「AWS Control Tower」の正式提供を開始、サービスの一元管理に役立つ：セットアップを自動化

Amazon Web Services（AWS）は、マルチアカウントAWS環境を簡単にセットアップ、管理できるサービス「AWS Control Tower」の正式提供を開始した。企業環境の全てのアカウントで、AWSサービスを一元管理し、活用できる。

[＠IT]

　Amazon Web Services（AWS）は2019年6月24日（米国時間）、マルチアカウントAWS環境を簡単にセットアップでき、管理可能なサービス「AWS Control Tower」の正式提供を開始した。安全でコンプライアンスに準拠したAWS環境の構築に役立つ。

　6月24日時点では米国東部（バージニア北部）、米国東部（オハイオ）、米国西部（オレゴン）、欧州（アイルランド）の各リージョンで利用でき、他のリージョンでも順次利用できるようになる予定。AWS Control Towerサービスは無料で、同サービスが作成するAWSリソースについて課金される。

AWSの一元管理が可能に

　AWSは、今回のサービスを投入した背景を次のように説明している。

　「企業がAWSに移行すると、通常は多数のアプリケーションと分散したチームを所有することになる。多くの場合、セキュリティとコンプライアンスを一貫したレベルに維持しながら、チームが独立して作業できるよう複数のアカウントを作成する。さらに、AWSの管理サービスやセキュリティサービスを使用して、ワークロード全体を詳細に管理する。企業はこうした管理を維持しながら、環境内の全てのアカウントでAWSサービスを一元管理し、活用する方法を必要としていた」

　AWS Control Towerを用いたマルチアカウントAWS環境では、分散したチームが新しいAWSアカウントを迅速にプロビジョニングできる。新しいアカウントは、一元的に確立された全社的なコンプライアンスポリシーに整合する。これにより、AWSが開発チームに提供するスピードと敏捷（びんしょう）性を犠牲にすることなく、環境全体を管理できる。

AWS Control Towerの概要（出典：AWS）

　AWS Control Towerは、適切に設計された安全なマルチアカウントAWS環境である「ランディングゾーン」のセットアップを自動化し、AWSの管理サービスとセキュリティサービス（AWS Organizations、AWS Service Catalog、AWS Configなど）を設定する。

ランディングゾーンのセットアップ（出典：AWS）

　ランディングゾーンのセットアップはベストプラクティスに基づく。このベストプラクティスはAWSワークロードの安全な管理環境を構築するために、AWSが何千もの企業顧客と協力して確立したものだ。

　AWSは、AWS Control Towerのメリットとして、次の内容を挙げた。

AWS環境を迅速にセットアップ、設定できる

　数回クリックするだけで、マルチアカウントAWS環境をプロビジョニングできる。環境を管理するに当たり、AWSのセキュリティサービスと管理サービスを設定するためのベストプラクティスである「設計図」にアクセスできる。

　設計図は、アイデンティティー（ID）管理とAWSへのフェデレーションアクセスを提供する他、ロギングの一元管理、クロスアカウントセキュリティ監査の確立、ネットワーク設計の実装、アカウントのプロビジョニングワークフローの定義に使用できる。

継続的にポリシーを適用できる

　AWS Control Towerはポリシーを適用するに当たり、高度な必須ルールやオプションルールを提供する。これはサービスコントロールを使用してポリシーを適用する場合も、Config Rulesを使用してポリシー違反を検出する場合にも当てはまる。

　これらのルールは、アカウントを新規作成したり、既存のアカウントを変更したりすると、常に有効になる。さらにAWS Control Towerは、各アカウントがポリシーにどのように準拠しているか、概要レポートを提供する。

AWS環境の概要を可視化できる

　AWS Control Towerでは統合ダッシュボードが提供されるので、AWS環境の概要を確認し、アカウントに関する全ての情報を1箇所にまとめて表示できる。

　この他、プロビジョニングされたアカウント数やアカウント全体で有効になっているポリシー数、当該アカウントのコンプライアンスステータスに関する詳細も表示できる。

　AWSによると、AWS Control Towerでは、以下のような設計図を使用することで、AWSのベストプラクティスに基づいたセキュリティサービスと管理サービスを設定できる。

• マルチアカウント環境を作成するためのAWS Organizationsの設定
• AWS SSO（Single Sign-On）ユーザーとグループを使用したID管理の提供
• AWS SSOを使用したフェデレーションアクセス
• AWS CloudTrailとAWS Configを使用したロギングの集中管理
• AWS IAM（Identity and Access Management）を使用したクロスアカウントセキュリティ監査の有効化
• Amazon VPC（Virtual Private Cloud）を使用したネットワーク設計の実装
• AWS Service Catalogを使用した、アカウントのプロビジョニングワークフローの定義

　また、AWS Control Towerでは、ポリシーに従わないリソースのデプロイを防ぐことで、AWS環境全体に継続的なガバナンスを提供する高レベルのルールである「ガードレール」も利用できる。

　AWS Control Towerはガードレールを詳細なポリシーに自動的に変換し、AWS CloudFormationを使用して実装する。基盤となるサービスの設定変更を防止したり、AWS Configルールを通して変更を検出したり、セキュリティおよびコンプライアンスサービスからの検出結果をAWS Control Towerダッシュボードに報告したりできる。