AWS Control Tower をワークショップ形式で学べる AWS Control Tower ガイドのご紹介

コーヒーが好きな emi です。

Control Tower を利用することになり、初心者向けのガイドはないか探したところ、AWS Control Tower をワークショップ形式で学べる AWS Control Tower ガイドを発見しましたのでご紹介します。

こちらのブログで紹介されているワークショップ「AWS CONTROL TOWER IMMERSION / ACTIVATION DAY」の Home をクリックするとと「This workshop has moved to AWS Control Tower Guide.」と表示されており、リンクをクリックすると AWS Control Tower ガイドにたどり着けました。

言語の切り替え

Control Tower ガイドを開いて左メニューの下部に、言語を変える箇所があります。

一部日本語で利用できないワークショップもございますので、以下の項目を参考に適宜切り替えて実施してみてください。

セクション一覧

• AWS Control Tower ガイド（トップページ）
• Workshop の前提条件
• AWS Control Tower の概要
• 既存の AWS アカウントの登録
• Authentication & Authorization (日本語では利用できません)
  • 日本語では利用できません。英語では「Identity」という項目です。
• コントロールの管理
• Customizing AWS Control Tower (日本語では利用できません)
  • 日本語では利用できません。言語を英語に切り替えて実施ください。Customizing AWS Control Tower
• Extending Your Landing Zone (日本語では利用できません)
  • 日本語では利用できません。言語を英語に切り替えて実施ください。Extending Your Landing Zone
• Summary
• Clean Up

AWS Control Tower ガイド（トップページ） には英語の動画と、お客様の状況によってどのセクションを実施すればよいかの案内が記載されています。
日本語訳が左メニューの一覧と一致していないところがあるので注意してください。
「AWS や AWS Control Tower を初めてお使いの場合 AWS コントロールタワーの紹介 を実施してください。」と記載がありますが、これをクリックすると AWS Control Tower の概要 という 2 番目のセクションに飛んでしまいます。
Control Tower を初めてセットアップする場合、先に「Workshop の前提条件」を実施ください。

「Workshop の前提条件」をやってみた

非常に盛沢山ですが、私は「Workshop の前提条件」だけ実施してみました。
前提条件といいつつこの章だけで Control Tower の有効化まで実施しているので、取りあえず Control Tower を有効化したらどうなるのかを確認したい方は「Workshop の前提条件」だけで大丈夫です。
「Workshop の前提条件」の操作自体はサクサク進めれば 15 分くらいかと思いますが、Control Tower がセットアップするまで 30~40 分程度の待ち時間が発生します。

「AWS Control Tower の概要」以降は Control Tower を使った OU やアカウントの作成、認証の連携、ガードレールの設定等を行っていくワークショップとなります。

「Workshop の前提条件」実施後の構成図

「Workshop の前提条件」実施後の構成図は以下のようになります。

Workshop の前提条件

最初は読み物です。このガイドを進めるうえで準備が必要なことについて書かれています。
AWS Control Tower に関するイベント「Activation/Immersion Days」の紹介もありました。

このガイドを手順通りに進めるために、どの Organizations にも属さないまっさらなスタンドアロンの新しい AWS アカウントを用意するとよいです。
この準備したまっさらな AWS アカウントを、Control Tower の「管理アカウント」として設定していきます。

基本的には新しい AWS アカウントを用意いただくのが分かりやすくてよいのですが、新規に準備するのが難しい場合は、お持ちの既存 AWS アカウントがどのような状態であるかによってこの後のワークショップをどう進めていけばよいかの指針が記載されています。

• 新しい (未使用) AWS アカウントの場合
• 以前に使用した AWS アカウントの場合
• 既存のランディングゾーンの場合

アカウントの E メールアドレス

Control Tower を有効化すると、Control Tower 側で以下の AWS アカウントが自動作成されます。
これらは「共有アカウント」とも呼ばれます。

• Log Archive
• Audit

これらの自動作成される AWS アカウントのために、E メールアドレスを用意しておく必要があります。
私は検証する際、Gmail のエイリアス機能をよく利用しています。

たとえば、次のエイリアス宛に送信されたメールはすべて abcd123@gmail.com に届きます。
これらをそれぞれ Control Tower で作成する（される）アカウント用に使うことにします。

• abcd123+management@gmail.com：管理アカウント用
• abcd123+log.archive@gmail.com：Log Archiveアカウント用
• abcd123+audit@gmail.com：Audit アカウント用

