【登壇資料】AWS Control Towerから始める組織的AWS統制 〜主要なサービスの概要と設計の勘所〜

あしざわ

2023.09.25

本エントリは 2023 年 8 月 29 日に開催された 組織的なクラウド統制を成功させるための勘所~ガードレールの活用事例~ におけるセッション「AWS Control Towerから始める組織的AWS統制 〜主要なサービスの概要と設計の勘所〜」の登壇資料を公開する目的で執筆しております。

本セミナーは以下のように非技術パート・技術パートの前後編で分かれています。この登壇資料は技術パートの後半に当たります。

  • 組織としてAWSを活用するには 〜クラウド活用推進組織とガードレール〜
  • AWS Control Towerから始める組織的AWS統制 〜主要なサービスの概要と設計の勘所〜 ←ここ

非技術パートについてはここに含まれません。

登壇資料

組織的にAWSアカウントを管理しようとしている管理者の方向けの資料となっています。細かいAWSサービスに関する説明や注釈はつけていないので、AWSを既に利用/運用開始している中級者向けです。

目次

  1. AWSのマルチアカウント管理の必要性や課題
  2. AWS Control Towerの全体像と設計の勘所

AWSでマルチアカウント管理がなぜ必要か?

この答えはシンプルで、「シングルアカウントでのアカウント運用が難しいから」です。

シングルアカウントでのAWS運用は、少なくとも以下の3つ観点で、難易度が高いです。

例えば... IAM権限管理が難しい

請求の分割が難しい

リソース制限が回避できない

これらシングルアカウントに起因する問題は、マルチアカウント環境に変更すると解決します。

しかし、マルチアカウント環境に変更して終わりではなく、マルチアカウント環境特有の以下のような新たな課題や要望が発生します。

  • アカウントがたくさんあって全体を把握できていない
  • アカウントの種類に応じてセキュリティレベルを制御したい
  • 複数アカウントのIAMの運用負荷が高い、ログインが手間
  • アカウントの初期設定にかかる運用作業が手間

マルチアカウント環境特有の課題や要望を解決するための方針・戦略は、マルチアカウント戦略と呼ばれています。詳しく知りたい方はこちらのブログをご覧ください。

AWSのさまざまなサービスを利用して、これら新規の課題や要望を解決できるようにしたアーキテクチャがこちらです。

このアーキテクチャが準備できると、「複数のアカウントを一括管理できる」「新規のアカウント払い出しと同時にセキュアな状態でアカウントの利用が開始できる」ようになっています。

※特に後者の状態を、ランディングゾーンが設定された状態と呼びます。

ただし、ここまでのアーキテクチャを準備するのは大変労力がかかります。マルチアカウント管理初心者の方にとっては尚更ハードルが高いものです。

ランディングゾーンが簡単に実装できるサービスがあればいいなぁ...

...

......

.........

そうです。それがAWS Control Towerです。

AWS Control Towerについて

AWS Control Towerを一言で言うと

AWSのベストプラクティスに基づいた セキュアでスケーラブルなマルチアカウント環境を 自動でセットアップできるサービス」です。

以下のようなアーキテクチャが、AWSマネジメントコンソールから数クリックするだけでデプロイできます。

と言うことで...

「やったぜ! AWS Control Towerを有効化すればマルチアカウント運用はやっていける!!!!

...

......

残念ながら、そうはなりません。

AWS Control Towerの有効化はスタート地点です。ランディングゾーンが設定できたと言っても、それはマルチアカウント運用の入り口で最低限のラインとなるので、+αの対応が必須です。

追加でどのような対応が必要となるのか。以下がその例です。

  • ガードレールの方針を決める
    • ゆるく統制する
      • 必須コントロールのみ + Security Hub
    • 強く統制する
      • Control Towerのコントロールを可能な限り設定
      • Security Hub + カスタムConfigルールによる追加の実装
  • 追加の検出的ガードレールの実装
    • AWS Security Hub、Amazon GuardDutyの有効化・通知設定
    • Control Towerの追加コントロール(強く推奨/選択的)の実装
  • 追加のOU設計
    • 本番ワークロードを動作させるOUが必要

これらはマネージドに実装できないため、基本的に自力で方針を決めたり実装していただく必要があります。

そんな時役に立つ資料が、クラスメソッドメンバーズ利用者向けに無償で提供しているドキュメント『Classmethod Cloud Guidebook』です。

その中のコンテンツの1つである組織管理ガイドでは、前述したAWS Control Towerを有効化した後にやるべき項目を含むマルチアカウント管理の悩み事にどう対応していけばいいのか、体系的にまとめられています。

気になる方はぜひこちらのブログをご覧ください。

最後に

以上です。

AWSにおけるアカウント管理にお悩みの方に、少しでも参考になれば幸いです。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[アップデート] Guardrails for Amazon Bedrock が CloudFormation でもサポートされました

いわさ

2024.04.28

[アップデート]Knowledge bases for Amazon Bedrock で複数データソースがサポートされました

つくぼし

2024.04.28

Mountpoint for Amazon S3 の自動マウントを systemd で実現する方法

大村 保貴

2024.04.28

[Amazon FSx for NetApp ONTAP] ファイル共有のACLでReadのみの明示的なDenyをONTAPが認識できるのか確認してみた

のんピ

2024.04.28