CfCTを使ってみよう①
～初期設定編～

投稿日: 2024/01/05

はじめに

こんにちは、高橋です。
AWS Organizations機能の強化が近年実施され、当社でもAWS Organizations機能及びその周辺サービスを採用し、マルチアカウント環境で利用されるお客様がここ1、2年で急速に増えています。その中でも半数程度利用されているのがAWS Control Towerです。AWS Control Towerにはコントロール機能(旧ガードレール)があり、こちらは昨年に機能強化され400以上の統制ルールが使用できるようになったことで、マルチアカウント環境の統制管理を行うことがだいぶやり易くなりました。ただ一方で用意されたルールでは足りないといったケースも見られます。それを改善するのがCustomizations for AWS Control Tower(CfCT)機能です。今回はこのCfCTの導入と実際のルールの設定を2回に分けて紹介いたします。

１．Customizations for AWS Control Tower(CfCT)とは？

AWS Control Towerについてはこちらのブログで何度か説明しているので今回は省略し、本題のCustomizations for AWS Control Tower(CfCT)について説明します。CfCTはCloudFormationまたはService Control Policy(SCP)を用いて、マルチアカウント環境のOUやアカウントにユーザのルールに基づいてリソースのデプロイや制限を行うことができる機能です。CfCTは下記の様な仕組みで動作します。

設定したい内容を記述し、それをAmazon S3に保存するか、AWS Code Commitに保存することでCodePipeline/CodeBuildが自動的にビルド・テストし、問題なければCloudFormation StackSetsまたはSCPにルールが追加されます。また、Account Factoryと連動しているので以降はAccount Factoryでアカウントを作成すれば、ルールに基づいてリソースがアカウントに自動的にデプロイされ、ユーザが定義した運用・統制ルールを維持することが可能です。

料金についてこのフローが実行された場合(ルールを保存またはアカウントを作成)にそれぞれの課金体系に応じて発生するが、フロー自体は極短時間で完了するため、ほとんど気にならない金額ですみます。

２．CfCT環境の作成

CfCTはたくさんのコンポーネントで構成されているため、設定するのが大変かなと思うかもしれませんが、こちらはGitHubにCloudFormationテンプレートが公開されているので、それをダウンロードして利用することで簡単に構成することができます。なお、以前あったのですがControl Towerはちょくちょくバージョンアップされるため、その際にテンプレートのデプロイに失敗するような場合があります(実際経験済み)が、その際にはコードの一部を手動で修正(コミュニティサイトを探すと同じ様に困った人はいるものです)して、デプロイすることができるので、Control Towerのバージョンが変わった場合はご注意ください。といことでここからは実際にCfCTの初期設定を実施していきたいと思います。