![[アップデート] AWS Control TowerのOUに最大1000個のアカウントが含められるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-fff4d7e7c3509d1ffcc67578673c5f00/056494cb8aea27071cd8ed8a870bda83/aws-control-tower)
[アップデート] AWS Control TowerのOUに最大1000個のアカウントが含められるようになりました
2024.08.31こんにちは。サービス開発室の武田です。
AWS Control Tower(以下、CT)使っていますか?複数のアカウント対して共通のガバナンスやポリシーを適用できるサービスです。CTはそれ単体で機能するサービスというわけではなく、AWS OrganizationsやAWS Configなど、複数のサービスを組み合わせて利用することになります。そのため、各セキュリティサービスの理解も必要となります。
さてCTでは複数アカウントをまとめるしくみとしてOrnizationsの組織単位(OU)を利用しています。これまでCTに登録するOUには最大300アカウントまでという制限がありました。今回のアップデートで、最大1000アカウントになりました。
アカウント数上限は可変値
さてこの 最大 1000アカウントとはどういうことなのか、ということを説明します。
CTではマルチアカウント統制のしくみのことを「ランディングゾーン」と呼んでいます。そしてCTを利用する際には、このランディングゾーンをどのリージョンに適用するかを選択します。サポートされるアカウント数の上限は、この適用するリージョン数に依存しています(ドキュメントには有効になっているコントロールの数でも上限は変わるという記載があります)。新旧のガイドラインをドキュメンを参考にまとめます。
こちらは旧ガイドライン。
- 15リージョンまで:最大300アカウント
- 16~21リージョン:最大220~300アカウント
- 22リージョン:最大220アカウント
- 23リージョン以上:220アカウント未満
こちらは新ガイドライン。
- 15リージョンまで:最大1000アカウント
- 16~21リージョン:最大600~1000アカウント
- 22リージョン:最大680アカウント
- 23リージョン以上:680アカウント未満
おおむね3倍程度までサポートするようになっていますね。
まとめ
これまでは300アカウントを超えていた場合、OUを分けて登録するなどの必要がありました。今回のアップデートでわざわざ分割する必要が減ったのではないでしょうか。より大規模な環境でも耐えられるようになってくれるのはうれしいですね。
