AWS Control Towerを設定してみた
-AWS Control Tower編第2弾-
投稿日: 2022/03/28
はじめに
こんにちは。CTCの朴木です。
本記事は-AWS Control Tower編第2弾-ということで、今回は実際にAWS Control Towerを設定していきますので興味や今後の設定予定がありましたらご参考ください。第1弾ではAWS Control Towerの内容について説明しておりますのでよければそちらも見ていただけますと幸いです。
AWS Control Towerセットアップ後の構成
AWS Control Towerをセットアップするとセキュリティ用のOUが作成され、そのOUの中に「ログアーカイブアカウント」、「監査アカウント」と呼ばれる2つのアカウントが展開されます。各アカウントの役割は以下のようになっています。
| アカウント | 役割 |
|---|---|
| ログアーカイブアカウント | AWS Control Towerで管理するすべてのアカウントのAPI アクティビティやリソース設定のログを集積・管理する。 |
| 監査アカウント | AWS Control Towerで管理するすべてのアカウントのセキュリティ監査を実施する。ガードレールの違反を検知した場合は通知先アドレスへアラートを発報する。 |
また、任意の設定となりますがランディングゾーンの設定時に追加のOUを構築することが可能です。この追加のOUは作成することが推奨されており、AWS Control Towerで管理するアカウントを格納するために利用できます。OUが作成されたらAWS Control Towerで管理したいアカウントを追加してみるといいでしょう。
AWS Control Towerのセットアップ
それでは実際に設定していきましょう。AWS Control Towerをセットアップするには1時間程度かかりますので気長に待ちましょう。
まずはAWS Control Towerのサービスを開き、「ランディングゾーンの設定」ボタンをクリックします。ユーザに管理者権限がない場合は設定ができませんのであらかじめ確認しておきましょう。
今回はホームリージョンを「アジアパシフィック(東京)」とします。ホームリージョンは後で変更ができませんのでご注意ください。
また、リージョン拒否設定については「有効になっていません」を選択します。リージョン拒否設定につきましては次回のAWS Control Tower編第3弾で設定しますので興味がある方はそちらも合わせてご確認ください。
今回はガバナンスのための追加リージョンは設定せずに進みます。リージョン追加は後で変更が可能の設定となります。 「次へ」ボタンをクリックします。
次に組織単位(OU)の設定になります。ログアーカイブアカウントと監査アカウントが格納されるOUの名前を設定します。ここではデフォルトで入力されている「Securty」という名前をそのまま使用します。
追加のOUについて設定します。ここでは「新しいOUを作成」を選択し、OU名はデフォルトで入力されている「Sandbox」という名前をそのまま使用します。
このOUにAWS Control Towerで監査対象となるアカウントを格納すると良いでしょう。
OU名が入力できたら「次へ」ボタンをクリックします。
次にログアーカイブアカウントと監査アカウントの作成になります。ルートアカウントとなるアカウントのアドレスとアカウント名をそれぞれ入力します。ここでのアカウント名はデフォルトで入力されている「Log Archive」、「Audit」という名前を使用します。
今回はKMS暗号化を設定せずに進みますので「次へ」ボタンをクリックします。
いままでの入力に間違いがないかを確認し、チェックボックスにチェックを入れて「ランディングゾーンの設定」ボタンをクリックします。
あとは設定が完了するまで1時間程度待てばセットアップ完了となります!
セットアップが完了するとガードレールの設定ができるようになります。
それではセットアップ後に「組織」画面からアカウントの組織単位の構成を確認してみましょう!
上記の通り、既存OUに加えて「Security」OUと「Sandbox」OUが追加されています。また、「Securty」OU配下には監査アカウント用の「Audit」アカウントとログアーカイブアカウン用の「Log Archive」アカウントが作成されています。
OUにアタッチされているポリシーを確認すると、AWS Control Towerのセットアップ時に自動作成されたSCPが付与されていることがわかります。このSCPにはガードレールの必須ルールが適用されています。
ガードレールのアクションは「予防」と「検出」の2種類があり、予防はSCP、検出はAWS Configにてユーザの操作を監査しています。予防系のガードレールを自身で追加するとSCP内容が追加されるので、ぜひセットアップ完了後に、先ほど作成した「Sandbox」OUにアカウントを追加してお好みのガバナンスルールを設定してみてください。
おわりに
いかがでしたでしょうか。AWS Control Towerはこれから管理アカウントを使ってマルチアカウント管理をしてみたい方におすすめの機能となっております。もちろん既に管理アカウントをご利用の方も既存アカウントを専用のOUに移したり、現在使っているOUごとAWS Control Towerに登録してしまえば簡単に利用が可能です(既存OUは別途AWS Control TowerのOU登録作業を実施することでそのOUに格納されているアカウントを管理対象とすることが可能です)。ガードレールの適用はクリックのみで設定が可能なのでぜひ試していただければと思います。
それでは次回、第3弾 AWS Control Towerのリージョン拒否設定についても引き続き読んでいただけますと幸いです。
CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。
お客様のAWSビジネス利活用をCTCの経験豊富なエンジニアがサポート!
コンサルティング・構築・運用までをワンストップかつ柔軟にご支援します。
