社内で AWS Control Tower の勉強会をする機会があり、その準備のために AWS が公開している学習コンテンツ(学習リソース)を調べたため、ブログでも紹介します。
ここ数ヶ月でコンテンツが拡充されており、以前より勉強しやすい環境になりました。
AWS Control Tower の学習コンテンツ
AWS が公開している AWS Control Tower の学習コンテンツには次の内容があります。ユーザーガイドは学習コンテンツではありませんが、Control Tower の仕様を記載しているドキュメントであり、利用頻度も高いため、合わせて記載しています。比較的新しいものだけ記載しています。
| コンテンツの種類 | コンテンツ名 | 言語 | URL |
|---|---|---|---|
| AWS サービス別資料(Black Belt) | AWS Control Tower 基礎編 | 日本語 | PDF YouTube |
| AWS Control Tower 手順編 AWS Control Tower の有効化 | 日本語 | PDF YouTube |
|
| Skill Builder | Designing Landing Zone Architectures with AWS Control Tower | 英語 | AWS Skill Builder |
| ワークショップ | AWS Control Tower Guide | 日本語(一部は英語のみ) | AWS Control Tower Workshop |
| ユーザーガイド | AWS Control Tower ユーザーガイド | 日本語(一部は英語のみ) | AWS Control Tower とは - AWS Control Tower |
以降では各コンテンツの補足を記載します。
AWS サービス別資料(Black Belt)
2023 年 8 月に追加された待望のブラックベルト資料です。
基礎編と手順編があります。ユーザーガイドだけでは理解しづらいところも図付きで説明があり、AWS Control Tower の理解が容易になります。ブラックベルト資料は AWS のサービスを理解するための鉄板コンテンツであり、最初の学習コンテンツとしておすすめです。
(引用元)サービス別資料 | AWS クラウドサービス活用資料集
Skill Builder
AWS Control Tower を使用したランディングゾーンのアーキテクチャについて学べるコースです。所要時間は 2 時間となっています。無料です。
AWS Control Tower について学べることはもちろんなのですが、マルチアカウントに対する考え方も学べます。英語ですが、ブラウザの翻訳ツールを利用すればあまり困りません。学習の最後にクイズもあります。
(引用元)AWS Skill Builder
コースの目的を下記に抜粋します。ランディングゾーンの概念やマルチアカウントのベストプラクティス、AWS Control Tower を利用したランディングゾーンの展開方法について学べます。
- Explain landing zones concepts and tools.
- Summarize how to build secure and compliant landing zones on AWS with or without AWS Control Tower.
- Explain the benefits and use cases of landing zones during migration planning and post migration account organization.
- Determine multi-account best practices.
- Recall how to design the account structure following best practices.
- Explain at a high-level the migration process of disparate accounts to a new landing zone created using AWS Control Tower.
- Summarize a customer’s journey in organizing a disparate collection of AWS accounts to a well-architected landing zone.
本コースは次の AWS ブログで紹介されており、私はこのブログで AWS Control Tower のコースがあることを知りました。
ワークショップ
AWS Control Tower に関する一連の操作を学べる他、拡張として Control Tower 以外のサービスをマルチアカウントに展開する方法も学べるワークショップです。AWS アカウントを自分で用意して試すことになります。サービスを十分に理解するためには、やはり触ってみるのが良く、個人的におすすめのコンテンツです。実施前に「AWS サービス別資料(Black Belt)」を見てから実施すると良いと思います。
大ボリュームです。メニューを全て展開すると収まりきらないので、一部だけ展開しています。一部のコンテンツは英語のみの提供となりますが、ブラウザの翻訳ツールを利用すれば、あまり困りません。
(引用元)AWS Control Tower Workshop
AWS Control Tower の機能に関する主な内容は下記です。
- AWS Control Tower の有効化
- 新しい AWS アカウントの登録方法
- 既存の AWS アカウントの登録方法
- コントロール(予防、検出、プロアクティブ)の管理
さらに、AWS IAM Identity Center と 外部 ID プロパイダーとの連携が含まれているところが気に入っています。次の 3 種類の ID プロバイダーとの連携があり、ID プロバイダー側の手順も掲載されています。
- Azure AD
- Google Workspace
- Okta
AWS Control Tower では AWS アカウント発行時に設定をカスタマイズできます。その方法として次の 3 種類の内容があります。これらの機能は公開されている情報が少ないので、解説付きで手順があるのはとても役立ちます。
- Account Factory Customization (AFC)
- Customizations for Control Tower (CfCT)
- Account Factory for Terraform (AFT)
AWS Control Tower の機能だけではなく、他にも次のような内容がワークショップに含まれています。ボリュームが多くて私もまだ全て試せていません。
- AWS Security Hub のマルチアカウント管理
- Amazon GuardDuty のマルチアカウント管理
- AWS Audit Manager のカスタマイズ
- AWS Config と RDK (Rule Development Kit)
- AWS IAM Access Analyzer のマルチアカウント管理
- Transit Gateway のマルチアカウント展開
- Route 53 のマルチアカウント展開
最後に余談ですが、上述した Skill Builder のコースにおいて、追加の学習リソースとして本ワークショップが紹介されています。
さいごに
AWS が公開している AWS Control Tower の学習リソースについて、個人的におすすめのコンテンツを中心にまとめてみました。最近の数ヶ月で AWS Control Tower に関するコンテンツが拡充され、学習しやすくなった印象です。
このブログがどなたかのご参考になれば幸いです。
2
