AWS Control Tower の特徴

アカウントファクトリーは、組織内の新しいアカウントのプロビジョニングを自動化するもので、設定可能なアカウントテンプレートとして、AWS Control Tower の事前定義済みアカウントブループリントとデフォルトのリソース、設定、または VPC 設定を使用して、新しいアカウントのプロビジョニングを標準化するのに役立ちます。事前に承認されたアカウント設定に加えて、独自のカスタムアカウントリソースと要件を定義して実装することもできます。事前に承認されたネットワーク設定と AWS リージョンの選択を使用して Account Factory を設定することで、ビルダーが新しいアカウントを設定してプロビジョニングするためのセルフサービスを有効にします。さらに、Account Factory for Terraform などの AWS Control Tower ソリューションを利用して、Terraform で AWS Control Tower によって管理されるアカウントのプロビジョニングとカスタマイズを自動化し、ビジネスポリシーとセキュリティポリシーを満たすようにしてから、エンドユーザーに配信できます。

AWS Control Tower の包括的なコントロール管理は、最小特権の適用、ネットワークアクセスの制限、データ暗号化の適用など、最も一般的な制御目的を果たすために必要な制御の定義、マッピング、管理にかかる時間を短縮するのに役立ちます。

コントロールは、セキュリティ、オペレーション、コンプライアンスに関するあらかじめパッケージ化されたガバナンスルールです。企業全体または特定のアカウントのグループを選択して適用できます。コントロールは簡単な英語で表現されています。これを使用することで、特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。コントロールには、検出的、予防的、積極的があり、必須でも任意でもかまいません。

検出的コントロール (たとえば、「Amazon S3 バケットに対する公開読み取りアクセスが許可されているかどうかを検出する」) は、デプロイされたリソースの不適合を継続的にモニタリングします。予防的コントロール (たとえば、「すべてのアカウントで AWS CloudTrail を有効化する」) は、意図を明確にし、ポリシーに準拠しないリソースのデプロイを防止します。プロアクティブコントロール機能は、AWS CloudFormation Hooks を利用して、有効にしたコントロールに準拠していないリソースの CloudFormation デプロイをプロアクティブに特定し、ブロックします。ポリシー違反につながるアクションを不許可にし、リソースのコンプライアンス違反を大規模に検出することができます。さらに、AWS のサービスと機能をより迅速に活用できるように、最新の設定と技術文書を入手することができます。

AWS Control Tower ダッシュボードでは、AWS 環境を継続して視覚的に確認できます。プロビジョニングされた OU とアカウントの数や、有効化なコントロール数を表示したり、OU とアカウントのステータスをそれらのコントロールと照合できます。また、有効なコントロールに関して、違反しているリソースのリストを表示できます。 

AWS Marketplace は、AWS Control Tower 向けの統合サードパーティーソフトウェアソリューションの提供を開始しました。独立したソフトウェアベンダーが構築したソリューションは、マルチアカウント環境、集中型ネットワーク、運用インテリジェンス、セキュリティ情報イベント管理 (SIEM) などのインフラストラクチャと運用のユースケースでの問題を解決するのに役立ちます。