Landing Zone
Landing Zone は、優れた設計によるマルチアカウントの AWS 環境で、セキュリティとコンプライアンスのベストプラクティスに基づいています。AWS Control Tower では、ID、フェデレーティッドアクセス、アカウント構造のためのベストプラクティスの設計図を使用して、新しい Landing Zone のセットアップを自動化します。Landing Zone に自動的に実装される設計図の例としては、以下のことを実行するものが挙げられます。
- AWS Organizations を使用してマルチアカウント環境を作成する
- AWS Single Sign-On (SSO) のデフォルトのディレクトリを使用して ID 管理を提供する
- AWS SSO を使用してアカウントにフェデレーティッドアクセスを提供する
- AWS CloudTrail のログや、Amazon S3 に保存される AWS Config のログを集中管理する
- AWS IAM および AWS SSO を使用してクロスアカウントセキュリティ監査を有効化する
AWS Control Tower でセットアップされた Landing Zone は、必須または強く推奨される一連のガードレールを使用して管理されます。これらのガードレールはお客様がセルフサービスのコンソール機能を通じて選択するもので、その使用によってアカウントと設定をポリシーに確実に準拠させることができます。
アカウントファクトリー
アカウントファクトリーは、組織内の新しいアカウントのプロビジョニングを自動化するもので、設定可能なアカウントテンプレートです。これを使用することで、事前承認済みのアカウント設定を用いて新しいアカウントのプロビジョニングを標準化することができます。アカウントファクトリーは、事前承認済みのネットワーク設定やリージョン選択を使用して設定できます。また、ビルダー用のセルフサービスを有効化できるため、AWS Service Catalog を使用して新しいアカウントを設定およびプロビジョニングすることが可能になります。
予防用および検出用のガードレール
ガードレールは、セキュリティ、オペレーション、コンプライアンス向けの事前にパッケージ化されたガバナンスルールです。これらは、お客様が選択し、企業全体または特定のアカウントのグループに適用できます。ガードレールは簡単な英語で表現されています。これを使用することで、特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。各ガードレールには 2 つの特徴があり、1 つは予防用または検出用のいずれか、もう 1 つは必須または任意のいずれかになります。予防用ガードレールでは、意図を確立し、ポリシーに違反するリソースのデプロイを防止します (例: すべてのアカウントで AWS CloudTrail を有効化する)。検出用ガードレール (S3 バケットに対するパブリック読み取りアクセスを禁止する) では、デプロイされたリソースが違反していないかを継続的にモニタリングします。Control Tower では、以下を実行することで、ガードレールを自動的に詳細な AWS ポリシーに変換します。
- AWS CloudFormation を使用して基本設定を確立する
- サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する
- AWS Config ルール (検出用ガードレール向け) を使用して設定変更を継続的に検出する
- Control Tower ダッシュボードでガードレールのステータスを更新する
必須および任意のガードレール
AWS Control Tower では、AWS のベストプラクティスおよびガバナンス向けの一般的なカスタマーポリシーに基づく厳選されたガードレールのセットを提供しています。必須のガードレールは、Landing Zone のセットアップの一部として自動的に使用されます。必須のガードレールの例では、以下のことが実行されます。
- AWS Control Tower 向けの IAM ロール設定への変更を禁止する
- ログアーカイブに対するパブリック読み取りアクセスを禁止する
- ログアーカイブに対するポリシーの変更を禁止する
また、強く推奨されるガードレールを OU でいつでも有効化できます。有効な OU の配下でプロビジョニングされたすべてのアカウントでは、これらのガードレールが自動的に継承されます。強く推奨されるガードレールの例では、以下のことが実行されます。
- Amazon Simple Storage Service (Amazon S3) バケットへのパブリック書き込みアクセスを禁止する
- 多要素認証なしでルートユーザーとしてアクセスすることを禁止する
- Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされている Amazon Elastic Block Store (Amazon EBS) ボリュームに対して暗号化を有効化する
ダッシュボード
Control Tower ダッシュボードでは、AWS 環境を継続して視覚的に確認できます。プロビジョニングされた OU およびアカウントの数や有効化されたガードレールの数を表示したり、これらのガードレールに対する OU とアカウントのステータスを確認したりすることができます。また、有効化されたガードレールに関して、違反しているリソースのリストを確認することもできます。
AWS Marketplace での AWS Control Tower のソリューション
AWS Marketplace は、統合されたサードパーティの AWS Control Tower 向けソフトウェアソリューションの提供を開始しました。独立したソフトウェアベンダーが構築したソリューションは、マルチアカウント環境、集中型ネットワーキング、運用インテリジェンス、セキュリティ情報イベント管理 (SIEM) などのインフラストラクチャと運用のユースケースでの問題を解決するのに役立ちます。