Amazon Web Services ブログ
AWS マルチアカウント統制の要件検討アプローチ例
はじめに
我々、AWS のプロフェッショナルサービスは、クラウド活用に関するお客様固有のブロッカーを取り除くための支援をするチームです。お客様の役割は様々ですが、組織全体の AWS アカウント管理を担われているお客様をご支援するケースもあります。組織全体で AWS をセキュアに利用いただくためには、クラウド利用の社内規定やガイドラインの作成だけでなく、ルールを強制的に適用したり、非準拠状態を発見・報告したりするための仕組み(このブログでは複数の AWS アカウントを統制するための基盤として統制基盤と呼びます)の構築を推奨することもあります。一方で統制基盤を構築したいと考えているが、「統制基盤のあるべき姿をどのように定義すればよいかわからない」といったお悩みを抱えているお客様も多いのではないでしょうか。
安全なマルチアカウント AWS 環境をセットアップおよび管理するための最も簡単な方法として提供されている、AWS Control Tower が提供する機能は、初期の統制基盤の一つの解となります。AWS Control Tower は AWS 利用のベストプラクティスに基づいた機能が提供されているため、その採否によらずまずは AWS Control Tower が提供する機能に着目すると統制基盤の要件を決めやすくなります。本ブログではこのアプローチで実際に要件を整理していく例を紹介いたします。
アプローチの概要
AWS Control Tower は統制基盤の基本となる機能を提供しますので、この機能に絞って統制の要件を整理してみたいと思います。まず「AWS Control Tower が提供する統制の機能」にどのようなものがあるか、何が実現できるのかを理解します。その統制の機能を踏まえた上で、「AWS マルチアカウント統制の要件」を整理します。
これにより AWS マルチアカウント統制のゴールイメージを固めやすくなります。なお、より幅広い統制またはセキュリティ機能の全体像は「AWS Security Reference Architecture: A guide to designing with AWS security services(日本語ドキュメント)」で解説しております。
1 AWS Control Tower が提供する統制の機能の理解
AWS マルチアカウント統制で重要となる概念がランディングゾーンです。 ランディングゾーンは、「AWS のベストプラクティス」に基づいて構成したセキュアなマルチアカウント AWS 環境を、スケーラブルに展開していくための仕組みの総称です。 AWS Control Tower を利用すると、このランディングゾーンに必要な機能、管理用アカウントを一括してセットアップできます。これにより下記のような機能 を実装するための設計、テスト、実装にかかる作業負荷を大きく減らすことができます。詳しくは「AWS マルチアカウント管理を実現するベストプラクティスとは ?」をご参照ください。
AWS Control Tower で管理できる機能
(図1)AWS Control Tower で管理できる機能と検討ポイント
AWS Control Tower で管理できる機能 | AWS Control Tower で実現できること |
AWS アカウント開設とプロビジョニング |
|
ID 管理の一元管理、管理用権限の発行 |
|
AWS ログの集約 |
|
ガードレールの設置、通知設定 |
|
2 AWS マルチアカウント統制の要件を項目毎に整理
目指したい AWS マルチアカウント統制を、具体的な要件として明文化していきます。 AWS Control Tower で提供される機能も併記していますので、各項目で例えばどのような統制ができるのかをイメージしながら要件を決定できるかと思います。(この表には2022年11月現在の仕様に基づいて記載しています。最新の情報は AWS Control Tower のドキュメントにてご確認ください)
統制の対象
最初にどの AWS アカウントを統制の対象とするかを決めます。わかりやすい例として「組織で利用する全 AWS アカウントを統制する」という要件がある一方、システムの都合により利用中の AWS アカウントの設定を変えたくないケースなどもあるかもしれません。また統制の対象とした AWS アカウントを分類した上で、分類毎に統制方法を変える必要があるケースもあります。この要件を踏まえて、AWS Organizations の Organizational unit (OU) の構成を反映します。
要件項目 | 要件の例 | AWS Control Tower の機能 |
統制の対象とする AWS アカウントの範囲 | 利用中の AWS Organizations 配下の AWS アカウントと、新規に作成する AWS アカウントの全てを共通の統制基盤で一元的に管理する |
|
AWS アカウントの分類 | 以下2つの軸で AWS アカウントを分類した上で、統制レベルを分けて管理する
|
|
参考:
統制基盤の機能要件
