インフラ

AWS Control Towerワークショップをやってみた

control tower

こんにちは、ちゃりおです。

Control Towerが2021/4に東京リージョンでも使用できるようになりました。
気になっているサービスだったため、公式のワークショップやってみました。

Contents

AWS Control Towerとは

AWSアカウントの作成時の初期設定や、マルチアカウント環境でのポリシーの準拠を楽にしてくれるサービスです。
例えば、AWS Control Tower経由でアカウントを作成すると、CloudTrailを自動化してくれたり予め指定したConfigを適用してくれたりします。

AWS Control Tower は、抽象化またはオーケストレーションいくつかの他の機能を組み合わせて統合するレイヤーAWS サービス(AWS Organizations、AWS シングルサインオン、AWS Service Catalog など) AWS Control Tower では、数千の企業との連携で確立されたベストプラクティスに基づいて、安全性と適合性を備えた、複数アカウントの AWS 環境を設定および管理する最も簡単な方法が利用できます。

AWS Control Tower

AWS Control Towerワークショップとは

AWSが公式でワークショップを提供しています。
日本語版もありますが、英語版のほうがコンテンツ多いです。

すべてやると結構なボリュームになります。

Control Tower Workshops

ワークショップやってみた

今回は基本的な部分(Coreラボ)をやりました。

AWS Control Tower のデプロイ

まずはControl Towerのデプロイです。
作業自体はシンプルですが、AWS Control Towerの立ち上げには60分以上かかります。

監査用、ログアーカイブ用のAWSアカウントを作成するためメールアドレスが複数必要です。
gmailとかのエイリアス(+つけるやつ)でメールアドレス設定すると楽だと思います。

アカウントファクトリー

ControlTower経由で、AWSアカウント作成します。

やることは以下です。

AWS Control Towerのダッシュボードで組織単位 (OU) を作成し、ガードレールを有効化します。
アカウントファクトリーのネットワーク設定ベースラインを変更します。
AWS Control Tower管理者ユーザーとしてアカウントファクトリーを使用し、新しいAWSアカウントを作成します。
[オプション] アカウントファクトリーを使用するための非管理者権限を持つユーザー/グループを指定します。
LAMPスタックをベースにしたWebアプリケーションを起動し、デフォルトで全世界に向けてSSHポートを開放します。
AWS Control Towerで捕捉した違反を調査し、是正措置を講じます。

違反しているルールこんな感じで検知されます。

検証用に作ったアカウントのクローズですが、Control Towerからアカウント自体を直接削除できないみたいです。

以下の流れで行う必要がありました。
ControlTowerからアカウントを管理解除>該当アカウントにメールアドレスでログインしてアカウントの閉鎖

閉鎖もできたら便利だなーと思いました。

アカウント ファクトリー – 既存のアカウント

一つ前のラボでは新規にAWSアカウントを作成しましたが、次は既存のアカウントをControl Tower管理下に入れる方法です。

control tower OUとアカウント確認

管理対象への追加は、OU単位・アカウント単位どちらでも可能です。
OU単位のほうが手順はシンプルでした。

Control Tower のタスク

Coreラボの最後は、管理タスクについてです。

AWS Control Tower 環境で複数のアカウントにアクセスします。
事前に設定されたユーザーグループを使用して、監査人を有効にします。
[Optional] OU の作成/削除方法について。
[Optional] OU のガードレールの有効化/無効化について。
ドリフトを処理します。
全アカウントに渡る課金情報へアクセスします【24 時間分のデータが必要】。
AWS Control Tower Dashboard のウォークスルー。

個人的に便利だと思ったのは、ドリフト検出です。
ControlTowerのルールを管理対象アカウントのユーザーが誤って変更した際に、検出できるのは安心感があります。
せっかくルールを作ったのに、各アカウントで無効にしているという自体を防げそうです。

まとめ

ControlTowerのワークショップをやってみました。
使用することで、AWSアカウントの作成やポリシーの適用がかなり楽にできそうです。

Amzonで「AWS」の本を見てみる

楽天で「AWS」の本をみてみる!!

ECR
CDKで作成したECRをスタック削除時に同時に削除されるようにするこんにちは、ちゃりおです。 デフォルトではCDKでECRを作成して、「cdk destroy」で削除したときにECRのリポジトリが残り...
awsロゴ
AWS SSOでアカウントの切り替えを楽にする小技こんにちは、ちゃりおです。 複数AWSアカウントの管理にAWS SSOは便利です。 しかし、他のアカウントに切り替える際にセッションが...
awsロゴ
AWS SSO環境でaws2-wrapを使ってCDK実行時の認証情報コピペを不要にするこんにちは、ちゃりおです。 CDKを使うことがあるのですが、現状CDKはSSOのprofileに対応していません。(2021年3月時点...