Control Towerで設定可能な2種類のリージョン拒否コントロール(ランディングゾーン単位 or OU単位)

Control Towerで設定可能な2種類のリージョン拒否コントロール(ランディングゾーン単位 or OU単位)

#AWS
#AWS Control Tower
和田響

和田響

facebook logohatena logotwitter logo
Clock Icon2025.01.24

はじめに

みなさん、リージョン制限してますか?

使わないリージョンへの操作を拒否するために、Control Towerの導入を検討している方は多いのではないでしょうか?

実はControl Towerにおけるリージョン制限は2種類のリージョン拒否コントロールによって実現可能です。

この記事では、Control Towerで設定可能な2つのリージョン拒否コントロールについてまとめます。

AWS Control Tower には 2 つのリージョン拒否コントロールがあります。1 つのコントロール GRREGIONDENY を有効にすると、ランディングゾーン全体に適用されます。別のコントロール はCTMULTISERVICEPV1、アクティブ化すると、OUs指定した特定の に適用できます。詳細については、「リクエストされた AWS に基づいて へのアクセスを拒否する AWS リージョン」および「OU に適用されたリージョン拒否コントロール」を参照してください。

https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/region-deny.html

ランディングゾーンリージョン拒否コントロール

1つ目のリージョン拒否コントロールは、landing zone Region deny control(以降はランディングゾーンリージョン拒否コントロール)と呼ばれるもので、その名の通りランディングゾーン全体で特定のリージョン以外へのAPI操作を拒否します。

This control is commonly referred to as the Region deny control, or landing zone Region deny control.

https://docs.aws.amazon.com/controltower/latest/controlreference/primary-region-deny-policy.html

実体としては、ランディングゾーン内のすべてのOUに対してSCPを付与し、ホームリージョン+追加のリージョン以外のリージョンへのAPI操作を拒否します。

特徴としては以下が挙げられます。

  • ランディングゾーン内のすべてのOUに対してリージョン制限を行う
  • 利用の可能なリージョンはホームリージョンおよび追加のリージョンのみである
  • 例外的なAPIの実行権限を付与することはできない

非常に画期的な機能ですが以下のような課題もあります。

後から利用可能リージョンを増やす場合に以下のどちらかを実施しなければいけません。

  • 1.Control Tower外のOUにアカウントを移動させる
    • 例外アカウントがControl Towerから抜けるため、全体統制が効かなくなる
  • 2.Control Tower全体で利用可能リージョンを増やす
    • 例外リージョンを認めるたびにControl Tower内で使えるリージョンが増えていく
    • 追加したリージョンの分だけControl Tower管理リソースが増える

Untitled(5) (4).png

まとめると、非常に厳格な制限が可能だがControl Tower配下のOU同士でグラデーションがつけにくい という特徴です。

OUリージョン拒否コントロール

2つ目はのリージョン拒否コントロールは、OU Region deny control(以降はOUリージョン拒否コントロール)と呼ばれるもので、ランディングゾーン内のOUごとに制限するリージョンを指定できます。

This control is commonly referred to as the OU Region deny control, or the configurable Region deny control.

https://docs.aws.amazon.com/controltower/latest/controlreference/ou-region-deny.html

特徴としては以下が挙げられます。

  • OU単位でリージョン制限を行う
  • OUごとに制限するリージョンを指定できる
  • 例外的なAPIの実行権限を付与することができる

例えば「AのOUでは、東京・バージニア北部以外を拒否したいが、AのOUでは東京とスペイン以外を拒否したい」といったニーズに対応しやすいです。
Untitled(12)-1.png

「東京・バージニア北部以外を拒否したいが、EC2インスタンスの起動は他のリージョンでも許可したい」という設定も可能です。
Untitled(13) (2).png

「東京・バージニア北部以外を拒否したいが、特定のIAMプリンシパルは例外にしたい」という設定も可能です。
Untitled(14).png

ランディングゾーンリージョン拒否コントロールに比べて、柔軟な設定が可能 です。

比較表

比較項目 ランディングゾーンリージョン OU
適用範囲 Control Towerに登録されたすべてのOU Control Towerに登録された特定のOU
拒否リージョン ランディングゾーンで設定した
ホームリージョンおよび追加のリージョン以外のリージョン		 個別に選択可能
例外のAPIアクション 設定できない 設定できる
例外のIAMプリンシパル 設定できない 設定できる

(おまけ)併用も可能

ここまで両者の比較を行いましたが、併用も可能です。
例えば、ランディングゾーンリージョン拒否コントロールを設定しランディングゾーン全体にリージョン制限をかけつつ、個別のOUに対してより厳しいOUリージョン拒否コントロールを有効にすることも可能です。
Untitled(12) (1).png

最後に

今回は、Control Towerで可能な2つのリージョン拒否コントロールについてまとめてみました。

OUリージョン拒否コントロールによって柔軟なリージョン制限が可能になった一方で、運用の過程で複雑化する可能性を考えると、ランディングゾーンリージョン拒否コントロールの一律的な制限の魅力も感じます。

組織の要件に合わせた設計が必要になりそうですね!

Share this article

facebook logohatena logotwitter logo

関連記事

Amazon Bedrock で Luma AI 社の Ray2 が利用できるようになりました

Amazon Bedrock で Luma AI 社の Ray2 が利用できるようになりました

User avatar
たかくに
2025.01.24
블로그 릴레이 - IAM 사용자에게 하나의 S3 버킷에 대한 접근 권한을 나누어 봤습니다.

블로그 릴레이 - IAM 사용자에게 하나의 S3 버킷에 대한 접근 권한을 나누어 봤습니다.

User avatar
Kim Jaewook
2025.01.24
CloudWatch エージェントで既存ログの収集を開始した時の挙動

CloudWatch エージェントで既存ログの収集を開始した時の挙動

User avatar
なおにし
2025.01.24
1つのSSMドキュメントで複数OSのEC2インスタンスに対し、OSごとに異なるコマンドを実行する

1つのSSMドキュメントで複数OSのEC2インスタンスに対し、OSごとに異なるコマンドを実行する

User avatar
平井裕二
2025.01.24
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.