AWS Control Tower
マルチアカウント AWS 環境のセットアップとガバナンスを自動化し、セキュリティとコンプライアンスのベースラインを一元管理するサービス
概要
AWS Control Tower は、AWS のマルチアカウント環境を安全かつ効率的にセットアップ・管理するためのサービスです。ランディングゾーン (Landing Zone) と呼ばれるベストプラクティスに基づいたマルチアカウント構成を自動的に構築し、ガードレール (予防的・検出的コントロール) で組織全体のセキュリティポリシーを強制します。Account Factory で新規アカウントをテンプレートから数分で作成でき、作成と同時にガードレールが自動適用されます。Organizations、IAM Identity Center、CloudTrail、Config などの AWS サービスを統合的に設定します。
ガードレールの種類と適用戦略
Control Tower のガードレールは 3 種類に分類されます。予防的ガードレール (Preventive) は SCP (Service Control Policy) で実装され、禁止された操作をブロックします。例えば「CloudTrail の無効化を禁止」「特定リージョン以外でのリソース作成を禁止」などです。検出的ガードレール (Detective) は Config ルールで実装され、ポリシー違反を検出して通知します。プロアクティブガードレールは CloudFormation フックで実装され、デプロイ前にテンプレートを検証して違反リソースの作成を事前に防ぎます。実務では、必須ガードレール (デフォルトで有効) に加え、業界のコンプライアンス要件 (PCI DSS、HIPAA など) に対応する強く推奨されるガードレールを OU (Organizational Unit) 単位で適用する設計が一般的です。Azure Landing Zone が Bicep/Terraform テンプレートを自分でデプロイ・カスタマイズする方式であるのに対し、Control Tower はマネージドサービスとしてコンソールから数クリックでランディングゾーンを構築できる手軽さが特徴です。
OU 構造と Account Factory の設計
Control Tower の実務導入で最も重要なのは OU 構造の設計です。推奨される構成は、Security OU (ログアーカイブ・監査アカウント)、Infrastructure OU (共有ネットワーク・DNS)、Workloads OU (本番・開発環境) の 3 層構造です。Security OU にはログアーカイブアカウント (全アカウントの CloudTrail ログを集約) と監査アカウント (Config ルールの集約管理) が配置され、これらは Control Tower のセットアップ時に自動作成されます。Account Factory で新規アカウントをテンプレートから数分で作成でき、作成と同時にガードレールが自動適用されます。Account Factory Customization (AFC) を使うと、VPC 設定、IAM ロール、セキュリティツールの有効化などを新規アカウント作成時に自動的に適用でき、アカウントのブートストラップを完全に自動化できます。AWS アカウント管理の書籍 (Amazon) で詳しく学べます。
既存 Organizations 環境への導入と注意点
Control Tower を既存の Organizations 環境に後から導入する場合、いくつかの注意点があります。既存アカウントの登録 (Enroll) 作業が必要で、既存の SCP や Config ルールとの競合を事前に確認しなければなりません。特に、既存の SCP が Control Tower のガードレール SCP と矛盾する場合、アカウント登録時にエラーが発生します。既存の Config ルールが Control Tower の検出的ガードレールと重複する場合は、コスト面でも無駄が生じるため、統合前に棚卸しが必要です。ランディングゾーンのバージョンアップも重要な運用タスクで、AWS が新しいバージョンをリリースするたびに更新を適用する必要があります。更新は非破壊的ですが、新しいガードレールが追加される場合があるため、更新内容を事前に確認し、既存のワークロードに影響がないことを検証してから適用します。IAM Identity Center (旧 AWS SSO) との統合により、全アカウントへのシングルサインオンを一元管理でき、アカウントごとに IAM ユーザーを作成する運用から脱却できます。