Amazon Web Services ブログ
お客様がデジタル主権の要件を満たすのに役立つ新しいコントロールを AWS Control Tower が追加
11月27日、デジタル主権の要件を満たすのに役立つ 65 の一連の専用コントロールを AWS Control Tower に追加しました。
デジタル主権とは、デジタルアセットのコントロールであり、データレジデンシー、データが流れる場所、データの管理者を制御することをいいます。17 年前に AWS クラウドが生み出されて以来、当社は、お客様がデータを管理できるよう取り組んできました。
2022年 11 月、弊社は AWS Digital Sovereignty Pledge を立ち上げました。これは、クラウドで使用可能な一連の最先端の主権コントロールおよび機能を、AWS のすべてのお客様に提供するという当社のコミットメントです。それ以来、当社は、その方向性に基づいて、いくつかのステップを発表してきました。AWS Nitro System は独立した第三者によって検証されており、AWS のいかなる者も、AWS のホスト上のデータにアクセスできるメカニズムが含まれていないことが確認されています。当社は AWS 専有ローカルゾーンを立ち上げました。これは、AWS によって完全に管理されるとともに、お客様またはコミュニティ専用となるように構築され、お客様が指定した場所またはデータセンターに配置されるインフラストラクチャの一部です。そして最近では、新しい欧州の独立主権リージョンの創設を発表しました。
デジタル主権をサポートする AWS Control Tower コントロールの導入は、データレジデンシー、きめ細かなアクセス制限、暗号化、回復力の機能のロードマップにおける追加のステップです。
AWS Control Tower は、安全なマルチアカウントの AWS 環境を設定および統制するためのシンプルかつ効率的な方法を提供します。これにより、ベストプラクティスのブループリントに基づいたランディングゾーンが確立され、事前にパッケージ化されたリストから選択できるコントロールを使用してガバナンスを実現できます。ランディングゾーンは、Well-Architected で、AWS のベストプラクティスに準拠したマルチアカウントベースラインです。コントロールは、セキュリティ、コンプライアンス、運用に関するガバナンスルールを実装します。
デジタルアセットに必要なコントロールのレベルは、業界や国によって大きく異なります。高度に規制された分野で事業を展開しているお客様は、欧州連合などの特定の国または地域にデータを維持する義務を負っている場合があります。データ暗号化や暗号化キーの保管場所などに関連する義務を負っているお客様もいます。さらに、デジタル主権の要件は急速に進化しており、必要なすべてのコントロールを定義して実装することが困難になっています。多くのお客様から、AWS の全サービスを活用するか、またはイノベーション、変革、成長の妨げになる可能性がある、機能が限定されたソブリンクラウドソリューションのいずれかを選択する必要があるのではないかという懸念の声が寄せられています。当社は、お客様がこのような選択をする必要はないと確信しています。
AWS Control Tower は、データの保存場所、転送先、処理される場所を大規模に管理するために必要なコントロールを定義、実装、管理するのにかかる時間を短縮するのに役立ちます。
AWS Control Tower は、有効なコントロール、コンプライアンスステータス、および複数のアカウントにわたるコントロールの証拠についての統合ビューを提供します。この情報は、コンソールで、または API を呼び出すことで確認できます。要件と AWS サービスが進化する中で、AWS Control Tower は、デジタル主権のニーズを継続的に管理するのに役立つ最新のコントロールを提供します。
追加されたコントロールの例をいくつかご紹介します。
- オペレーターアクセス – Amazon Elastic Compute Cloud (Amazon EC2) 専有ホストが AWS Nitro インスタンスタイプを使用することを必須化します。
- データに対するアクセスのコントロール – Amazon Elastic Block Store (Amazon EBS) スナップショットをパブリックに復元できないようになっていることを必須化します。
- 保管中および転送中の暗号化 (高度なキー管理戦略を含む) – EC2 インスタンスが
AWS::EC2::Instance
リソースタイプを使用して作成された場合に、インスタンス間の転送中の暗号化をサポートする AWS Nitro インスタンスタイプを使用することを必須化します。また、Amazon Relational Database Service (Amazon RDS) データベースインスタンスで、サポートされているエンジンタイプのために指定した AWS KMS キーを使用するように保管中の暗号化が設定されていることを必須化します。
