AWS Control Towerの特徴
AWS Control Towerとは
まず初めにざっくりとですがAWS Control Towerについて説明していきたいと思います。
AWS Control Towerとは、複数のAWSアカウントを簡単に管理できるようにするサービスです。AWS環境が活発化すると、複数のAWSアカウントが乱立していて管理や統制をとることが大変になってきます。例を挙げるとすれば、各セキュリティ機能の有効化や権限の管理、ログの集約、不審なアクティビティの有無のチェックのログが適切機能しているかなど。
AWS Control Towerができるまで
AWSはこれまでに複数のAWSアカウントで統制をきかせるために、いくつかのサービスを提供してきました。それらサービスを簡単にご紹介します。複数のAWSアカウントを集約するAWS Organizations。AWS Organizationsにおいて複数のアカウントに統制をきかせるService Control Policy。コンプライアンスの準拠状況を確認するAWS Config Rules、それを複数のアカウントで集約するアグリゲータ。ログイン集約のためのAWS Single Sign-On。といったサービスが代表的で他にもいくつか存在します。これらサービスを組み合わせることで複数のアカウントで管理を行うためにAWS Landing Zoneがリリースされました。しかし、複数のアカウントで管理するために用いるサービスが上記で挙げた用にいくつも存在し大変だったため、利用方法をまとめたCloudFormationテンプレートとして提供が始まりました。
こうしてCloudFormationテンプレートまでが作成されたのですが、そのCloudFormationテンプレートはあくまでテンプレートで結局のところ、常にサービスが統制がとれているかをチェックして確認する作業が必要であったりとCloudFormationテンプレートの誕生で管理が簡易化されたとは言えませんでした。そこで複数のAWSアカウントで統制を簡単にするために1つでまとめて管理できるサービスのAWS Control Towerです。
AWS Control Towerの機能
AWS Control Towerの機能には以下のものがあります。
Landing Zone | 上記で説明した通りです。 |
---|---|
ガードレール | セキュリティ、オペレーション、コンプライアンス向けの事前にパッケージされたガバナンスルールです。企業全体もしくは、特定のアカウントのグループへの適用などと選択できます。ガードレールのは予防的と発見敵の2種類があります。 予防的ガードレールではアクションの発生が防止でき、発見敵ガードレールでは特定のイベントが発生した時にそれが検知され、アクションがCloudTrailに記録されます。 |
Account Factory | 事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化する設定可能なアカウントテンプレートです。組織内でアカウントプロビジョニングワークフローの自動化支援ができます。 |
ダッシュボード | 中央のクラウド管理者がLanding Zoneの断続的な監視をできます。企業全体のアカウント、ガードレール等を確認できます。 |
利用料金
AWS Control Towerはマスターアカウントに1月あたり5.00USDかかります。AWS Control TowerによりセットアップされたAWSサービスで実際に使用した分に対して発生します。また、AWSサービスにも追加料金のかかるものとそうでないものが存在します。
いくつか例を挙げておきますと、AWS Organizations、AWS Single Sign-On、AWS CloudFormationなどのサービスは追加料金なしで利用可能ですが、AWS Service Catalog、AWS CloudTrail、AWS Configなどのサービスは利用するのに料金が発生します。
料金がかかるものとしてAWS Config を例に挙げてみますと、設定を記録するためには、0.003USD(設定項目あたりの料金)×(リソース数×アカウント数×リージョン数×状態変更回数)またルール評価の実行には、0.001USD(最初の100,000件までの評価当たりの料金)×(ガードレール数×ルールの評価数/ガードレール)となります。
まとめ
ここまででざっくりではありますが、AWS Control Towerをご紹介できたかと思います。各種セキュリティ設定、ガードレールは複数のアカウントを管理するにおいては非常に便利です。また、AWS Control Towerのセットアップに必要なものはマスターアカウント用のAWSアカウント、共有アカウント用のAWSアカウント用のメールアドレス、ユーザーアカウント用のAWSアカウントのメールアドレスが必要になります。
セットアップ自体は、一時間から一時間半ほどでセットアップが完了までできるのが一般的です。その程度の作業を済ませてしまえば、各サービスごとにチェックしたり、アカウントごとの権限の大小等に頭を悩ませることが無くなるならとても便利なサービスですね。AWS Control Tower自体はまだリリースして間もないものですが今まで苦労していた面を大幅に改善できる機能を持ったものなのでこれを気に取り入れてみてはいかがでしょうか。