トップ > AWS > AWS Control Towerで新規AWSアカウントを発行する

AWS Control Towerで新規AWSアカウントを発行する

AWS AWS Control Tower
記事タイトルとURLをコピーする

こんにちは。CS課の下山です。 今日もControl Towerの話をします。

概要

  • AWS Control TowerでAWSアカウントを新規発行する際は、Acoount Factoryという機能を利用します。
  • AWS Organizationsでの発行と同様に、組織に属した新規AWSアカウントが発行されます。
  • Organizationsでの発行との違いは、Account Factoryで作成した場合はランディングゾーンに登録された状態となり、ガードレールやCloudTrail、Config等がセットアップされた状態で利用開始とできます。また初期セットアップの一部として、管理リージョンにVPCやサブネット等のネットワークリソースを作成することもできます。
  • なお、Account Factoryでは裏側はAWS Service Catalogとなっています。Control Towerを有効にした際にService Catalogに「製品」が展開されており、これを元にアカウントがプロビジョニングされます。

Account Factory

Account Factoryコンソールでは、VPCやサブネット等のネットワーク構成を定義できます。 まずは編集画面から設定を確認していきます。

  • インターネットアクセス可能なサブネット
    • ONにすることでパブリックサブネットが作成されます。
    • 併せて、パブリックサブネット内にNATGatewayがデプロイされ、プライベートサブネットのルートテーブルに0.0.0.0/0⇒NATGatewayの経路が追加されます。
  • プライベートサブネットの最大数
    • AZ毎のサブネットの作成数です。
    • 東京リージョンだと3AZ利用可能なので、例えば1にすると3サブネット作成されます。
  • アカウント VPC のアドレス範囲 (CIDR) 制限
    • VPCのCIDRを指定可能です。※サブネットのCIDRは自動で割り当てられます。
    • 下記で複数リージョンを指定する場合、各リージョンに同一CIDRのVPCが作成されます。
  • VPC作成のリージョン
    • Control Tower管理リージョンのうち、VPCやサブネットを作成するリージョンを指定できます。
    • ちなみに管理対象リージョンではデフォルトVPCは削除されますので、Account FactoryでVPC作成を定義しないと該当リージョンにVPCが存在しない状態となります。
    • ※公式ドキュメントでは、「VPCを作成しない場合はCIDRを10.0.0.0/16に変更する」と記載がありますが、コンソールで試してみたところ172.32.0.0/16のままでも問題ありませんでした。

アカウント作成

Control Towerコンソールからアカウントの作成を実施していきます。

下記項目を入力して「アカウントの作成」をクリックします。

  • アカウントのEメール
  • 表示名
  • Identity Center ユーザーの E メール、ユーザー名
    • SSOでアクセスする際のSSOユーザーを指定します。
      • 既存のユーザーを指定すると、既存のユーザーに対して作成したアカウントへのアクセス権限が付与されます
      • 未設定のユーザー名を入力すると、新規ユーザーが作成されます。
  • 組織単位
    • ランディングゾーンに登録されているAWSアカウントはいずれかのOUに属している必要があります。root直下は不可です。また、属するOU自体も登録済みになっている必要があります。

アカウント作成後の確認

管理アカウント上での確認

  • AWS Service Catalogの「プロビジョニングされた製品」画面から今回作成したアカウントが確認できます。

  • Control TowerやOrganizationsのコンソールからもアカウントが追加されていることが確認できます。

作成したメンバーアカウント上での確認

  • デフォルトVPCが削除され、新規でVPCおよびサブネットが作成されています。パブリックサブネットありの場合はNATも作成されます。 ※余談ですが、ログアカウントと監査アカウントではデフォルトVPCは削除されますが、Account Factoryで定義されているようなVPCが作成されることはありません。

  • ConfigおよびClougTrailが有効化されています。それぞれのログ出力はログアーカイブアカウントのS3に、Config Aggregatorは監査アカウントに連携されるようになっています。

  • 検出ガードレールがOUに適用されている場合はConfig Rulesが作成されます。
  • その他IAMの設定や、Config Ruleのコンプライアンス値の変更を通知するSNS設定等が設定されています。

最後に

  • Account Factoryでのアカウント作成はアカウントの初期セットアップが自動で実施されるのでとても便利です。
  • 現状サブネットのCIDRを指定したり、リージョン毎にVPCのCIDRを異なる値にすることはできません。カスタマイズする場合はCustomize for Control Towerという仕組みを利用する必要があります。
  • 新規のアカウント作成についてのブログでしたが、既存アカウントの登録についても今後まとめていこうと思います。

ドキュメント

docs.aws.amazon.com docs.aws.amazon.com