これらは 3 つのカテゴリからの 4 つの例にすぎません。65 の新しいコントロールが追加され、デジタル主権カテゴリグループでは 245 を超えるコントロールを使用できます。詳細なリストは、AWS Control Tower のドキュメントでご覧いただけます。
リージョン内での意図しないデータの保存やフローを防ぐために AWS Control Tower が使用する技術メカニズムの 1 つが、リージョン拒否コントロールです。このパラメータを使用すると、システム管理者は、選択した AWS リージョンでの AWS サービスおよびオペレーションに対するアクセスを拒否できます。今日まで、リージョン拒否コントロールが適用できたのは、ランディングゾーン全体と、そのすべての組織単位 (OU) およびアカウントのみでした。このリリースにより、組織単位レベルで新しいリージョン拒否コントロールを設定し、独自のビジネスニーズに基づいて許可するサービスと IAM プリンシパルを選択できるようになりました。
開始方法を見てみましょう
このデモでは、一連のリージョンで AWS サービスに対するアクセスを制限したいと考えていると仮定してみましょう。
AWS マネジメントコンソールを開き、AWS Control Tower のページに移動します。左側のナビゲーションウィンドウの [コントロールライブラリ] で、[カテゴリ] > [グループ] > [デジタル主権] を選択します。
使用可能なコントロールのリストを確認できます。
有効にするコントロールを見つけて選択します: [組織単位についてリクエストされた AWS リージョンに基づいて AWS に対するアクセスを拒否]。このコントロールの説明と、それが適用されるフレームワークのリスト(NIST 800 および PCI DSS) が表示されます。[コントロールを有効にする] を選択します。
次のページで、このコントロールを有効にする [組織単位] (OU) を選択します。
アクセスを許可する AWS [リージョン] を選択します。チェックがオフになっているすべてのリージョンでは、コントロールが強制されるとアクセスが拒否されます。
その後、サービスコントロールポリシー (SCP) を確認します。これには、リストされたサービスまたは API に対するアクセスを防ぐための Deny ステートメントが含まれています。オプションで、NotActions を追加できます。これは例外のリストです。NotActions にリストされているサービスまたは API は認可されます。この例では、3 つの API (sqs:SendMessage
、ec2:StartInstances
、s3:GetObject
) を除くすべてを拒否します。
最後のページで、コントロールから免除される IAM プリンシパル (ユーザーまたはロール) のリストを追加します。これは例外リストです。また、いつものようにコントロールに AWS リソースのタグを付けます。
最後の画面 (ここには表示されていません) で、すべてのパラメータを確認し、[コントロールを有効にする] を選択します。
[有効な OU] タブで、コントロールが有効になっている OU のリストを確認できます。
概要のページには、この OU のために有効になっているすべてのリージョン、API、および IAM プリンシパルが表示されます。残りはすべて拒否されます。パラメータはいつでも更新できます。
料金と利用可能なリージョン
AWS Control Tower は、すべての商用リージョンと米国 GovCloud でご利用いただけます。
AWS Control Tower の利用には追加料金はかかりません。ただし、AWS Control Tower を設定すると、ランディングゾーンと必須コントロールを設定するように構成された AWS サービスのコストが発生し始めます。
Organizations や AWS IAM アイデンティティセンターなどの特定の AWS サービスは追加料金なしでご利用いただけます。ただし、AWS Service Catalog、AWS CloudTrail、AWS Config、Amazon CloudWatch、Amazon Simple Notification Service (Amazon SNS)、Amazon Simple Storage Service (Amazon S3)、Amazon Virtual Private Cloud (Amazon VPC) などのサービスについては、これらのサービスの利用量に基づいて、料金をお支払いいただきます。ご利用の際に、ご利用分の料金のみをお支払いいただきます。詳細については、AWS Control Tower の料金のページをご覧ください。
新しい AWS Control Tower のコントロールは、デジタル主権の要件を満たすためのセーフガードを特定してデプロイする負担を軽減します。この一連のコントロールはフルマネージドであり、時間が経過する中で AWS サービスとデジタル主権の要件が進化するのに応じて更新されます。
今すぐ、デジタル主権の要件をサポートするのに役立つ AWS Control Tower のコントロールを設定しましょう。
原文はこちらです。