ランディングゾーン

ランディングゾーンは、セキュリティとコンプライアンスのベストプラクティスに基づいた、Well-Architected によるマルチアカウントの AWS 環境です。AWS Control Tower では、ID、フェデレーションアクセス、そしてアカウント構造に関するベストプラクティスのブループリントを使用して、新しいランディングゾーンのセットアップを自動化します。 

ランディングゾーンに自動的に実装されるブループリントの例としては、次のようなものがあります。

  • AWS Organizations を使用してマルチアカウント環境を作成します。
  • AWS IAM アイデンティティセンター内のデフォルトディレクトリを使用して ID 管理を提供します。
  • IAM アイデンティティセンターを使用してアカウントにフェデレーションアクセスを提供します。
  • AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログを集中管理します。
  • IAM アイデンティティセンターを使用して、クロスアカウントでのセキュリティ監査を有効にします。

ランディングゾーン内では、ログの保持、AWS CloudTrail 証跡、AWS KMS キー、および AWS アカウントへのアクセスを設定できるオプションがあります。AWS Control Tower によって設定されたランディングゾーンは、必須およびオプションのコントロールのセットで管理されます。必須コントロールは常に AWS Control Tower がお客様に代わって適用しますが、オプションコントロールはお客様固有のニーズに基づいて自身で選択できるため、アカウントと設定がお客様のポリシーに準拠していることを確認できます。 

Account Factory

Account Factory は、組織内の新しいアカウントのプロビジョニングを自動化します。設定可能なアカウントテンプレートとして、AWS Control Tower の事前定義済みアカウントブループリントとデフォルトのリソース、設定、または VPC 設定を使用して、新しいアカウントのプロビジョニングを標準化するのに役立ちます。事前に承認されたアカウント設定に加えて、独自のカスタムアカウントリソースと要件を定義して実装することもできます。事前に承認されたネットワーク設定と AWS リージョンの選択を使用して Account Factory を設定することで、ビルダーが新しいアカウントを設定してプロビジョニングするためのセルフサービスを有効にします。さらに、Terraform 用 Account Factory などの AWS Control Tower ソリューションを利用して、Terraform の AWS Control Tower が管理するビジネスポリシーとセキュリティポリシーを満たすアカウントのプロビジョニングとカスタマイズを自動化してからエンドユーザーに配信できます。

包括的なコントロール管理

AWS Control Tower の包括的なコントロール管理は、最小特権の適用、ネットワークアクセスの制限、データ暗号化の適用など、最も一般的な制御目的を果たすために必要な制御の定義、マッピング、管理にかかる時間を短縮するのに役立ちます。

コントロールは、セキュリティ、オペレーション、コンプライアンスに関するあらかじめパッケージ化されたガバナンスルールです。企業全体または特定のアカウントのグループを選択して適用できます。コントロールは簡単な英語で表現されています。これを使用することで、特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。コントロールには、検出的、予防的、積極的があり、必須でも任意でもかまいません。

検出的コントロール (たとえば、「Amazon S3 バケットに対する公開読み取りアクセスが許可されているかどうかを検出する」) は、デプロイされたリソースの不適合を継続的にモニタリングします。予防的コントロール (たとえば、「すべてのアカウントで AWS CloudTrail を有効化する」) は、意図を明確にし、ポリシーに準拠しないリソースのデプロイを防止します。新しい積極的コントロール機能は、AWS CloudFormation Hooks を活用して、有効にしたコントロールに準拠していないリソースの CloudFormation デプロイを積極的に特定し、ブロックします。ポリシー違反につながるアクションを不許可にし、リソースのコンプライアンス違反を大規模に検出することができます。さらに、AWS のサービスと機能をより迅速に活用できるように、最新の設定と技術文書を入手することができます。

ダッシュボード

AWS Control Tower ダッシュボードでは、AWS 環境を継続して視覚的に確認できます。プロビジョニングされた OU とアカウントの数や、有効化なコントロール数を表示したり、OU とアカウントのステータスをそれらのコントロールと照合できます。また、有効なコントロールに関して、違反しているリソースのリストを表示できます。 

AWS Marketplace での AWS Control Tower のソリューション

AWS Marketplace は、統合されたサードパーティの AWS Control Tower 向けソフトウェアソリューションの提供を開始しました。独立したソフトウェアベンダーが構築したソリューションは、マルチアカウント環境、集中型ネットワーク、運用インテリジェンス、セキュリティ情報イベント管理 (SIEM) などのインフラストラクチャと運用のユースケースでの問題を解決するのに役立ちます。

AWS Control Tower の概要
AWS Control Tower の概要を確認する
概要 
Getting started
AWS Control Tower の料金をチェックする
詳細はこちら 
AWS Marketplace
AWS Marketplace で AWS Control Tower のソリューションを見つける
詳細はこちら