[新サービス] AWS Control Tower (Preview) が発表されました！ #reinvent

はじめに

中山（順）です

ラスベガスよりお送りします。

本日のキーノートで新サービスAWS Control Towerが発表されました！

キマシタワー！

re:Invent 2018 / Andy Jassy Keynote / AWS Control Tower

概要

多数のアカウントを保有しているAWS利用者が、各アカウントのセキュリティ設定を簡単に統制できるようになります。

これまではAWS Landing Zone Solutionとして、アカウント群を作成するCFnテンプレートやAWS SSOを利用したユーザーアクセス環境構築、CloudTrailやGuard Dutyなどの各種セキュリティサービスの基本設定／集約、セキュリティイベントの集約／通知等を行う方法が提供されていました。

AWS Landing Zone

今回、これがサービスとして進化したようです！

Landing Zone Solutionの展開を自動化

これまでAWS Landing Zone Solutionとして提供されていたツールやテンプレートがControl Towerから提供されるようです。 これらは、セキュリティベストプラクティスに則っており、そのような環境を容易に組織に展開できるようになります。

• AWS Organization (OU)
• AWS SSO / Microsoft Active directory (Identity Directory)
• AWS SSO (Federation)
• AWS CloudTrail / AWS Config (Centerize logging)
• AWS IAM (Cross-account Access)
• Amazon VPC (Network)
• Service Catalog(Account creation)

ポリシーの強制

以下のようなポリシーを管理下のアカウントに強制できるようです。

• インターネットへのアクセスを禁止
• データのパブリックアクセスを禁止
• データ暗号化の強制

ダッシュボードの提供

管理下のアカウントの状態（セキュリティイベントやポリシー違反などと推測）をダッシュボードで確認できます。

その他の詳細については、公式ブログの記事などが公開され次第、随時補足します。

まとめ

本日よりプレビューの申し込みが受け付けられています。 すぐ使いたい！

先日投稿したLanding Zoneに関するセッションレポートもよろしければご覧ください。

[レポート]SEC303 – Architecting Security & Governance across your AWS Landing Zone #reinvent

ここで紹介されてたことがちょちょいのちょいでできたら胸熱なんですけど！

現場からは以上です。