AWS Control Tower とは - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower とは

AWS Control Tower は、規範的なベストプラクティスに従って、AWS マルチアカウント環境をセットアップおよび管理するための簡単な方法を提供します。AWS Control Towerオーケストレーションいくつかの他の機能AWS サービス(AWS Organizations、AWS Service Catalog、AWS シングルサインオンを含む)を使用して、landing zone を 1 時間未満で構築できます。リソースは、ユーザーに代わって設定および管理されます。

AWS Control Tower のオーケストレーションは、AWS Organizations 機能を拡張します。組織とアカウントをドリフトでは、AWS Control Tower は予防的および探偵的コントロール(ガードレール)を適用します。たとえば、ガードレールを使用して、セキュリティログと必要なクロスアカウントアクセス権限が作成され、変更されないようにすることができます。

複数のアカウントをホストしている場合は、アカウントの展開とアカウントのガバナンスを容易にするオーケストレーションレイヤーを用意すると有益です。アカウントとインフラストラクチャをプロビジョニングする主な方法として、AWS Control Tower を採用できます。AWS Control Tower を使用すると、企業標準に準拠し、規制要件に対応し、ベストプラクティスをより簡単に順守できます。

AWS Control Tower を使用すると、分散したチームのエンドユーザーは、Account Factory で設定可能なアカウントテンプレートを使用して、新しい AWS アカウントを迅速にプロビジョニングできます。中央のクラウド管理者には、すべてのアカウントが、確立された、会社全体のコンプライアンスポリシーと連携していることが保証されます。

つまり、AWS Control Tower では、数千の企業との連携で確立されたベストプラクティスに基づいて、安全性と適合性を備えた、複数アカウントの AWS 環境を設定および管理する最も簡単な方法が利用できます。AWS Control Tower の操作と、AWS マルチアカウント戦略で概説されているベストプラクティスの詳細については、AWS マルチアカウント戦略: ベストプラクティスに関するガイダンス

Features

AWS Control Tower には次の機能があります。

  • ランディングゾーン— landing zone は、よく設計されています,複数アカウント環境は、セキュリティとコンプライアンスのベストプラクティスに基づいています。これは、すべての組織単位 (OU)、アカウント、ユーザー、およびコンプライアンス規制の対象とするその他のリソースを保持するエンタープライズ全体のコンテナです。ランディングゾーンは、いずれの規模の企業のニーズに合わせてもスケーリングできます。

  • ガードレール— ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールには、予防的発見的の 2 種類があります。この 2 種類のガードレールには、必須強く推奨選択的の 3 つのガイダンスカテゴリが適用されます。ガードレールの詳細については、「ガードレールの仕組み」を参照してください。

  • Account Factory— Account Factory は、事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化するのに役立つ、設定可能なアカウントテンプレートです。AWS Control Tower には、組織内でアカウントプロビジョニングワークフローの自動化を支援する、組み込みのアカウントファクトリーがあります。詳細については、「Account Factory によるアカウントのプロビジョニングと管理」を参照してください。

  • ダッシュボード— 中央のクラウド管理者チームが、landing zone を継続的に監視できます。このダッシュボードを使用して、企業全体でプロビジョニングされているアカウント、ポリシーの適用に対して有効にされているガードレール、ポリシーの非準拠の継続的検出に対応するガードレール、およびアカウントと OU によって編成され非準拠リソースを確認できます。

AWS Control Tower は、信用と信頼性のある AWS のサービス上に構築されています。AWS Service Catalog,AWS Single Sign-On, およびAWS Organizations。詳細については、「統合サービス」を参照してください。

他の AWS サービスとともに AWS Control Tower を組み込むと、既存のワークロードを AWS に移行するのに役立つソリューションにすることができます。詳細については、「AWS Control Tower と CloudEndure を活用してワークロードを AWS に移行する方法」を参照してください。

構成、ガバナンス、拡張性

  • アカウント設定の自動化: AWS Control Tower は、アカウントファクトリー(または「自動販売機」)を使用して、アカウントのデプロイと登録を自動化します。このファクトリーは、AWS Service Catalog のプロビジョニング済み製品の上に抽象化として構築されています。Account Factory は AWS アカウントを作成および登録でき、これらのアカウントにガードレールとポリシーを適用するプロセスを自動化します。

  • 集中型ガバナンス: AWS 組織の機能を採用することで、AWS Control Tower は、マルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保するフレームワークをセットアップします。AWS Organizations サービスは、アカウントの一元的なガバナンスと管理、API からのアカウント作成、サービスコントロールポリシー(SCP)など、マルチアカウント環境の管理に不可欠な機能を提供します。

  • 拡張機能: AWS Organizations や AWS Control Tower コンソールで直接作業することで、独自の AWS Control Tower 環境を構築または拡張できます。既存の組織を登録し、既存のアカウントを AWS Control Tower に登録すると、変更内容が AWS Control Tower に反映されます。AWS Control Tower のlanding zone を更新して、変更を反映することができます。ワークロードがさらに高度な機能が必要な場合は、AWS AWS Control Tower とともに他の AWS パートナーソリューションを活用できます。

AWS Control Tower を初めてお使いになる方向けの情報

このサービスを初めて使用する方には、以下を読むことをお勧めします。

  1. landing zone 計画と整理方法の詳細については、」AWS Control Tower landing zone を計画するおよびAWS コントロールタワーのlanding zone のための AWS マルチアカウント戦略

  2. 最初のランディングゾーンを作成する準備ができている場合は、「AWS Control Tower の開始方法」を参照してください。

  3. ドリフトの検出と防止の詳細については、「AWS Control Tower のドリフトを検出して解決」を参照してください。

  4. セキュリティの詳細については、「AWS Control Tower のセキュリティ」を参照してください。

  5. landing zone およびメンバーアカウントの更新方法については、AWS Control Tower での設定更新管理