[遂に来た!]Control Towerが東京リージョンに対応してAWSマルチアカウントの管理が捗るのでやってみた

遂にAWS Control Towerが東京リージョンに対応して使えるようになりました。マルチアカウント管理はControl Towerにまかせてみるのはいかがでしょうか?
2021.04.09

こんにちは、臼田です。

皆さん、マルチアカウント管理してますか?(挨拶

遂に来ました!AWS Control Towerが東京リージョンに対応しました!

AWS Control Tower now available in Mumbai, Seoul and Tokyo AWS Regions

というわけで、実際に試してみたいと思います。

前置き

その前に前置きをいくつか。

まずControl Towerってなんなの?っていう説明をすると、AWSアカウントを束ねて統制管理するためのサービスです。

マルチアカウント管理に必要なLanding Zoneを構築し、各種ガードレールの展開や権限のセットアップなどを行います。詳細は以下で詳しく解説しています。

これまでControl Towerは東京リージョンに対応していませんでした。そのため、ホームリージョンとしてはバージニアリージョンなどを利用する必要がありました。ただ、Control Towerから展開されるガードレールなどを東京リージョンにも適用する方法はあり、これまでもこの方法でControl Towerを活用することができました。その方法については以下をご参照ください。

今回のアップデートにより、東京リージョンにガードレールを適用するために上記の仕組みが不要になったことと、ホームリージョンを東京にできるので、例えばログアーカイブの仕組みを東京リージョンに置くことができるなど、より東京リージョンに仕組みを集約することができるようになりました。

これでAWSのマルチアカウント管理を悩んでいる日本法人の皆さんがControl Towerを利用する決断ができるようになったと思います。

検討する方針についても、上述したJAWS DAYS 2021の記事にまとめてありますので、どのようなケースでControl Towerを利用するといいか、逆に個別にLanding Zoneを作ったほうがいいかもご確認ください。

ちなみにとりあえず試してみよう!と思っている場合には、一度慎重になってください。Control TowerはAWSアカウントを作成してガードレールを展開したりするので、有効化前に戻すのは大変です。どのようなことになるのか十分確認してから、検証してください。

やってみた

今回は既存のバージニアリージョンをホームとしたControl Tower version2.6の環境がありますので、これをアップデートしていきます。

新規のセットアップについては公式のラボがあるのでこちらを参考にしてみてください。なおこのラボの1つ前の世代のものは以下のブログで解説しているので、こちらでも雰囲気はわかると思います。

アップデートはまずControl Tower自体をバージョンアップして、次に配下のアカウントをバージョンアップします。ポチポチやれば終わるので(ハマらなければ)簡単です。ユーザーガイドも参考にしてください。

Configuration update management in AWS Control Tower - AWS Control Tower

Control Tower自体のバージョンアップ

Control Towerの「ランディングゾーン設定」にアクセスして「リージョン」タブを確認すると今回のアップデートの通り東京リージョンを含む3つのリージョンが追加されていることがわかります。やったぜ。現状は管理対象外です。

「バージョン」タブでは新しい2.7が利用できるようになっています。選択して「更新」します。

確認画面がでます。説明を一通り確認しつつ、追加するリージョンの選択を行います。

「ガバナンスのための追加」を開くと管理対象外のリージョンを選択して追加できます。必要なリージョンだけ追加すればいいですが、今回はすべて選択します。

利用規約への同意のチェックを入れ、「ランディングゾーンの更新」を開始します。

セットアップと同じように待ちの画面になります。しばらく待ちます。

しばらくすると更新が完了します。続いて「アカウントを表示」から各アカウントの更新を実施します。

配下のアカウントの更新

アカウント一覧では、マネジメントとCore以外の一般アカウントについて更新が必要な状態であることが確認できます。OUを選択して移動します。

各アカウントのバージョンが古いことが確認できます。「OUを再登録」から更新していきます。

確認が出るのでしっかり確認して「OUを再登録」開始します。

こちらも暫く待つと完了します。

簡単でした。

まとめ

Control Towerが遂に東京リージョンに対応しました。

これまでマルチアカウント管理をどうやってやるか悩んでいた方は、Landing Zoneを構築・運用する1つの手段としてControl Towerを検討しやすくなったと思います。

そしてマネージドサービスとしてどんどん機能が追加されていくところがControl Towerのいいところでもあります。今後のアップデートにも期待しましょう!