AWS Control Towerでマルチアカウント環境を管理する
企業や組織のパブリッククラウド移行が進む中で、複数のAWSアカウントを持つ「マルチアカウント」の環境も増えてきました。マルチアカウントの良さがある一方で、セキュリティルールの適用が難しく、ガバナンスの点での問題も出てきています。
今回はAWSのアカウントの考え方から、AWS Control Towerの概要をご紹介します。
目次[非表示]
- 1.マルチアカウント構成の意義と考慮点
- 1.1.そもそも、アカウントとは
- 1.2.マルチアカウントの意義
- 1.3.マルチアカウント環境の問題
- 2.AWS Control Towerとは
- 3.AWS Control Towerの機能
- 3.1.セキュリティ統制の徹底
- 3.2.アカウント管理
- 3.3.ログ収集・管理
- 3.4.ベストプラクティスなマルチアカウント統制を簡単に実装できる
- 4.AWS Control Towerを取り入れたいと思ったら
マルチアカウント構成の意義と考慮点
そもそも、アカウントとは
AWSでクラウドサービスを利用する場合、まずアカウントを作成します。アカウントのルートユーザーがそのアカウント内のすべての権限を持ち、AWS内のアクセスコントロール機能である「AWS Identity and Access Management (IAM)」を使用し、ID と AWS のサービスおよびリソースへのアクセス管理を行います。
このアカウントの単位でネットワークやリソース管理を行い、またそれを元に請求管理を管理することができます。
マルチアカウントの意義
企業内や部署内で、いくつものAWS環境を持つことも珍しくありませんが、AWSではそれらの環境をアカウント単位で分け、複数のアカウントを存在させること、つまり「マルチアカウント」の構成を推奨しています。
マルチアカウントのメリットとして次の3点が挙げられています。
マルチアカウントのメリット
- セキュリティ境界
- リソースの分離
- 請求の分離
対して、単一のアカウントのデメリットを次のように紹介されています。
単一のAWSアカウントだけで全てを構成した場合
- 「グレーな」境界
- 時間経過に伴って複雑で管理が面倒
- リソースのトラッキングが困難
- 責任の範囲が不明確
組織内の部署単位やチーム単位などでアカウントを持ち運用することで、メンバー管理が容易になる、リソースや請求が分けられ自由度を持って構築や開発を行うことができます。
マルチアカウント環境の問題
しかしながら、マルチアカウントにも問題があります。
- 管理が煩雑になる
たしかにアカウントを分けると、そのアカウント内部の管理は楽になります。しかしながら、組織側から考えると、それぞれのアカウントに誰がアクセスでき、どんな権限を持っていて、そのアカウント内で何をしているのか、把握することや管理することが非常に難しくなります。 - セキュリティ・ガバナンスの統制が難しい
1つ目に関連し、権限を各部署やアカウント内の裁量に任せることができてしまうため、社内全体のセキュリティルールから逸脱する恐れがあります。ガバナンスが効いている状態ではなく、セキュリティインシデントなどに発生する危険性があります。
このようなマルチアカウントの管理問題を解決するサービスが、「AWS Control Tower」です。
AWS Control Towerとは
「AWS Control Tower」とは、マルチアカウント環境をベストプラクティスに沿って簡単にセットアップすることができる、マネージドサービスです。ガバナンスの効いたランディングゾーン(Landing Zone)と呼ばれるマルチアカウント環境を構成し、その配下において、組織のアカウントを管理することができます。
「ガードレール」と呼ばれるルール群を設定することで、アカウントの権限設定を簡単に行うことができます。
マルチアカウントの管理を行うためには、アカウント横断的な操作や、各種アクセスコントロールを実施するサービスを組み合わせて制御する必要がありますが、AWS Control Towerは、マネージドサービスであるため、直感的にベストプラクティスなアカウント管理を実現することができます。
AWS Control Towerの機能
ここでは、AWS Control Towerの代表的な機能をご紹介します。
セキュリティ統制の徹底
AWS Control Towerではセキュリティに関するルールを「ガードレール」としてコントロールを設定し、どのアカウントグループに適用するかを設定するだけで、簡単にルールの適用ができます。
また、AWS Organizationsの統合アカウントに対して、セキュリティ集約・検知をおこなう「AWS Security Hub」、不正検知を行う「AWS GuardDuty」、脆弱性診断を行う「Amazon Inspector」、IAMのポリシー検証・検出を行う「IAM Access Analyzer」といった複数のセキュリティ検知サービスの自動有効化設定が可能です。
アカウント管理
AWS Control Towerには「Account Factory」というアカウントテンプレートの機能があり、ランディングゾーン内に設定したコントロールやログ集約のルールをあらかじめ適用されたアカウントを作成することが可能です。これにより、新規アカウント作成時にもガバナンスを適用することができます。
ログ収集・管理
AWS Control Towerでランディングゾーンを構成すると、ログアーカイブアカウントが作られ、AWS Cloud TrailやAWS Configなどのログを一元管理することができます。
ベストプラクティスなマルチアカウント統制を簡単に実装できる
このように、AWS Control TowerはAWSの各サービスを組み合わせ、ベストプラクティスな設定を簡単に適用することができます。ランディングゾーン内のすべてのアカウントに自動で適用することができるといった点で、セキュリティルールから漏れたアカウントが出現することを防ぐことができ、ガバナンス統制が容易に実現可能です。
AWS Control Towerを取り入れたいと思ったら
さらなる学びのための参考情報
AWS Control Towerについて、詳細な情報はAWSより提供されている情報もぜひチェックしてみてください。
AWS Control Tower 導入支援サービス
Kyriosでは、AWS Control Tower導入支援サービスを提供しています。導入方法やガードレールの検討をする「導入支援」、お客様のご希望に応じたレベルでの運用を行う「運用支援」で、一貫したサポートを行います。
詳細は下記のページよりご覧いただくか、お問合せください。