AWS Control Towerの概要と初期セットアップについて

記事タイトルとURLをコピーする

CS課の下山です。 AWS Control Towerの概要と、初期セットアップの様子をお伝えします。

Control TowerではAWS Organizationsの利用が前提となります。 Organizationsについても知りたい方はまずはこちらをご覧ください。

blog.serverworks.co.jp

AWS Control Towerとは

  • AWS Organizations環境での複数AWSアカウント管理において、各アカウントや組織を自動でAWSのベストプラクティスに準拠した状態に整備してくれるサービスです
  • Control Towerを有効化すると主に下記がセットアップされます。
    • Security OUの作成及び、配下にログアーカイブアカウントと監査アカウントを作成
    • IAM Identity Center(旧AWS SSO)のセットアップ
    • 必須の予防ガードレールの作成
      • 実態はSCPです
      • 例えば、CloudTrailのロギング停止を拒否するポリシーなど
    • 必須の検出ガードレールの作成
      • 実態はConfig Rulesです
      • 例えば、S3のログアーカイブ用バケットのパブリックアクセスを検出するルールなど
  • Control TowerコンソールでAWSアカウントの新規開設も可能です。開設時にはアカウント内にガードレールやCloudTrail、Configなどが整備されます。
  • Control Towerの管理下のリソース全体をランディングゾーンと呼んでいます。

初期セットアップ

管理アカウントにログイン後、Control Towerコンソールにて「ランディングゾーンの設定」をクリックします。

下記の項目を入力/選択して「次へ」をクリックします。

  • ホームリージョン
    • Control Towerのホームリージョンです。
    • 東京を選択しました。
  • リージョン拒否設定
    • 有効にすると、下記項目で指定するControl Tower管理対象リージョン以外のリージョンへのアクセスが拒否されます。
  • ガバナンスのための追加 AWS リージョン
    • Control Towerで管理対象とするリージョンを指定します。

下記の項目を入力/選択して「次へ」をクリックします。

  • 基礎となる OU
    • ログアーカイブアカウントと監査アカウントを配置するOUの名前をデフォルトの「Security」から変更できます。
  • 追加の OU
    • 前述のOU以外にOUを作成できます。任意です。

ログアーカイブアカウントと監査アカウントを作成するための情報を入力して「次へ」をクリックします。

下記項目を入力/選択して「次へ」をクリックします。

  • AWS CloudTrail の設定
    • CloudTrailの設定有無を指定します。基本的には有効にしておきます。
  • S3 のログ設定
  • KMS 暗号化

確認画面が表示されるのでサービスのアクセス許可の項目のチェックボックスにチェックを入れ、「ランディングゾーンの設定」をクリックします。

設定に1時間程度かかるので終わるまで待ちます。

設定内容の確認

主な設定内容を確認していきます。

組織の状態

OUが二つ作成され、SecurityOU配下には二つのアカウントが作成されています。

ちなみに、Control Towerセットアップ前にOrganizationsでメンバーアカウントを作成していましたが、そのアカウントは未登録のままとなっていました。登録する場合は明示的に操作する必要があります。

SSO

セットアップされていて、管理アカウントのメールアドレスでログインできます。

ランディングゾーンに登録されているアカウントへのアクセスセットも設定されています。

ガードレール

Control Towerのコンソールからガードレール一覧が確認できます。

個別のガードレールを確認すると、どのOUおよびアカウントに適用されているかが確認できます。

初期状態では、「ガイダンス=必須」の項目がSecurity OUに対して適用されています。

予防ガードレール

管理アカウントのOrganizationsコンソールにてSCPが設定されていることが確認できます。

検出ガードレール

Secutity OU配下のアカウントにて、Config Rulesが作成されています。

CloudTrail

登録されている各アカウントにCloudTrailの証跡が作成されます。

ログアーカイブアカウントと監査アカウントの特徴について

ランディングゾーン内のいずれのアカウントについても、CloudTrailおよびConfigでは、ログアーカイブアカウント内に作成されたS3バケットにログが出力されます。

ConfigのAggregatorは監査アカウントのホームリージョンに作成されます。

まとめ

以上、Control Towerの説明と初期セットアップでした。

AWSのベストプラクティスに沿ったランディングゾーンを簡単に構築できるのはすごく便利ですが、Control Towerを有効にすることで何が起きるのか、関連して利用されているサービスはどういうものか、についてはしっかりと把握しておく必要があると思います。

参考ドキュメント

docs.aws.amazon.com

docs.aws.amazon.com