システムの規模が大きくなればなるほど、AWSを一つのアカウントで運用するのは難しくなっていきます。しかし、マルチアカウント環境を構築するためには、ポリシーの設計を細かく定める必要があり、管理も煩雑になりがちです。かといってアカウント管理が不十分だと、インシデントの温床になりかねません。そこでおすすめしたいのが、「AWS Control Tower」です。
今回の記事では、AWS Control Towerの基本機能や利用するメリット、料金体制などを解説していきます。簡単にマルチアカウントを導入し、効率よく運用するためのヒントとしてください。
目次
AWS Control Towerとは
まず、AWS Control Towerのサービスの概要から確認していきましょう。
AWS Control Towerとは、AWS上でセキュアなマルチアカウント環境を自動でセットアップでき、安全に複数のアカウントを管理・運用できるサービスです。AWS Control Towerを活用すれば、AWSの考えるベストプラクティスに沿った形で、効率的かつ安全なマルチアカウント環境をすぐに構築できます。適切に設計されたマルチアカウント環境のセットアップも30分以内に完了できるうえ、各アカウントのポリシーやセキュリティ設定の一元管理も可能です。
AWS Organizationsとの違い
AWS Control Towerと似たサービスとしてよく比較されるのが、「AWS Organizations」です。どちらもマルチアカウントを管理するためのサービスですが、目的が異なります。AWS Control Towerがマルチアカウント環境のセットアップの整備に特化しているのに対し、AWS Organizationsは、セットアップ後に行うアカウント作成やセキュリティ制御(SCP)を設定するためのサービス、という位置づけです。まず、AWS Control Towerを使用してマルチアカウント環境をセットアップし、次にAWS Organizationsを使い、より細かな設定を進めていくと捉えるとわかりやすいでしょう。
AWS Control Towerは、マルチアカウント環境を構築する「まとめ役」のようなイメージです。マルチアカウント環境を適切に整備するために必要なAWS Organizationsや、AWS Service CatalogなどのAWSサービス群を統制するポジションに位置し、それらにAWSのベストプラクティスに沿ったさまざまな設定を投入していく役割を担っています。一方、AWS Organizationsは、より細かな設定を施す役割を担っています。
今回挙げたAWS Organizationsについては、下記記事で詳しく紹介しています。併せてご確認ください。
AWS Organizations完全ガイド|制御の仕組みとメリットを徹底解説!|AWS活用法
AWS Control Towerの料金
AWS Control Tower自体を利用する分には、追加料金は発生しません。ただし、AWS Control Towerを介して他のAWSサービスを使う場合は、サービスごとに料金がかかります。具体例として、東京リージョンにAWS Control Tower をセットアップする際にかかる、料金の概算を見てみましょう。
AWS Control Towerを導入する際は、セットアップに必須のランディングゾーン作成、および予防コントロールと検出コントロールの設定時に必要な、それぞれのサービスの料金が課金されます。また、セットアップ時に一度だけ発生する料金と、使い方次第で変動する継続的な料金があります。
【AWS Control Tower セットアップ時の料金例(東京リージョン)】
AWS Configで3つの設定項目を記録する際にかかる 0.009 USD、2つのルール評価を行う際にかかる0.002 USD。さらに、AWS CloudTrailで1,100件のイベント記録を行うと想定した場合は、0.022 USDが課金されます。また、マルチアカウントを運用するうえで必要なAWSサービスを利用するごとに、各サービスにかかる料金も課金されます。
以下は、東京リージョンでAWS Control Towerをセットアップする際にかかる料金の概算をまとめた表です。
セットアップ時に発生する料金(一回限り)
| 項目 | 内容 | 金額 | 備考 |
|---|---|---|---|
| AWS Config | 初期設定記録、ルール評価 | 0.011 USD | - |
| AWS CloudTrail | ランディングゾーン作成イベント記録 | 0.022 USD | 1,100件のイベントを想定 |
