AWS Control Tower の特徴

ランディングゾーンは、Well-Architected によるマルチアカウントの AWS 環境で、セキュリティとコンプライアンスのベストプラクティスに基づいています。AWS Control Tower では、ID、フェデレーティッドアクセス、アカウント構造のためのベストプラクティスのブループリントを使用して、新しい Landing Zone のセットアップを自動化します。Landing Zone に自動的に実装されるブループリントの例としては、以下のことを実行するものが挙げられます。

• AWS Organizations を使用してマルチアカウント環境を作成します。
• AWS IAM アイデンティティセンター (AWS SSO の後継) 内のデフォルトディレクトリを使用した ID 管理を提供します。
• AWS IAM アイデンティティセンター (AWS SSO の後継) を使用したアカウントへのフェデレーティッドアクセスを提供します。
• AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログを集中管理します。
• AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントセキュリティ監査を有効化します。

AWS Control Tower で設定されたランディングゾーンは、必須または強く推奨される一連のガードレールを使用して管理されます。これらのガードレールはお客様がセルフサービスのコンソールを通じて選択するもので、その使用によってアカウントと設定をポリシーに確実に準拠させることができます。

Account Factoryは、組織内の新しいアカウントのプロビジョニングを自動化するものです。設定可能なアカウントテンプレートです。これを使用することで、事前承認済みのアカウント設定を用いて新しいアカウントのプロビジョニングを標準化することができます。事前に承認されたネットワーク構成とリージョン選択を使用して Account Factory を構成し、構築者が AWS Service Catalog を使用して新しいアカウントを構成およびプロビジョンするためのセルフサービスを有効にすることができます。さらに、Account Factory for Terraform などの Control Tower ソリューションを利用して、エンドユーザーに配信する前に、ビジネスポリシーとセキュリティポリシーを満たす Control Tower 管理アカウントのプロビジョンとカスタマイズを自動化できます。

AWS Control Tower の包括的な制御管理は、最小特権の適用、ネットワークアクセスの制限、データ暗号化の適用など、最も一般的な制御目的を果たすために必要な制御の定義、マッピング、管理にかかる時間を短縮するのに役立ちます。新しいプロアクティブなコントロール機能は、AWS CloudFormation Hooks を活用して、有効にしたコントロールに準拠していないリソースの CloudFormation デプロイをプロアクティブに特定し、ブロックします。ポリシー違反につながるアクションを不許可にし、リソースのコンプライアンス違反を大規模に検出することができます。さらに、AWS のサービスと機能をより迅速に活用できるように、最新の設定と技術文書を入手することができます。

ガードレールは、セキュリティ、オペレーション、コンプライアンス向けの事前にパッケージ化されたガバナンスルールです。これらは、お客様が選択し、企業全体または特定のアカウントのグループに適用できます。ガードレールは簡単な英語で表現されています。これを使用することで、特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。各ガードレールには 2 つの特徴があり、1 つは予防用または検出用のいずれか、もう 1 つは必須または任意のいずれかになります。予防用ガードレールでは、意図を確立し、ポリシーに違反するリソースのデプロイを防止します (例えば、「すべてのアカウントで AWS CloudTrail を有効化する」)。検出用ガードレール (例えば、「Amazon S3 バケットに対する公開読み取りアクセスが許可されているかどうかを検出する」) は、デプロイされたリソースが違反していないかを継続的にモニタリングします。AWS Control Tower では、以下を実行することで、ガードレールを自動的に詳細な AWS ポリシーに変換します。

• AWS CloudFormation を使用して基本設定を確立する
• サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する
• AWS Config ルール (検出用ガードレール向け) を使用して設定変更を継続的に検出する
• AWS Control Tower ダッシュボードでガードレールのステータスを更新する
  

AWS Control Tower では、AWS のベストプラクティスおよびガバナンス向けの一般的なカスタマーポリシーに基づく厳選されたガードレールのセットを提供しています。必須のガードレールは、Landing Zone のセットアップの一部として自動的に使用されます。必須のガードレールの例では、以下のことが実行されます。

• AWS Control Tower や AWS CloudFormation で設定された AWS IAM ロールの変更を不許可にする
• ログアーカイブの公開読み取りアクセス設定の検出
• ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない
• クロスリージョンのネットワークを禁止する
  

また、任意のガードレールはいつでも有効にすることができます。任意のガードレールが有効な OU の配下でプロビジョニングされたすべてのアカウントでは、これらのガードレールが自動的に継承されます。任意のガードレールの例には、以下のようなものがあります。

• Amazon S3 バケットへの公開書き込みアクセスが許可されているかどうかの検出
• ルートユーザーの MFA が有効であるかどうかの検出
• Amazon EC2 インスタンスに接続された Amazon EBS ボリュームの暗号化が有効であるかどうかの検出

AWS Control Tower ダッシュボードでは、AWS 環境を継続して視覚的に確認できます。プロビジョンされた OU およびアカウントの数や有効化されたガードレールの数を表示したり、これらのガードレールに対する OU とアカウントのステータスを確認したりすることができます。また、有効化されたガードレールに関して、違反しているリソースのリストを確認することもできます。 

AWS Marketplace は、統合されたサードパーティの AWS Control Tower 向けソフトウェアソリューションの提供を開始しました。独立したソフトウェアベンダーが構築したソリューションは、マルチアカウント環境、集中型ネットワーク、運用インテリジェンス、セキュリティ情報イベント管理 (SIEM) などのインフラストラクチャと運用のユースケースでの問題を解決するのに役立ちます。