AWS Control Tower のアイコン

AWS Control Tower

マルチアカウント環境のセットアップとガバナンスを自動化するサービス

約 1 分で読めます

何ができるか

AWS Control Tower は、AWS のマルチアカウント環境をベストプラクティスに沿ってセットアップし、継続的にガバナンスを適用するサービスです。ランディングゾーン (安全で標準化されたマルチアカウント環境) を自動構築し、ガードレール (予防的・検出的なポリシー) で各アカウントの操作を制御します。新しいアカウントの作成時にも、事前定義されたポリシーが自動的に適用されます。

どのような場面で使うか

企業が AWS の利用を拡大する際に、部門ごとに分離されたアカウントを安全に作成・管理する場面で活用されています。たとえば、開発チーム、本番環境、セキュリティチームそれぞれに専用アカウントを作成し、共通のセキュリティポリシー (特定リージョン以外の利用禁止、ルートユーザーの MFA 必須など) を一括適用する場面で利用されます。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。

身近な例え

フランチャイズ本部に例えるとわかりやすいでしょう。各店舗 (AWS アカウント) は独立して運営されますが、本部 (Control Tower) が店舗の開設手順、内装基準、衛生管理ルールなどを統一的に定めています。新しい店舗を開設する際は、本部のマニュアルに沿って自動的にセットアップされ、ルールに違反する運営は検知・是正されます。

Control Tower とは

AWS Control Tower は、複数の AWS アカウントを安全かつ効率的に管理するためのサービスです。AWS のベストプラクティスでは、ワークロードや環境ごとに AWS アカウントを分離することが推奨されています。しかし、アカウント数が増えると、セキュリティポリシーの統一やコンプライアンスの維持が困難になります。Control Tower はこの課題を解決し、マルチアカウント環境のガバナンスを自動化します。

ランディングゾーン

ランディングゾーンは、Control Tower が構築するマルチアカウント環境の基盤です。セットアップすると、AWS Organizations による組織構造、ログアーカイブ用アカウント、監査用アカウント、IAM Identity Center によるシングルサインオンなどが自動的に構成されます。この基盤の上に、部門やプロジェクトごとのアカウントを追加していきます。

ガードレール

ガードレールは、各アカウントに適用されるポリシーです。予防的ガードレールは、禁止された操作をそもそも実行できないようにブロックします (例: 特定リージョン以外でのリソース作成を禁止)。検出的ガードレールは、ポリシーに違反する状態を検知して通知します (例: S3 バケットのパブリックアクセスが有効になっている)。必須、強く推奨、選択的の 3 段階で提供されており、組織の要件に応じて適用するガードレールを選択できます。

はじめかた

Control Tower を使い始めるには、Control Tower コンソールで「ランディングゾーンの設定」を実行します。ホームリージョンを選択し、ログアーカイブと監査用のアカウント設定を行うと、約 60 分でランディングゾーンが構築されます。その後、Account Factory から新しいアカウントを作成すると、ガードレールが自動的に適用された状態でアカウントがプロビジョニングされます。

注意点

  • Control Tower のセットアップには約 60 分かかり、その間は他の操作を行わないこと。セットアップ中に中断すると環境が不整合な状態になる可能性がある
  • Control Tower は内部で Config、CloudTrail、Organizations などの複数サービスを利用するため、それらのサービスの料金が発生する
  • 既存の AWS Organizations 環境に Control Tower を導入する場合は、既存のアカウント構成との互換性を事前に確認すること

さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。

同じカテゴリのサービス

AWS AppFabric のアイコン AWS AppFabric SaaS アプリケーションの監査ログを標準化して集約するサービス AWS AppConfig のアイコン AWS AppConfig アプリケーションの設定を安全にデプロイ・管理するサービス AWS Chatbot のアイコン AWS Chatbot Slack や Microsoft Teams で AWS リソースの通知と操作を行うインタラクティブエージェント AWS CloudFormation のアイコン AWS CloudFormation テンプレートで AWS リソースをコードとして定義・プロビジョニングする IaC サービス AWS CloudTrail のアイコン AWS CloudTrail AWS アカウントの API アクティビティを記録・監視するサービス Amazon CloudWatch のアイコン Amazon CloudWatch AWS リソースとアプリケーションの監視・ログ管理・アラームを提供するサービス AWS Config のアイコン AWS Config AWS リソースの構成変更を記録・評価し、コンプライアンスを継続的に監視するサービス Amazon CloudWatch RUM のアイコン Amazon CloudWatch RUM Web アプリケーションのリアルユーザーモニタリングでクライアント側のパフォーマンスとエラーを収集するサービス AWS Health Dashboard のアイコン AWS Health Dashboard AWS サービスの稼働状況とアカウントに影響するイベントを表示するダッシュボード Amazon CloudWatch Internet Monitor インターネット経由のアプリケーションパフォーマンスと可用性を監視するサービス Amazon Managed Grafana のアイコン Amazon Managed Grafana Grafana のマネージドサービスで、AWS データソースの可視化とダッシュボード構築を提供する Amazon Managed Service for Prometheus のアイコン Amazon Managed Service for Prometheus Prometheus 互換のマネージドモニタリングサービスで、コンテナメトリクスの収集・クエリ・アラートを提供する AWS Marketplace のアイコン AWS Marketplace サードパーティソフトウェアの検索・購入・デプロイを提供するデジタルカタログ AWS Organizations のアイコン AWS Organizations 複数の AWS アカウントを一元管理するサービス AWS Resilience Hub のアイコン AWS Resilience Hub アプリケーションの耐障害性を評価し、復旧目標の達成状況を可視化するサービス AWS Service Catalog のアイコン AWS Service Catalog 承認済みの IT サービスを組織全体にセルフサービスで提供するカタログサービス AWS Service Quotas AWS サービスのクォータ (上限値) を一元管理し、引き上げリクエストを行うサービス AWS Systems Manager Parameter Store のアイコン AWS Systems Manager Parameter Store 設定データやシークレットを安全に格納・管理する階層型ストア AWS Systems Manager のアイコン AWS Systems Manager AWS リソースとオンプレミスサーバーを一元管理できる運用管理サービス AWS Trusted Advisor のアイコン AWS Trusted Advisor AWS 環境のコスト最適化、パフォーマンス、セキュリティ、耐障害性をチェックし改善を推奨するサービス AWS Well-Architected Tool のアイコン AWS Well-Architected Tool AWS Well-Architected フレームワークに基づいてワークロードのアーキテクチャをレビューするツール AWS X-Ray のアイコン AWS X-Ray 分散アプリケーションのリクエストをトレースし、パフォーマンスのボトルネックを特定するサービス