AWS Control Tower で Controls Dedicated エクスペリエンスを導入

2025 年 11 月 19 日、AWS Control Tower の Controls Dedicated エクスペリエンスを発表しました。この特徴量により、必要のないリソースを設定しなくても Amazon Web Services (AWS) のマネージドコントロールを使用できます。つまり、すでにマルチアカウント環境を構築していて、AWS Control Tower をマネージドコントロールのみに使用したい場合でも、より早く使い始めることができます。Controls Dedicated エクスペリエンスでは、Control Catalog にあるマネージドコントロールの包括的なコレクションにシームレスにアクセスして、ガバナンス体制を段階的に強化できます。

これまで、お客様は数多くの推奨されるベストプラクティスを採用して設定する必要がありました。つまり、マルチアカウント環境をセットアップする際には、完全な AWS Landing Zone を実装する必要がありました。このセットアップには、ランディングゾーンの使用を開始するために、AWS Control Tower で規定の組織構造や必要なサービスなどを定義することが含まれていました。このアプローチは、優れた設計のマルチアカウント環境を確保するのに役立ちますが、優れた設計のマルチアカウント環境が既に確立されていて、AWS マネージドコントロールのみを使用したいお客様にとっては、AWS Control Tower を採用することはより困難でした。新しい Controls Dedicated エクスペリエンスにより、AWS Control Tower をより迅速かつ柔軟に使用できるようになります。

仕組み
AWS Control Tower の Controls Dedicated エクスペリエンスを使用して、自分のアカウントの 1 つでマネージドコントロールを定義する方法は、次のとおりです。

まず、AWS Control Tower のランディングページで [Enable AWS Control Tower] (AWS Control Tower を有効にする) を選択します。

完全な環境をセットアップするか、Controls Dedicated エクスペリエンスを使用してのみコントロールをセットアップするかを選択できます。[I have an existing environment and want to enable AWS Managed Controls] (既存の環境があり、AWS Managed Controls を有効にしたい) を選択することで、コントロールをセットアップすることにしました。次に、ドロップダウンリストから [Home Region] (ホームリージョン) を選択して、有効化時に AWS Control Tower リソースがこのリージョンにプロビジョニングされるように、残りの情報をセットアップします。また、AWS Control Tower で [Turn on automatic account enrollment] (自動アカウント登録を有効にする) を選択すると、登録済みの組織単位にアカウントを移動したときにアカウントが自動的に登録されます。残りの情報は任意です。[Enable AWS Control Tower] (AWS Control Tower を有効にする) を選択してプロセスを終了すると、ランディングゾーンのセットアップが開始されます。

舞台裏では、AWS Control Tower がサービスにリンクされた必要な AWS Identity and Access Management (IAM) ロールをインストールし、さらに発見的コントロールを使用するために、AWS マネージドコントロールをデプロイしているアカウントに Config Recorder in AWS Config をインストールしました。セットアップが完了すると、このアカウントでコントロールを使用するために必要なインフラストラクチャがすべて揃いました。ダッシュボードには、作成した組織単位、共有アカウント、選択した IAM 設定、ポリシーを適用するための予防管理、設定違反を検出するための発見的コントロールなどの環境の概要が表示されます。

このプロセス中にインストールされたすべてのコントロールのリストを表示するには、[View enabled controls] (有効なコントロールを表示) を選択します。

知っておくと便利な情報
通常、AWS Control Tower を使用するには既存の AWS Organizations アカウントが必要です。コンソールを使用してコントロールを作成していて、まだ Organizations アカウントを持っていない場合は、お客様に代わって Organizations アカウントがセットアップされます。

上記でサービスにリンクされた Config Recorder について触れました。AWS Control Tower は、サービスにリンクされた Config Recorder を使用することで、デプロイされたマネージドコントロールに必要なリソースタイプが変更されるのを防ぎます。独自の Config Recorders を柔軟に保持でき、発見的マネージドコントロールに必要なリソースタイプの設定項目のみが有効になるため、AWS Config のコストが最適化されます。

今すぐご利用いただけます
AWS Control Tower の Controls Dedicated は、現在、AWS Control Tower をご利用いただけるすべての AWS リージョンでご利用いただけます。

詳細については、AWS Control Tower のページをご覧ください。料金に関する詳細については、AWS Control Tower の料金をご覧ください。フィードバックは、AWS re:Post for AWS Control Tower に送信するか、AWS サポートの通常の連絡先を通じてお寄せください。

– Veliswa

原文はこちらです。