[アップデート] AWS Control Tower に新たに 65 個のコントロールが追加されて OU 単位でのリージョン制限もできるようになりました #AWSreInvent

AWS re:Invent 2023

#AWS Control Tower

#AWS Organizations

#AWS

yhana

2023.11.28

AWS Control Tower に新たに 65 個のコントロールが追加されました。その中には OU 単位でリージョン制限ができるコントロールも存在しています。これまでは、AWS Control Tower 環境では組織全体で共通のリージョン拒否設定による実現（ランディングゾーン設定による設定）だけでしたが、OU 単位で制限するコントロールが追加され、よりきめ細やかな環境を実現できるようになりました。

Waht's New 情報はこちらです。

AWS Control Tower announces 65 new controls to help meet digital sovereignty requirements

65 個のコントロールの追加に関する AWS ブログも合わせて公開されています。

追加されたコントロールは「Digital Sovereignty」要件を満たすことを助けるための内容とのことです。

AWS の Digital Sovereignty については次のページに掲載されています。

AWS Digital Sovereignty

上記のページで AWS Digital Sovereignty Pledge の実現について次のように述べられています。

AWS Digital Sovereignty Pledge は、すべての AWS のお客様にクラウドで利用可能な最も高度な主権コントロールと機能のセットを提供するというコミットメントです。AWS クラウドのパフォーマンス、イノベーション、セキュリティ、スケールを犠牲にすることなく、お客様がデジタル主権のニーズを満たすことができるように、機能を拡張することを約束します。

つまり、AWS にとってのお客様がデータの保護・管理を実現するための機能を提供することを約束していると理解しました。そのために、データアクセスに対する検証可能な制御やあらゆる場所での暗号化を実現する機能が提供されます。

AWS Digital Sovereignty Pledge の理解のためには、次ブログも役立ちました。

Digital Sovereignty に関するコントロール

理解を深めるために、新たに追加されたコントロールも含めて、Digital Sovereignty に関するコントロールの一部を確認してみました（追加された 65 個全ての紹介ではありませんのご注意ください）。Digital Sovereignty に関するコントロールは次のガイドに記載されています。執筆時点では英語版のみです。この中からいくつかピックアップして紹介したいと思います。

Controls that enhance digital sovereignty protection - AWS Control Tower

まず、Digital Sovereignty のガバナンス体制を支援する目的の予防的コントロールとして次の内容があります。予防的コントロールを展開した場合は SCP (Service Control Policy) として実現されます。実装される SCP もユーザーガイド上から確認できます。

以下は、すべて予防的コントロールです。

次に、Data Residency に関するコントロールです。データを特定の状況に留めていく目的の予防的コントロール、および発見的コントロールです。VPC からインターネットへのアクセスを禁止（IGW の作成・アタッチの禁止、デフォルト VPC 作成禁止など）や AWS Lambda でパブリックアクセスをブロックをしていないリソースの検出、といった内容のコントロールが含まれます。

予防的コントロールに属するものです。

発見的コントロールに属するものです。

最後に、個人的に一番うれしい内容となるのですが、リージョン制限を OU 単位で展開できるコントロールです。

CT.MULTISERVICE.PV.1: Deny access to AWS based on the requested AWS Region for an organizational unit

なお、AWS マネジメントコンソールから Digital Sovereignty に関するコントロールを確認する場合は「コントロールライブラリ」の「カテゴリー」から「Groups」タブを開くことで確認できます。

OU 単位のリージョン制限を試してみた

今回、検証する Control Tower 環境では、ランディングゾーン設定として次の 3 つのリージョンを管理対象としており、かつ、管理対象以外のリージョンを拒否設定にしています。

東京リージョン
バージニア北部リージョン
オレゴンリージョン

この設定の状態で、Sandbox OU 配下のアカウントにおいて東京リージョン以外を使えないようにしてみたいと思います。

始めに、コントロールライブラリからCT.MULTISERVICE.PV.1を探して「コントロールを有効にする」を選択します。

リージョン制限のコントロールを展開する OU を選択します。

選択した OU 配下のアカウントに関して、アクセスを許可するリージョンを選択します。下記の設定は、東京リージョンは利用できるが、バージニア北部・オレゴンリージョンは利用できない設定となります。

オプション設定で、例外とするアクションの追加もできます。

Adding NotActions

NotAction is an advanced policy element that explicitly matches everything except the specified list of actions. For policies that use the Deny effect, all of the applicable actions or services that are not listed are denied.(https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html),

You can use wildcards(*) to define multiple NotAction elements. For example, type Describe* to specify all NotActions beginning with Describe. Before adding a NotAction, check to see if it is listed in the policy or if any wildcards(*) are associated with the NotAction service or elements. Specific NotAction elements can be ignored if the NotAction service or element is listed with a wildcard.

次もオプション設定であり、リージョン制限の対象外とする IAM プリンシパル（IAM ユーザーや IAM ロールなど）を指定することもできます。上の画像のようにデフォルトでは AWS Control Tower 関連の IAM プリンシパルが存在しているのみです。今回は、追加なしで試してみます。

最後に設定内容を確認してから「コントロールを有効にする」を実行します。

これで設定完了です。Sandbox OU に対して「有効」状態であることが確認できます。

Sandbox OU 配下の AWS アカウントにアクセスして確認してみます。

バージニア北部リージョンとオレゴンリージョンでは EC2 画面を見ることができず、意図通り利用が制限されていました。

以上で、OU 単位のリージョン制限のコントロールのお試しは終わりです。

さいごに

「Digital Sovereignty」要件に関するコントロールが強化されました。これまでは AWS Control Tower を展開した AWS Organizations 組織全体で共通の内容のリージョン制限でしたが、OU 単位で制限するコントロールも追加されて、今後は統制の柔軟性が高くなりました。うれしいアップデートです。

以上、このブログがどなたかのご参考になれば幸いです。