AWS Control Towerとは?
-AWS Control Tower編第1弾-
投稿日: 2022/03/25
はじめに
こんにちは。CTCの朴木です。
みなさん、AWS Control Towerはご利用されていますでしょうか?AWS Control TowerはOrganizations機能やOrganizationsと連携できるサービスを用いてAWSのベストプラクティスに基づいたルールを設定し、各アカウントの統制を制御するサービスです。AWS Control Towerはマルチアカウント管理に向いており、本記事ではこのサービスについて説明します。
本記事は「AWS Control Tower編第1弾」としており、第2弾では実際に設定方法を説明していますのでそちらも合わせて見ていただけますと幸いです。
AWS Control Towerとは
AWS Control TowerはAWS ConfigやSCP、AWS CloudTrailなどを用いてAWSのベストプラクティスに基づいたルールを設定し、各アカウントの統制を制御するサービスです。
AWS Control Towerを設定することでセキュアなマルチアカウント環境を実現することが可能です。
AWS Control Towerには様々なガバナンスルールが用意されており、そのルールの選定もお客様にて実施できるため、効率的に複数のアカウントを統制することができます
AWS Control Towerの構成
AWS Control Towerをセットアップするには、まずランディングゾーンの設定が必要となります。AWS Control Towerを使うにはランディングゾーンとガードレールについて理解しておくと良いでしょう。
ランディングゾーンについて
ランディングゾーンとはAWSのベストプラクティスに基づいたセキュアなマルチアカウント AWS 環境を提供する仕組みの総称です。ランディングゾーンを展開することで環境内のAWSアカウントのリソースに対して一元的に管理/監視が可能になります。
ガードレールについて
ガードレールはランディングゾーンで設定したAWSアカウント環境全体に対して提供されるガバナンスルールです。ガードレールは種類が3つあり、アカウントに対して常に適用される「必須」ガードレールや、お客様自身で設定できる「選択的」ガードレール、「強く推奨」されるガードレールがあります。これらのガードレールを設定することでベストプラクティスに沿ったAWSアカウントのセキュリティやガバナンスの統制を効かせることができます。
AWS Control Towerを設定する
ランディングゾーンの設定時に監査アカウントとログアーカイブアカウントと呼ばれるアカウントを作成します。そのため、AWSアカウントを作成するためのEメールアドレスを2つ分、事前に準備しておく必要があります。
ログアーカイブアカウントは各アカウントのリソースに対するログを収集しており、監査アカウントはガードレールに違反した操作を検知し通知する役割があります。これらのアカウントによってランディングゾーン内のAWSアカウントをチェックしています。

AWS Control TowerのガードレールはOUに対して設定できます。そのため、AWSアカウントのシステム環境ごとにOUを分けることによってそれぞれに合ったセキュリティのルールを設定することができます。
ガードレールのルールはAWS ConfigやSCPの機能を用いています。ガードレールのルールにもカテゴリや動作の種類がありますのでお客様の要件にあったガードレールを探してみてください。
ガードレールルールのカテゴリ種類
- Data Residency
- データセキュリティ
- ネットワーク
- IAM
- Control Tower のセットアップ
- 監査ログ
- モニタリング
ガードレールの動作種類
- 予防
- 検出
ガードレールの動作の「予防」はSCPでの設定されるルールとなっており、このガードレールを設定した場合は、AWSアカウントに対象の動作を実施しようとしてもアクションが拒否されます。「検出」の場合はそのアクションを実施することは可能ですがガードレールのルールに違反した場合は監査アカウントのルートアドレス宛に違反通知が発報されます。
おわりに
本記事ではAWS Control Towerの概要と構成について記載させていただきました。ガードレールの設定にはAWS ConfigやSCP、ガードレール違反の通知にはAWS SNSを使っており、AWS Control TowerはほかにもAWS Organizationsと連携できる機能を活用しております。1つ1つ手動でベストプラクティスに準拠したポリシーを設定するよりもAWS Control Towerを利用することでセキュリティやガバナンス管理をシンプルにすることができますので興味がある方は利用してみてはいかがでしょうか。
次回の第2弾では実際にAWS Control Towerの設定方法を記載しますのでぜひ合わせてお読みください。
CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。