Control Towerが2.6になりリージョンの選択が可能になったので更新してみた

こんにちは、臼田です。

みなさん、マルチアカウントの管理してますか？(挨拶

今回はAWS Control TowerがRegion Selectionに対応しバージョン2.6が利用できるようになったので、アップデートしてみたいと思います。

AWS Control Tower が、Region Selection の提供を開始

リージョン選択の概要

これまでControl Towerでは、Control Towerが対応しているすべてのリージョンに対してガードレールを適用しガバナンスを効かせることができました。

しかしながら、逆に言うと必要としないリージョンに対しても適用されてしまいます。リージョンの利用に対するガードレールを展開する場合、例えばリージョンをSCPで根本的に利用制限する場合などと比べるとコスト増になります。

今回のアップデートでは、Control Tower対応リージョンの中から、ガードレールを展開しないリージョンを選択できるようになりました。そのためこれまでよりコストを抑える選択を取れるようになりました。

ガードレールを展開しないと言っても、単純にControl Towerの仕組みが該当リージョンに展開されないだけで、Control Towerでそのリージョンの利用を制限するわけではありません。ユーザーは任意でそのリージョンにリソースを作成することは可能です。つまりより柔軟な選択ができるようになった形です。

注意ですが、Control Towerが対応していないリージョンを選択してガードレールを適用する、という機能ではありませんのであしからず。(こちらも待っています)

このような要件がある場合には以下をご参照ください。

やってみた

既存の2.5の環境を2.6に更新してみます。

Control Towerのマネジメントコンソールから「ランディングゾーン設定」を開きます。

こちらのリリース日は2020年12月15日で、リリースノートは以下のようになっています。

更新により、未登録の OU の AWS Config ルールがコンソールに表示されるため、環境に適用されるガードレールの完全なリストを表示できます。

バージョンの一覧で2.6を選択して「更新」します。

更新内容の確認画面になります。更新する際の動作や注意点があります。必要なアップデート作業とドリフトの解決についてのドキュメントなので、両方確認して問題ない環境であるか確認します。

その下にはどのAWSリージョンに適用するか選択するリストがあります。しかしながら以下のように注意事項が書かれています。

管理を行うリージョンをオプトアウトすることはできません。リージョンをオプトアウトしても、そのリージョンにリソースをデプロイできなくなることはありませんが、これらのリソースは AWS Control Tower ガバナンスの対象外となります。

というわけで、今回は既存のリージョンが一通り有効化されているバージョン2.5の状態からのアップデートのため、ここで管理リージョンを外すことはできません。アップデートじゃなければ、おそらく可能だと思うのでこれからやる方は期待してください。

更にその下に利用規約への同意があります。しっかりこちらにもオプトアウトできない旨記載があります。「ランディングゾーンの更新」を開始します。

更新が始まりいつもの残り時間が表示されます。

しばらくしたらランディングゾーン自体の更新が完了します。しかし子アカウントは更新されていません。アカウント一覧を確認します。

Core以外のアカウントは更新が必要になっています。OUから一括で更新ができるので、OUへアクセスします。

各アカウントがまだ2.5であることが確認できます。「OUを再登録」から更新します。

確認画面が出ます。一般的に更新が失敗する原因と対処方法などの情報があるので、確認してから「OUを再登録」します。

また更新状態になるのでしばらく待ちます。

しばらくすると更新されていました。

ランディングゾーン設定画面から「リージョン」で各リージョンをControl Towerで管理しているか確認できます。おそらくリージョンを追加する場合にはここから追加できそうですが、現状すべてのリージョンを管理しているのでこの動作は確認できませんでした。

まとめ

Control Towerで管理するリージョンを選択して外すことができるようになりました。だんだんといろんなことができるようになり、柔軟なLanding Zoneを利用することができるようになってきています。

引き続き更新を期待したいですね！