継続的に発生する料金
| 項目 | 内容 | 金額 | 備考 |
|---|---|---|---|
| Amazon S3 | ログアーカイブストレージ | 変動 | ストレージ量によって変動 |
| AWS CloudTrail | イベント記録 | 変動 | イベント数によって変動 |
| AWS Service Catalog | APIコール | 変動 | コール数によって変動 |
| AWS Config | ルール評価 | 変動 | 評価数によって変動 |
※そのほか、Amazon CloudWatch、Amazon SNSなどを利用する場合もあり
AWS Control Towerの主要機能と基本用語
続いて、AWS Control Towerを使ううえで理解しておきたい、主要な機能と基本用語を解説します。
ランディングゾーン
AWS Control Towerで最初に必要となる設定が「ランディングゾーン」です。ランディングゾーンとは、AWS上においてセキュアなマルチアカウント環境を構築するために必要な仕組みのことを指します。まず「ランディングゾーン」というコンテナを設定し、要件を決めた後、AWSのベストプラクティスに基づき、全アカウントの監査を行う「監査アカウント」やすべてのログを集約する「ログアーカイブアカウント」が自動生成されます。次に解説するコントロール設定も自動で適用されます。
コントロール(ガードレール)
「コントロール」は、AWS上でのセキュアな環境を実現するためのものです。「ガードレール」と呼ばれていることからもわかるように、意図しないミスや不正アクセスといったリスクのある危ない操作をしないよう事前に検知し、防止する仕組みです。ガードレールという名称はあくまで概念を指しており、AWS Control Tower上でガードレールの役割を果たす箇所のことを「コントロール」と呼んでいます。
コントロールは以下の3種類あり、組み合わせて設定することで、セキュアなマルチアカウント環境を実現できます。
予防コントロール
ポリシー違反につながるような、特定の操作を禁止するよう設定できます。具体的な実装方法は、AWS Organizationsを利用したセキュリティ制御(SCP)となるため、ここで設定する内容には、強い影響力が備わっています。
検出コントロール
リスクのある特定の操作や設定を検出し、アラート通知を行います。発見されたリスクのある設定は、AWS Control Towerのダッシュボードに表示される仕組みです。リスクのある設定が生じたアカウントやリソース名も同時に表示されるため、迅速に改善などのネクストアクションに移せます。
プロアクティブコントロール
予防コントロールや検出コントロールを強化するものです。プロビジョニング前にリソースをスキャンして、ポリシーや規制への準拠状態を確認し、もし非準拠だった場合にはリソースがプロビジョニングされないように設定できます。これにより、予防コントロールや検出コントロールで行われる前にセキュリティイベントの数を減らせるため、コスト削減や運用負荷の軽減につながります。
Account Factory
AWSアカウントを作成できる機能のことです。AWS Organizationsの機能の一つであるアカウント作成と同様に、組織(OU)に所属させた形でアカウントを作成できます。また、Account Factoryから作成すれば、ガードレールなどの設定も同時に適用可能です。
ダッシュボード
AWS Control Towerを使って構築したマルチアカウント環境にまつわる情報を、視覚的にわかりやすく管理できる機能のことです。さまざまな情報を一つの画面で確認できるため、効率的な運用が可能になります。ダッシュボードに表示される具体的な情報は、作成したアカウントの数や設定したガードレール数、ガードレールに従って検知されたアラート数など、運用しているAWSアカウントの使用状況を一目で確認できます。
AWS Control Towerを利用するメリット
AWS Control Towerを利用する主なメリットとしては、以下の3つが挙げられます。
セキュアなマルチアカウント環境をスムーズに構築・運用できる
AWS Control Towerの利点の一つは、AWSのベストプラクティスにのっとったマルチアカウント環境を自動でセットアップできることです。これにより、セキュアなマルチアカウント環境を手軽に構築できます。また、設定したコントロール(ガードレール)に基づいて、セキュリティリスクのある操作や設定を早期に通知してくれるため、インシデント発生を未然に防ぐ、リスク対処を行えるようになります。
