Amazon Web Services ブログ

Category: AWS Control Tower

新機能 – AWS Control Tower Account Factory for Terraform

AWS Control Tower を使用すると、セキュアなマルチアカウント AWS 環境を簡単にセットアップおよび管理できます。AWS Control Tower は、AWS Organizations を使用して、いわゆるランディングゾーンを作成し、数千のお客様との協業経験に基づいて継続的なアカウント管理とガバナンスを実現します。 AWS CloudFormation を使用してインフラストラクチャをコードとして管理する場合は、AWS Control Tower のカスタマイズを使用して AWS Control Tower のランディングゾーンをカスタマイズできます。このソリューションは、カスタムテンプレートとポリシーを個々のアカウントと組織内の組織単位 (OU) にデプロイするのに役立ちます。 しかし、Terraform を使用して AWS インフラストラクチャを管理するとどうなるでしょうか。

Read More

AWS Control Towerの新機能–データレジデンシー要件を満たすのに役立つリージョン拒否とガードレール

規制の厳しい業界や公共部門などの多くのお客様が、データの保存場所と処理場所を管理したいと考えています。AWS では、現地の法律や規制に準拠するためのツールや機能がすでに多数提供されていますが、データレジデンシー要件を、シングルアカウントおよびマルチアカウント環境に適用できるコントロールに簡単に変換する方法を提供したいと考えています。 2021 年 11 月 30 日(米国時間)より、AWS Control Tower を使用して、ガードレールというデータレジデンシーの予防および検出コントロールをデプロイできます。これらのガードレールは、AWS Control Tower によって構築および管理されるサービスコントロールポリシー (SCP) 経由で AWS API へのアクセスを制限することにより、不要な AWS リージョンにリソースをプロビジョニングすることを防ぎます。

Read More

AWS環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」のご紹介

みなさんこんにちは。ソリューションアーキテクトの大村です。 このブログでは、私たちAWS Japanのソリューションアーキテクトが AWS Samples に公開している 「Baseline Environment on AWS(BLEA)」について詳しくご紹介します。 これはAWSのセキュリティのベストプラクティスを実装した環境を、迅速に実現するためのテンプレートです。 セキュリティサービスだけでなく、よく利用されるアプリケーションの実装サンプルも含んでいます。これによって基本的なセキュリティを実現した状態をスタート地点としてシステム構築を開始できます。このテンプレートは単一のアカウントでも、また AWS Control Tower によるマルチアカウント環境でも同じように利用可能です。 テンプレートは AWS Cloud Development Kit (CDK) で実装されており、お客様の利用用途に合わせた拡張を少ないコード量で容易に行えるようデザインされています。広く CDKを 利用していただくため、平易なコードで、解説コメントを多くする方針で開発しており、CDK の学習用途としても使えるようにしています。

Read More

Dynatrace を使用して AWS Control Tower ランディングゾーンの可観測性を向上

この記事は、Increasing observability in your AWS Control Tower landing zone with Dynatrace を翻訳したものです。 AWS では、リソースの分離を高め、セキュリティ、規制、コンプライアンスのニーズを満たすためのベストプラクティスとして、マルチアカウント戦略を採用することをお勧めしています。お客様は、運用コストの追跡、セキュリティ改善の特定、信頼性とパフォーマンス効率の確保に関する質問に対処する必要があります。フルスタックの可観測性は、問題が発生した場所に関係なく、必要なトラブルシューティングツールとなります。

Read More

AWS Control Tower で AWS リソースのセルフサービスプロビジョニングを有効にする

お客様は、新しいビジネスユニットのオンボーディングやアプリケーションワークロードのセットアップを行うたびに、AWS Control Tower で新しいアカウントをプロビジョニングしています。場合によっては、組織はクラウドユーザー、開発者、およびデータサイエンティストに、新しいアカウントでセルフサービス標準化された安全なパターンとアーキテクチャをデプロイすることも求めます。以下にいくつか例を示します。 開発者またはクラウドエンジニアが、golden AMI から Amazon EC2 インスタンスを起動したいと考えています。 データサイエンティストは、承認済みの AMI とインスタンスタイプで Amazon EMR クラスターを起動したいと考えています。 データベース管理者は、新しくプロビジョニングされた AWS アカウントで承認済みの Amazon RDS データベースを起動する必要があります。 この記事では、AWS Control Tower の Account Factory を使用して新しい AWS アカウントをプロビジョニングする方法を示します。また、AWS Service Catalog を使用して、RDS データベースのポートフォリオなどのカスタム製品を新しいアカウントと共有する方法も示します。さらに、AWS Control Tower のガードレールを使用して新しいアカウントでガバナンスを実施する方法についても説明します。 このソリューションで使われる AWS のサービスは、以下のとおりです。 AWS Control Tower AWS Service Catalog AWS CloudFormation Amazon CloudWatch Amazon RDS AWS Organizations […]

Read More

セルフマネージド型 Active Directory を AWS Control Tower に拡張

クラウドジャーニーの初期段階によくあるユースケースの 1 つとして、既存のアイデンティティサービス (Microsoft Active Directory など) を使用することが挙げられます。このブログでは、AWS Control Tower をセットアップして、AWS Managed Microsoft AD を介してユーザー認証をセルフマネージド型 Microsoft Active Directory に委任する方法について解説します。既存のオンプレミスの Active Directory を AWS Control Tower に接続する方法を、シミュレート環境でみていきます。 背景 AWS Control Tower には、マルチアカウント環境における SSO アクセスを簡素化するクラウドベースのサービス、AWS Single Sign-on (AWS SSO) が組み込まれています。ユーザー認証の管理は、AWS SSO を使用して、AWS Control Tower に接続されたディレクトリが行います。各ユーザーに割り当てられたアカウントアクセスおよび付与されたアクセス許可のレベルによって、認証が判断されます。 AWS SSO はアクセス許可のセットを使用します。これは、ユーザーのアクセス許可が、所定の AWS アカウントにアクセスするために有効かどうかを判断する、管理者定義ポリシーのコレクションです。アクセス許可のセットには、AWS が管理するポリシーまたは AWS SSO に保存されているインラインポリシーのいずれかが含まれています。ポリシーとは、基本的に、1 つまたは複数のアクセス許可ステートメントのコンテナとして機能するドキュメントのことです。所定の AWS アカウント内でユーザーがどのアクションを実行できるかまたはできないかは、これらのステートメントが判断します。アクセス許可のセットは […]

