AWS Control Tower 既存の監査アカウントとログアーカイブアカウントを流用してランディングゾーンのセットアップをしてみた

2022.10.15

AWS Control Tower を有効化する際に既存の監査アカウントとログアーカイブアカウントを指定するパターンをやってみました。

Control Tower 有効化前は Organizations 環境でSecurity-Old OU 配下に 監査アカウント(Audit)、ログアーカイブアカウント(LogArchive) があり、ログ集約、 GuardDuty の委任などして運用中の環境を想定しています。

Security-OldOUは元はSecurityOUという名前で運用していました。Control Tower の管理下でSecurityOUの名前を使いため事前に OU 名を変更しました。

Contrl Tower 有効化後の OU と既存の監査アカウントと、ログアーカイブアカウントは流用してSecurity OU 配下で Control Tower で管理された構成を目指します。

既存の監査アカウントと、ログアーカイブを Control Tower 有効化時に指定する方法は以下の AWS ブログで紹介されています。

検証環境

検証時のランディングゾーンのバージョンは 3.0です。

冒頭でSecurity-OldOUは元はSecurityOUという名前でしたと OU 名に触れました。

Control Tower 有効化時に新設する OU 名と既存の OU 名を重複させるとセットアップ中にエラーで失敗します。以下のリンクで紹介しています。

前提条件

Control Tower 有効化(ランディングゾーンのセットアップ)するためには前提条件があります。

ランディングゾーンのセットアップ

ホームリージョンとして利用するリージョンで Control Tower サービス画面を開き、ランディングゾーンの設定をクリックします。

ランディングゾーンの設定をクリックすると前提条件の事前チェックが行われます。前提条件を満たせていないときは以下の様なメッセージが表示され、前提条件を満たすまでセットアップが実行できません。

前提条件の事前チェックをパスしたから100%問題ないとは言い切れません。前提条件は確認しておきましょう。

今回のケースですと既存の監査アカウントと、ログアーカイブアカウントの指定は前提条件の事前チェックの後に行います。そのため、既存の監査アカウントと、ログアーカイブアカウントが前提条件を条件を満たせているかはご自身のチェックにかかっています。

ランディングゾーンのセットアップ中に失敗する一例として、既存の監査アカウントか、ログアーカイブアカウントで前提条件を満たせていない(AWS Config を有効化していた)場合はセットアップ中にエラーで失敗します。以下のリンクで紹介しています。

パラメーター入力

各環境に応じたパラメーターを入力してください。一例として今回セットアップしたパラメーターとキャプチャを載せます。

ホームリージョンは東京とします。

リージョン拒否設定は有効にしません。

追加リージョンの予定はないため未指定で進めます。

追加の OU は必要ないため作成しません。

既存アカウントの指定

今回の検証目的である監査アカウント、ログアーカイブアカウントは既存のアカウントを利用します。ラジオボタンを切り替えます。

既存のアカウント ID を入力するとメールアドレス、アカウント名が表示されます。アカウント ID、アカウント名を再確認し間違えていないか確認しましょう。

S3 のログ保存日数を入力します。KMS での暗号化は利用しません。

パラメーター値の最終確認画面です。

監査アカウントと、ログアーカイブアカウントの指定に誤りがないか確認しましょう。

ランディングゾーンの設定をクリックするとセットアップが始まります。

セットアップ進行中

青いバーが表示されるので正常に終わることを見守ります。セットアップ中に前提条件を事前チェックで検出できない箇所や、その他要員でセットアップ中に失敗することもあります。

セットアップ失敗時の例

セットアップ完了

正常に終了すればランディングゾーンの設定に完了しました。というメッセージが出力されます。

Control Tower の確認

ランディングゾーンのバージョンや、設定値は以下となりました。

Control Tower のダッシュボードからみると指定した3つのアカウントのマネジメントアカウント、監査アカウント、ログアーカイブアカウントが登録されていることがわかります。

OU 構成を確認すると、Security-Old OUにあったアカウントが新規作成されたSecurityOUに移動されています。かつ、Control Tower 管理下になっています。

Organization ダッシュボードから確認してみると、同様に監査アカウント、ログアーカイブアカウントが移動されていることが確認できます。

既存の監査アカウント、ログアーカイブアカウントを取り込んでのランディングゾーンのセットアップは無事完了しました。

まとめ

  • 既存の監査アカウントと、ログアーカイブアカウントを流用するためにはアカウント ID を指定するだけ
    • メールアドレスの入力は求められない
  • 既存の監査アカウントとログアーカイブアカウントの前提条件の事前チェックは行われない
  • SecurityOU という名前を Control Tower 有効化後も使いまわしたい場合は OU 名の重複に注意

おわりに

ランディングゾーンのパラメーターの指定によって初回の前提条件の事前チェックだけでは 100% と前提条件を満たせているかわかりません。既存の監査アカウント、ログアーカイブアカウントをランディングゾーンのセットアップと同時に取り込む場合は、監査アカウント、ログアーカイブアカウントの設定が Controrol Tower の前提条件条件を満たしているか確認しておきましょう。