統制の対象に対して、具体的にどのような統制機能が必要かを検討します。 AWS Control Towerで自動実装されるセキュリティ機能は、 AWS Control Towerを利用していないお客様でも統制において必須とされるケースが多いです。なお「要件の例」に記載した機能は、全て AWS Control Tower で自動実装することができます。
要件項目 | 要件の例 | AWS Control Tower の機能 |
監査ログの集約 | 全 AWS アカウントの監査ログ(AWS CloudTrail, AWS Config) を、独立した1つの AWS アカウントに集約する |
|
発見的ガードレール | 以下の設定を発見的ガードレール(AWS Config rules)で検出した上で、1つの AWS アカウントで確認する <例>
|
|
予防的ガードレール | 以下の操作を全ての AWS アカウントで禁止する <例>
|
|
ID 管理方式 | 対象の AWS アカウントで利用する利用者 ID を一元的に管理できる
|
|
各 AWS アカウントが利用するリージョン | 記載のリージョンを利用対象とした上で、その他のリージョンでの作業を拒否する
|
|
参考:
- 統合サービス/CloudTrail によるイベントのモニタリング
- AWS Control Tower のガードレール
- ガードレールリファレンス – 必須のガードレール
- AWS Control Tower の使用開始方法
- AWS Control Tower で AWS リージョンを使用する方法
統制基盤の非機能要件
統制基盤検討においては「新しい統制機能の運用」、「統制の可用性」などの非機能要件も定義する必要があります。また既に現環境で統制機能を実装している場合は「新しい統制基盤への移行の難易度」を評価する必要があります。下表では AWS Control Tower の提供する機能と現環境の統制機能が重複した場合を想定し、活用できる機能にも言及しています。
要件項目 | 要件の例 | AWS Control Tower の機能 |
ガードレールの変更管理 | 新しいガードレール(SCP, AWS Config rules)が必要となった場合は、全 AWS アカウントに一斉に反映する |
|
AWS アカウントのライフサイクル管理 | AWS アカウント作成、ベースラインの実装を効率的に実施できる |
|
障害発生時における統制の継続 | リージョン単位の障害があった場合でも、ガードレールによる統制を継続できる |
|
利用中の AWS アカウントの統制基盤からの移行 | 利用中の AWS Organizations における統制のための AWS アカウントを活用する
|
|
参考:
3 AWS マルチアカウント統制のゴールに向けた次のステップ
このように最低限必要となる統制基盤の要件を固めたことで、要件に対応する実装方針も決めやすくなります。特に要件を実現するサービスとして、AWS Control Tower の採否を決める場合、上記までで整理した要件との適合度に加えて、AWS Control Tower 固有の考慮ポイントも参考にして導入の難易度を評価します。
AWS Control Tower の考慮ポイントの例
- 既存 AWS Organizations を利用する場合と、新規に AWS Organizations を構築する場合の手順が異なる
- 予防的ガードレール (SCP) と発見的ガードレール (AWS Config rules) の中で、必須で適用されるもの、選択可能なものがある
- AWS Control Tower の管理対象とするリージョンが選択できる一方で、管理外としたリージョンにおいてもマルチリージョンで実装される CloudTrail, SCP は有効となる
- AWS Control Tower で追加される SCP や AWS CloudFormation StackSets などのリソースによって、クォータ (設定量の上限) を超えないように設計する
- AWS Control Tower の予防的ガードレール (SCP)、発見的ガードレール (AWS Config rules) に無い項目を付け加えたい場合は、各機能のコンソールまたは「AWS Control Tower のカスタマイズ (CfCT)」を活用して実装することができる
最後に
本ブログでは、AWS Control Tower の機能に着目して AWS マルチアカウント統制の要件を整理する手法の例をご紹介いたしました。このアプローチにより統制基盤に求められる要件を効率的に決定し、実装につなげることができると考えます。
プロフェッショナルサービスでは、このような検討を含めクラウドのセキュリティや統制のノウハウを様々なお客様とともに育んでいます。今後も様々な形で皆様のビジネス推進におけるセキュアなクラウド活用をご支援していきますのでご期待ください。
このブログの著者
須田 聡(Suda, Satoru) プロフェッショナルサービス本部 シニアセキュリティコンサルタント |
中村 賢介(Nakamura, Kensuke) プロフェッショナルサービス本部 シニアセキュリティコンサルタント |
畠中 亮(Hatanaka, Ryo) プロフェッショナルサービス本部 シニアセキュリティコンサルタント |