[アップデート]Control Towerのガバナンス機能が強化される！包括的な統制管理がPublic Previewで利用可能になりました #reinvent

みなさん、こんにちは。

AWS事業本部コンサルティング部の芦沢(＠ashi_ssan)です。

Preview版のみの提供となりますが、AWS Control Towerがガードレールの包括的な統制管理をサポートしました。

Preview版の発表とほぼ同じタイミングでAWS公式ブログも更新されていたので、こちらの内容も参考にしてアップデート内容を紹介していきます。

アップデート概要

Control Towerのガバナンス機能が強化され、既存のガードレール（予防的統制、発見的統制）や新規追加されたプロアクティブな統制がControl Tower側で各ガードレールのカテゴリ（コンプライアンスフレームワーク、サービス、統制目標）毎にマッピングされました。

従来のControl Tower APIではガードレールとそれに紐つくアカウントやOUのマッピングが十分ではなく必要に応じてユーザー側でマッピングの処理を行う必要がありましたが、Control Tower側がユーザーに代わってそれらのマッピングを行うようになります。

これにより、コンプライアンスフレームワークや統制目標に応じたガードレールの実装が迅速に行うことができるようになりました。

やってみた

2022年11月29日現在、本機能はPublic Previewの実装となっていますが、ここからは現時点の各機能の詳細を少しだけみていきましょう。

Control Towerのコンソールに新しくコントロールライブラリセクションが追加されており、各セクションからすべてのコントロールやカテゴリー(フレームワーク / サービス / 統制目標)毎のコントロールが確認できます。

任意のセキュリティフレームワークに対応できるようなコントロールをフィルタしたり

統制目標ではログ記録とモニタリングを確立のような目標を達成するために必要なガードレールの一覧を表示することも可能です。

各コントロール毎に適用されているOUやAWSアカウントを逆引きして確認することもできます、便利ですね。

Public Previewである点に注意

現在、Control Towerのコンソール上から機能の確認が可能ですが、冒頭に記載の通りPreview版のみの提供となっています。

一般提供開始(GA)ではないため、正式なGA時とは機能が異なる可能性がありますので現時点で検証を行う場合にはご注意ください。

その他

本アップデートと合わせて、Control Towerガードレールのプロアクティブな統制が利用可能になっています。

プロアクティブな統制といえば同じくre:Invent2022期間中に発表されたAWS Config Rulesの以下のアップデートを想起しますが、Control Tower側ではCloudFormation Guard Ruleを利用したプロアクティブな統制を実装します。

プロアクティブな統制は一般提供開始済みの機能で、まだあまり触れられおらずどのような相関関係があるのかわかっていないのですが、この辺りについても別途検証してみたいと思います。

最後に

re:Invent2022では、本機能の発表に合わせてControl Tower関連のアップデートが他にも発表されています。

マルチアカウントの運用をされている方 / これからされる方、どのアップデートも必見ですので一緒にキャッチアップしていきましょう。

以上、AWS事業本部コンサルティング部の芦沢(＠ashi_ssan)でした。