導入と登録を自動化します。これは、AWSサービスカタログのプロビジョニングされた製品の上に抽象化して構築されます。Account FactoryはAWSアカウントを作成して登録でき、ガードレールとポリシーをこれらのアカウントに適用するプロセスを自動化します。

  • 一元化されたガバナンス: AWS組織の機能を採用することで、 AWS Control Tower マルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保するフレームワークを設定します。AWS Organizationsサービスは、集中管理やアカウント管理、アカウント作成、 APIs、サービス制御ポリシー (SCP)。

    付 AWS Control Tower AWS Organizationsの機能を拡張する一連の規定ルールと定義に従うことができます。たとえば、ガードレールを使用して、セキュリティ ログと必要なクロスアカウント アクセス権限が作成され、変更されないようにすることができます。

  • 拡張性: 独自の AWS Control Tower AWS Organizationsで直接作業することで、環境を保護できます。変更内容は、 AWS Control Tower 既存の組織を登録した後、既存のアカウントをAWS Control Towerに登録し、 AWS Control Tower 変更が反映されます。ワークロードにさらに高度な機能が必要な場合、他のAWSパートナーソリューションと AWS Control Tower.

Pricing

AWS Control Tower の使用に伴う追加料金はありません。AWS Control Tower で有効になっている AWS のサービスおよび Landing Zone で利用するサービスの料金のみをお支払いいただきます。たとえば、Account Factory でアカウントをプロビジョニングするための AWS Service Catalog の料金、および Landing Zone で追跡されているイベントの AWS CloudTrail に対してお支払いいただきます。AWS Control Tower に関連した料金表や料金については、「AWS Control Tower の料金」を参照してください。

のアカウントから一時的なワークロードを実行している場合 AWS Control TowerAWS Configに関連するコストが増加します。これらのコスト管理の詳細については、AWS アカウント担当者にお問い合わせください。

AWS Control Tower を初めてお使いになる方向けの情報

このサービスを初めて使用する方には、以下を読むことをお勧めします。

  1. ランディングゾーンの計画と編成方法についての詳細は、 計画する AWS Control Tower 着地ゾーン および AWSマルチアカウント戦略 AWS Control Tower 着陸ゾーン.

  2. 最初のランディングゾーンを作成する準備ができている場合は、「AWS Control Tower の開始方法」を参照してください。

  3. ドリフトの検出と防止の詳細については、「のドリフトを検出して解決 AWS Control Tower」を参照してください。

  4. セキュリティの詳細については、「AWS Control Tower のセキュリティ」を参照してください。

  5. Landing Zone およびメンバーアカウントの更新方法については、「の構成更新管理 AWS Control Tower」を参照してください。