[新機能]Control Towerが既存の組織・アカウントに適用できるようになったのでやってみた

Control Towerが既存Organizations・アカウントに有効化できるようになりました!既にあるアカウントに対してControl Towerが適用できるため簡単に統制管理できます!後は東京リージョンに来れば…

臼田佳祐

2020.05.06

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、アカウント管理してますか?(挨拶

AWS環境を統制管理するサービスであるAWS Control Towerが既存の組織(Organizations)・アカウントに対して適用することが可能になりました。

You can now use AWS Control Tower to set up new multi-account AWS environments in AWS Organizations

Control Towerは、これまでは新規のOrganizationsを作成して有効化しないといけないため、既にOrganizationsを使用・所属している環境では有効化することができませんでした。また、Control Towerが有効なOrganizationsに既存のアカウントを追加しても、Control Towerの管理下にはならず、Organizationsからは見えるけどControl Towerからは見えない、という状態になっていました。

今回のアップデートでこれらが解消されました!

前述の通り2つの機能が追加されています。

  • 既存のOrganizations上でControl Towerを有効化する
  • 既存のControl Towerにアカウントを追加する

それぞれ解説していきます。

既存のOrganizations上でControl Towerを有効化する

これは非常に簡単で、既存のOrganizationsが存在する環境のマスターアカウント上でControl Towerのコンソールから通常通り有効化するだけです。

Enable AWS Control Tower on an Existing Organization - AWS Control Tower

既存のControl Towerにアカウントを追加する

こちらは少し手間がかかります。

Enrolling an Existing AWS Account in AWS Control Tower - AWS Control Tower

大きな手順は下記のとおりです。

  • アカウントをControl TowerのOrganizationsに所属させる
  • Control Tower用IAM Roleを作成する
  • アカウントファクトリーから追加する

なお、追加した場合にはガードレールを適用したりデフォルトVPCを作成したりします。既存アカウントの環境に影響がないか上記URLから確認事項を参照してください。

それではやってみます。

アカウントをControl TowerのOrganizationsに所属させる

今回は、既にControl Towerが有効化されたマスターアカウントから、Organizationsで新しいアカウントを作成し(Control Towerで追加するのではなく)、そのアカウントを後からControl Towerに追加してみます。

Organizationsのコンソールからアカウントを追加します。この時点ではControl Towerを有効化したままで最低限の3つのアカウントのみ所属しています。

アカウント作成を選択し、メールアドレスを入力して作成します。ロール名は空欄で自動作成します。

Control Tower用IAM Roleを作成する

作成できたら新しいアカウントにアクセスして必要なRoleを作成します。作成するRoleは下記のとおりです。

 

  • Role名: AWSControlTowerExecution
  • Role権限: AdministratorAccess (AWS managed policy)
  • Role信頼関係: マスターアカウントからのAssumeRole

IAMのコンソールからロールの作成を開始します。

マスターアカウントからの信頼関係を設定するため別のAWSアカウントにてマスターアカウントのAWSアカウントIDを入力します。

AdministratorAccessを選択します。

名前はAWSControlTowerExecutionにします。(必要条件)

これで準備はOKです。

アカウントファクトリーから追加する

それではマスターアカウントでControl Towerのコンソールにアクセスして追加していきます。まだControl Towerのアカウント一覧からは既存アカウントが確認できない状態です。

アカウントファクトリーから対象のアカウントのメールアドレスなどの情報を入力します。

登録すると、アカウント一覧で登録中になります。

問題なければ30分程度で登録済みに変わります。

まとめ

既存のOrganizationsやアカウントに対してControl Towerが適用できるようになりました。これは非常に喜ばしいことです。

Control Towerを利用することによりガードレールを簡単に展開できたり、一元管理することができてアカウントの管理がとても捗ります。

あとは東京リージョンに来てくれればサイコーですね!もうしばらく待ちましょう!

AWS

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

インシデントレスポンスのライフサイクルを廻すポイントってなに 【資料公開】 #devio_osakaday1

酒井剛

2024.04.12

Splunk の CIM (Common Information Model) の使い方と CIM 対応 App について理解する

佐久間昇吾

2024.04.06

Exploring WhatsApp Data with Splunk: A Hands-On Guide

HemanthKumar R

2024.04.05