AWSアカウントを効率的に一元管理できる
複数のアカウントを運用するとき、煩雑になりがちなアカウントの管理を、簡単に一括で行える点もAWS Control Towerのメリットです。複数のIDとパスワード情報は、定期的に情報の変更が必要になることもあり、管理が大変です。しかし、AWS Control TowerとIAM Identity Centerを組み合わせて活用することで、シングルサインオン機能を利用できるようになり、共通のアカウント画面で各アカウントに任意の権限を付与できます。これにより、各アカウントのIDやパスワードの管理がシンプルかつ簡単になるでしょう。またIAMと連携することで、より詳細な権限の設定も行えます。
ログの管理、追跡がしやすくなる
AWS Control Towerでマルチアカウントを運用する際は、ログ専用のアカウント「ログアーカイブアカウント」を新しく作成します。そこにすべてのログを集約するため、ログの管理や追跡が行いやすくなります。また、Amazon CloudWatch Logsと連携すれば、集約したログをリアルタイムで分析し、異常を検知した場合はアラートを通知するといった運用も可能です。
AWS Control Towerのユースケース
最後に、AWS Control Towerの具体的な活用方法として、3つのユースケースを紹介します。
マルチアカウントのセキュリティの統制
最も一般的なAWS Control Towerの活用法が、複数におよぶAWSアカウントのセキュリティ統制です。AWS Control Towerを用いてガードレールを設定することで、セキュリティリスクのある操作や設定が行われたとき、管理者が設定ミスに気づきやすくなります。これにより、インシデント発生を未然に防ぎ、各アカウントで行っていた煩雑なセキュリティ設定も簡素化できます。また、監査アカウントを使えば、リスクのある設定を検知した際、その設定が行われたリソースやアカウントを特定できるため、管理者はスムーズに対応できます。
ログの一元管理
先述の通り、AWS Control Towerを使えば、ログアーカイブアカウントに複数のアカウントのログをすべて集約できます。具体的には、AWS CloudTrailで記録されている操作履歴のログや、AWS Configで記録されているリソース変更履歴などの一元管理が可能です。これにより、複数のアカウントに散らばったログを毎回ログインして確認する、といった面倒な工程を省き、より効率的にログ管理を実現できます。
インシデント発生時の調査を進めやすくする
すべてのログをログアーカイブアカウントに集約して管理すれば、インシデント発生時の証跡としても有効活用できます。ログが普段使用しているアカウントに保存されたままですと、誰もがログにアクセスできる状態となってしまい、改ざんのリスクがあります。しかし、業務にまつわるすべてのログをログアーカイブアカウントに一元化すれば、他のアカウントからログにアクセスできなくなるため、改ざんリスクを大幅に軽減でき、証跡としての活用が期待できます。
まとめ
AWS Control Towerは、AWS Organizationsなどのサービスと組み合わせて活用することで、セキュアなマルチアカウント環境を簡単に構築・運用できます。複数アカウントの一元管理を実現できれば、大幅な業務の効率化に加え、コストの可視化やセキュリティリスクの軽減にもつながります。この機会にAWS Control Towerを活用した、AWSのマルチアカウント運用を導入してみてはいかがでしょうか。
もし「マルチアカウント環境の設計に困っている」や「ガードレール設定などに不安があり、導入に踏み切れない」といったお悩みがある場合は、TOKAIコミュニケーションズまでお気軽にご相談 
ください。豊富なAWS導入実績を持つAWSの専門家が、迅速かつ丁寧にサポートいたします。
関連サービス
おすすめ記事
-
2020.06.23
Amazon Connectで在宅勤務でも対応できる問合せ窓口を立ち上げてみた
-
2020.08.17
Datadogで実現するモニタリングとオペレーションのオートメーション化
-
2020.04.27
Amazon FSx for Windows ファイルサーバーへの移行と活用方法
-
2020.06.11
Amazon WorkSpacesとは?その特長をまとめてみた
-
2020.06.23
AWSのDevOpsサービスと当社マネージドサービスを活用したDevOpsの実装①~概念編~
