【2023年2月版】AWS Control Tower を有効化してみた

こんにちは！丸屋 正志(Maruya Masashi) です｡

新しいブログが出ました

下記ブログをご参照ください｡

はじめに

AWS Control Towerを学習するにあたり､有効化の手順書を残していきたいと思い､こちらのブログを書きました｡

また､AWS Control Towerは長いため､CTと略させていただきます｡

前提条件

事前に準備するもの

• CTを有効化するためのAWSアカウントを1個 (管理用アカウント)
• メールアドレスを2個
  • ログ用アカウントのメールアドレス
  • 監査用アカウントのメールアドレス

CT有効化後のイメージ図

有効化した際のランディングゾーンのバージョン情報

• バージョン 3.0

※ AWS Control Towerのランディングゾーンのバージョンの情報については､有効化後に確認ができます｡

やってみた

下記のURLから､CTページにアクセスし【ランディングゾーンの設定】をクリックします｡
(※ 【AWSコンソール】→【Control Tower】→【ランディングゾーンの設定】という手順でも可能です)

• https://ap-northeast-1.console.aws.amazon.com/controltower/home/landing

ステップ 1 : 料金の確認とリージョンの選択

ホームリージョン

• 【アジアパシフィック (東京)】を選択

※ ホームリージョンには､最も使用頻度が高い AWS リージョンをホームリージョンにします｡

参考 : ホームリージョンについて

リージョン拒否設定

• 【有効】を選択

参考 : Configure the Region deny control

ガバナンスのための追加 AWS リージョン

『アジアパシフィック(東京)』が選択されていることを確認し【次へ】をクリックします｡

※ ここでは東京リージョンのみとする｡

参考 : AWS Control Tower で AWS リージョンを使用する方法

ステップ 2 : 組織単位 (OU) の設定

組織となる OU

• 『OU 名を変更 - オプション』: [Security] (任意の値を入力)

追加の OU

• 『OU 名を変更 - オプション』: [Sandbox] (任意の値を入力)

ステップ 3 : 共有アカウントの設定

ログアーカイブアカウント

1. 【新規アカウントの作成】を選択
2. 『アカウントの作成』: [任意のメールアドレスを入力]
3. 『アカウント名を変更 - オプション』: [Log Archive] (任意の値を入力)

参考1 : AWS Control Tower でのログ記録とモニタリング
参考2 : 共有アカウントについて

アカウントの監査

1. 【新規アカウントの作成】を選択
2. 『アカウントの作成』: [任意のメールアドレスを入力]
3. 『アカウント名を変更 - オプション』: [Audit] (任意の値を入力)

参考 : 共有アカウントについて

ステップ 4 : CloudTrail と暗号化を設定する

AWS CloudTrail の設定

• 【有効】を選択

参考 : CloudTrail によるイベントのモニタリング

Amazon S3 のログ設定 - オプション

• 『ログ用の Amazon S3 バケットの保持』
  • [2] (お使いの用途に合わせて変更)
  • 【days】(お使いの用途に合わせて変更)
• 『アクセスログ用の Amazon S3 バケットの保持』
  • [2] (お使いの用途に合わせて変更)
  • 【days】(お使いの用途に合わせて変更)

KMS 暗号化 - オプション

• 『暗号化設定を有効にして､カスタマイズする』: 【チェック外す】

※ 用途に合わせてご選択します｡

参考 : KMS キーのガイダンス

ステップ 5 : ランディングゾーンの確認とセットアップ

ステップ1~ステップ4の内容に対して誤りが無いかを確認し､ステップ5の『了承に関する内容(長文のため省略)』:【チェック】を入れて､【ランディングゾーンの設定】をクリックします｡

ランディングゾーンの状況確認

AWS Control Towerダッシュボードのヘッダー部分に《ランディングゾーンを設定する》と表示されていることを確認します｡

※ ヘッダー部分が《完了》もしくは《青い進行状況バー》が消えたら､AWS Control Towerの有効化完了です｡

管理アカウントのメールアドレス

管理アカウントのメールアドレスに対して『件名 : Invitation to join IAM Identity Center (successor to AWS Single Sign-On)』もしくは､『件名 : Invitation to join AWS Single Sign-On』が届いているので本文中の【Accept invitation】ボタンをクリックします｡

参考 : SNS サブスクリプションの確認

新規ユーザーのサインアップ

• 『新規パスワード』: [管理アカウント用のパスワードを入力]
• 『パスワードを確認』: [管理アカウント用のパスワードを再入力]

各種入力が完了後に､【新しいパスワードを設定】をクリックして､サインインの画面に繊維します｡

※ パスワードは強固な内容を推奨いたします｡

サインイン

• 『ユーザー名』: [管理アカウントのメールアドレスを入力]

※ AWS SSO ユーザーポータルはブックマークしておくと便利です｡

監査アカウントのメールアドレス

監査アカウントのメールアドレスにたいして､『件名 : AWS Notification - Subscription Confirmation』が届いているので本文中の【Confirm subscription】リンクをクリックします｡

下記画面のように表示されていれば確認完了です｡

※ 【click here to unsubscribe】をクリックすると解除(無効)となりますので､クリックしないようにしてください!

参考サイト

• セットアップ - AWS Control Tower
• 展開 - Control Tower Workshop

さいごに

初めてAWS Control Towerを触ってみたのですが､組織(OU)とアカウントの違いを理解するのに結構な時間が掛かりましたが､構成図を見ながら実際に手を動かしてみて構築すると理解がしやすかったです!