この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ちゃだいん(@chazuke4649)です。
AWS Control Tower にて検出だけでなく予防ガードレールも同時操作がサポートされました!これによって基本的に全てのガードレールが同時並行で処理されるようになり、かつて存在したガードレール適用時のめんどくささ(直列処理的に1つ1つ完了を待つ必要があった)が解消されました。
参考情報
Control Towerのリリースノートにまとまってます。
この新機能により、オプションのガードレールを同時に適用または削除できるようになり、すべてのオプションのガードレールの使いやすさとパフォーマンスが向上します。個々のガードレール操作が完了するのを待たずに、複数のオプションのガードレールを有効にできます。制限されるのは、AWS Control Towerがランディングゾーンのセットアップ中、またはガバナンスを新しい組織に拡張しているときだけです。
予防ガードレールでサポートされている機能:
- 同じOUに異なる予防ガードレールを適用して取り外します。
- 異なるOUに異なる予防ガードレールを同時に適用および取り外します。
- 複数のOUに同じ予防ガードレールを同時に適用および取り外します。
- 予防ガードレールと検出ガードレールを同時に適用および削除できます。
Concurrent operations for all optional guardrails(May 18, 2022)
尚、本アップデートのために Control Towerのバージョンアップデートは不要です。
You can experience these guardrail concurrency improvements in all released versions of AWS Control Tower.
やってみる
今回は以下の流れでやってみます。
- 適用する予防ガードレール:
- 1.「ルートユーザーとしてのアクションを許可しない」
- 2.「MFAなしでS3バケットでの削除アクションを許可しない」
- 対象のOU/AWSアカウント
- WorkloadsOU
- AWSアカウント数: 3
- InfrastructureOU
- AWSアカウント数: 1
まずは、1つ目のガードレールを適用します。
対象のガードレールを選択し、「OUでガードレールを有効にする」を選択します。
WorkloadsOUを選択し、実行します(ちなみに、この画面で複数選択はできません)
上記を実行した後、すぐに再度「OUでガードレールを有効にする」を選択し、InfrastructureOUを選んで、実行します。
すると、特にエラーになることなく、どちらのOUもすぐに有効化できました。
正直、予防ガードレール適用の実行から有効化まで「あっという間」に完了してしまうので、並列処理できてるのかどうなのかわからないレベルです(笑)
もしとても素早い操作で複数のOUに対し複数のガードレールを適用してもエラーにならないはずなので、より快適になったと言えるのではないでしょうか!(強引にまとめます)
調査は以上です。
終わりに
ガードレール適用がさらにノーストレスになりました。環境によっては気軽に着け外しできると思うので、是非1度やってみてください。
それではこの辺で。ちゃだいん(@chazuke4649)でした。
2