Read More

AWS Control Tower アクションの追跡、およびワークフローの自動トリガーへのライフサイクルイベントの使用

現在、新規アカウントの作成やプロビジョニングに、AWS Control Towerをご利用になっているお客様が多く見受けられます。こういったお客様は、環境の作成に、AWS のネイティブなソリューションの使用をご希望されます。それが明文化された AWS のベストプラクティスに則っていることをご存知だからです。お客様は、作成したアカウントのスケーリングを行う際に、アカウントをさらに強化できる Control Tower の追加的な機能を利用することもできます。今回の記事では、ライフサイクルイベントの使用方法をご紹介していきます。これは、Control Tower’s Account Factory を使用して新しいアカウントを作成するなどのアクションが完了したことを追跡できるようにする、Control Tower における機能の 1 つです。今回は、このライフサイクルイベントで、自動化したワークフローをトリガーする方法についても、合わせてご紹介します。この記事では、次のようなサービスを使用しています。 AWS Control Tower AWS Service Catalog AWS CloudTrail Amazon CloudWatch Events Amazon SNS 背景 AWS Control Tower では、Well-Architected なマルチアカウントの AWS 環境構築のために、AWS Organizations、AWS IAM、AWS Config、AWS CloudTrail、および AWS Service Catalog などの AWS のサービスを複数使用します。これにより、組織単位 (OU) の中のアカウントでガードレールを有効化するなどのアクションを Control Tower が実行する際には、多くのプロセスが実行され、各サービスに対しては膨大な数の API 呼び出しが送られることになります。 […]

Read More

AWS Control Tower が東京リージョンでご利用いただけるようになりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Control Tower が東京リージョンで利用可能となりましたのでお知らせいたします。 AWS Control Tower Control Tower はセキュアなマルチアカウント AWS 環境をセットアップおよび管理するために利用できるサービスです。複数の AWS アカウントやチームがある場合、クラウドのセットアップと管理はそれぞれのコンプライアンスポリシーなどに照らし合わせて設定を行う必要があり、複雑で時間のかかる作業になってしまうケースが多くあります。Control Tower では、新しくセキュアなマルチアカウントの AWS 環境を、セットアップし管理するための最も簡単な方法が提供され、AWS が何千ものエンタープライズのクラウド移行業務を通して確立した、ベストプラクティスに基づいて開発されています。 Control Tower を用いて一度ガバナンスとベストプラクティスを設定した後は、追加の AWS アカウントは、数クリックだけでプロビジョニングすることができるようになります。

Read More

AWS Control Tower 環境での Okta と AWS Single Sign-On の統合

この記事は Integrating Okta with AWS Single Sign-On in an AWS Control Tower environment を翻訳したものです。 AWS Control Tower は、AWS Single Sign-On (AWS SSO) とのすぐに使用できるネイティブ統合を提供し、ユーザー、ロール、マルチアカウントアクセスを管理します。お客様の組織によっては、外部アイデンティティプロバイダーとの統合による認証と承認の処理など、より複雑な SSO 要件があります。Okta は、クラウド向けに構築されたエンタープライズグレードの ID 管理サービスですが、多くのオンプレミスアプリケーションと互換性があります。AWS Marketplace で Okta を見つけて登録することができます。このブログ投稿では、Okta でユーザー、エンタイトルメント、アカウント、ロールを管理できるように、AWS Control Tower、AWS SSO、Okta を外部 ID プロバイダーとして統合する方法を説明します。

Read More

CloudKnox と AWS Control Tower を使用して AWS でのマルチアカウントのアクセス許可管理を自動化

この記事は、AWS の ISV ソリューションアーキテクチャリーダーであるKanishk Mahajan、CloudKnox の カスタマーサクセス責任者であるゲスト寄稿者 Maya Neelakandhan 氏によるAutomate multi account permissions management in AWS using CloudKnox and AWS Control Towerを翻訳したものです。 はじめに AWS のアクセス許可管理により、セキュリティチームとクラウドインフラストラクチャチームは、ID アクセス許可の誤用からクラウドリソースを保護できます。クラウドセキュリティでは、AWS 組織内のすべての AWS アカウントで、最小権限ポリシーを継続的に適用する必要があります。 マルチアカウント戦略を持つことは、リソースの分離を強化するためのベストプラクティスです。また、規制やコンプライアンスのニーズを満たし、オペレーションコストを追跡し、セキュリティをさらに強化するのにも役立ちます。AWS Control Tower は、AWS のベストプラクティスを使用して、Well-Architected マルチアカウントのベースラインを確立します。また、AWS アカウント全体でのガバナンスも有効にします。多くのお客様は、AWS Control Tower を使用してマルチアカウントの AWS 環境を管理および統制しています。AWS Control Tower を使用したマルチアカウント AWS 環境の管理の詳細については、「AWS Control Tower の使用開始」を参照してください。 CloudKnox は APN アドバンストパートナーです。<a

Read More