ランディングゾーンのセットアップ

ざっくりですが、Control Tower の有効化≒ランディングゾーンのセットアップ、と考えていただいてよいと思います。

ランディングゾーンのセットアップでは以下の設定を実施します。

• 料金の確認
• リージョンの選択
• 組織単位 (OU) の設定
• 共有アカウントの設定
  • Audit（監査）アカウント
  • Log Archive（ログアーカイブ）アカウント
• CloudTrail の設定
• ユーザーアクセス設定（※ワークショップにはない項目）
• AWS CloudTrail の設定
• Amazon S3 のログ設定-オプション
• KMS 暗号化-オプション

これらの設定を実施することで、Control Tower でマルチアカウントを統制するための基本設定が完了します。
ガイドでは画像付きで説明されています。

「ユーザーアクセス設定」については 2023/6/28 時点でガイドに記載がありませんでしたので補足します。
この設定は、IAM Identity Center（旧 SSO）を Control Tower 側で自動セットアップするかしないかを選択できる項目になります。

今回、私はデフォルトで選択されている「Control Tower がアカウントのディレクトリグループとアクセス許可セットを自動生成することを許可する」のまま進めました。
つまり、IAM Identity Center（旧 SSO）を Control Tower 側で自動セットアップしてもらう、ということです。

詳細は以下のブログもあわせてご参照ください。

「ランディングゾーンの設定」をクリックすると、推定残り時間が 60 分と表示されます。
私は 30 分程度でセットアップが完了しました。

ランディングゾーンの設定を待つ間に、以下 2 種類のメールが届いていますので対応します。
（ガイドでは 3 種類のメールが届くと記載されていますが、私の手元には 2 種類のみ届きました）

• AWS シングルサインオンへの招待
  • 管理アカウント のメールアドレスに送信されます。

このメールに従うと、シングルサインオンのセットアップができます。
「招待を受け入れる（Accept invitation）」をクリックします。

画面の表示に沿ってパスワードを設定します。
これらの認証情報を使用して AWS IAM Identity Center ユーザーポータル経由で AWS アカウントにログインできるようになります。

ワークショップ中は頻繁に参照するため、ポータル URL をブックマークすることをお勧めします。

• AWS 通知-サブスクリプションの確認
  • これは監査アカウントのメールアドレスに送信されます。

Control Tower の状態について通知を受信するためのメール通知（Amazon SNS）設定です。

監査アカウントユーザーのメールには、選択したすべてのリージョンの数だけ SNS 購読確認メールが届きます。
今回私は「バージニア北部」「東京」「大阪」を管理対象リージョンとしたので、3 通届いていました。
それぞれ「サブスクリプションの確認（Confirm Subscription）」をクリックします。

詳細はこちらのドキュメントをご参照ください。

シングルサインオンで Control Tower 管理アカウントにログインし、ランディングゾーンの設定が完了するまで待ちます。
設定が完了すると、以下のように緑のバーで「ランディングゾーンの設定が完了しました」と表示されます。

ナビゲーションペインで「組織」を選択すると、OU と AWS アカウントが作成されているのが分かります。

Organizations のコンソールも見てみましょう。

Control Tower のコンソール画面と同様に、OU と AWS アカウントが構成されています。

コストの可視化

最後に Budgets で料金アラートの設定をするセクションがあります。
本ガイドを利用してハンズオンをする中で AWS 利用料金がわずかにかかります。
ガイドでは「50 USD を大はばに下回る」と目安が記載されておりますが、心配な方は料金アラートの設定も実施するとよいでしょう。
ただし、AWS アカウント開設から 24 時間程度は Cost Explorer が有効にならないので、新規 AWS アカウントを作成してすぐの方は翌日まで待ってから実施してください。

日本語のガイドでは

• 「Activate access to the AWS Billing console（AWS 請求コンソールへのアクセスをアクティブ化する）」

の手順がないようなので、英語のページ Cost Visibility を参照するとよいです。

おわりに

「AWS Control Tower ガイド」の「Workshop の前提条件」を実施しました。
はじめは「ランディングゾーンって何？」という感じで用語の概念が理解できていなかったのですが、実際にリソースを作成することによってイメージが湧きました。
Control Tower はメールアドレスの準備やスタンドアロンの新規 AWS アカウントの準備など、最初の手間がかかりますが、料金も安くそこまで難しいサービスではないので、ぜひ頑張って手を動かしてみてください。