COLUMN
AWS Control Towerとは?導入方法や料金など基本をわかりやすく解説
AWSなどクラウドに関するお役立ち情報やイベント情報などをNTT東日本のクラソルメールマガジンにて毎週配信しております。ぜひご登録いただき、今後のクラウド活用の参考にしていただければと思います。
AWS Control Towerは、マルチアカウントの環境を簡単にセットアップでき、管理が可能なマネージドサービスです。コントロールの設定やランディングゾーン、コントロールが有効化されたAWSアカウントの作成などが可能です。
一方、複数のAWSアカウントを利用しようか検討中ではあるものの、AWS Control Towerを導入するべきか悩まれている方もいるでしょう。
そこで本記事ではAWS Control Towerの機能やメリット、導入方法について解説します。
AWS Organizationsとの違いについても解説していますので、ぜひ参考にしてください。
目次:
- 1.AWS Control Towerとは?
- 1-1.AWS Organizationsとの違い
- 2.AWS Control Towerの主な機能4つ
- 2-1.ランディングゾーン
- 2-2.コントロール (ガードレール)
- 2-3.Account Factory
- 2-4.ダッシュボード
- 3.AWS Control Towerのメリット
- 3-1.情報セキュリティとコンプライアンスの確保
- 3-2.マルチアカウント環境構築の簡素化
- 3-3.AWSアカウントの一元管理
- 4.AWS Control Towerの導入方法
- 4-1.共有アカウントのメールアドレスを作成
- 4-2.ランディングゾーンの設定と起動
- 4-3.ランディングゾーンの確認とセットアップ
- 5.AWS Control Towerの料金
- 6.AWSの導入ならぜひNTT東日本にご相談ください
- AWS Control Towerについてまとめ
1.AWS Control Towerとは?
AWS Control Towerとは、マルチアカウントの環境を管理するためのマネージドサービスです。
AWS OrganizationsやAWS CloudTrailなど複数のサービスのオーケストレーションを行い、ベストプラクティスに則ってルールを設定し、ランディングゾーンを構成・運用します。
そのほかにも、ログの集約やコントロール適用、変更情報の通知・IDの一元管理・AWSアカウントの作成などが可能です。
また自社に合わせたガバナンスルールにカスタマイズできるため、複数のアカウントを効率良く管理できます。
1-1.AWS Organizationsとの違い
AWSでは、AWS Control Towerと同じようにAWSアカウントを一元管理できるAWS Organizationsも提供されています。
AWS OrganizationsはAWSアカウントの管理と自動作成、複数のアカウントを利用した際の請求の簡素化が可能です。一方AWS Control Towerは、AWS Organizationsを含むマルチアカウント環境に関係するAWSサービスのセットアップをしてくれるサービスです。AWS Organizationsで設定できるアカウント管理だけでなく、サービスを横断したログ監視や通知サービスなど、マルチアカウント環境をより使いやすくしたい方は、AWS Control TowerでセットアップをしてAWS Organizationsの連携を行うと良いでしょう。
AWS Organizationsについて詳しく知りたい方は、以下の記事を参考にしてください。
関連記事:複数のアカウント管理を効率化できるAWS Organizationsを解説
AWSなどクラウドに関するお役立ち情報やイベント情報などをNTT東日本のクラソルメールマガジンにて毎週配信しております。ぜひご登録いただき、今後のクラウド活用の参考にしていただければと思います。
2.AWS Control Towerの主な機能4つ
AWS Control Towerの主な機能は、以下4つです。
- ランディングゾーン
- コントロール(ガードレール)
- Account Factory
- ダッシュボード
順番に解説します。
2-1.ランディングゾーン
ランディングゾーンとは、AWSでマルチアカウントを統制する際に必要な仕組みのことです。AWSのベストプラクティスに基づいて実装されており、安全な情報セキュリティとコンプライアンスを構築できます。
基本的なランディングゾーンは、下記の機能で構成されています。
- アカウント発行
- 権限の作成
- ログ集約
- コントロール適用
上記機能は、複数のAWSサービスを組み合わせることで実装できます。ランディングゾーンは企業によって必要な内容も異なるため、デフォルトのままではなく自社に合わせた設定が必要です。
2-2.コントロール (ガードレール)
コントロール(ガードレール)とは、リスクのある操作や設定をしないよう検知する仕組みのことです。AWS Control Towerでは、400以上のプリセットから要件を選択してコントロール設定ができます。
コントロールの動作は、以下3種類です。
予防コントロール | 設定した操作を利用できないようにする |
---|---|
検出コントロール | 特定の操作を行った際に検出する |
プロアクティブコントロール | リソースがルールに沿っているか確認する |
上記以外にも、ガイダンスとして「必須」「強く推奨」「選択的」の3種類があります。コントロール設定を行えば、利用しているAWSサービス全てをガバナンスできます。
2-3.Account Factory
Account Factoryでは、コントロールが有効化されたAWSアカウントの作成ができる機能です。そのほか、ネットワークリソースの作成もできます。
プロビジョニングする際のワークフローを、自動化できる機能がAWS Control Towerには搭載されているため、より効率良くマルチアカウントの統制が可能です。
2-4.ダッシュボード
ダッシュボードでは、管理者がランディングゾーンをひとつの画面で監視できます。
AWSアカウントの数やグループ、コントロールの数・コントロールでの予防数と検知数などが分かりやすいUIで可視化されます。
そのほかコントロールで引っかかった検知内容を一覧で表示できたり、適用しているコントロールのガイダンスや動作・ステータスなどもまとめて確認できたりするので便利です。
ダッシュボードを利用すれば、企業で使用している全アカウントの管理・統制が効率良く行えるでしょう。
AWSなどクラウドに関するお役立ち情報やイベント情報などをNTT東日本のクラソルメールマガジンにて毎週配信しております。ぜひご登録いただき、今後のクラウド活用の参考にしていただければと思います。
3.AWS Control Towerのメリット
AWS Control Towerを利用するメリットは、以下3つです。
- 情報セキュリティとコンプライアンスの確保
- マルチアカウント環境構築の簡素化
- AWSアカウントの一元管理
順番に解説します。
3-1.情報セキュリティとコンプライアンスの確保
AWS Control Towerを活用すると、情報セキュリティ対策は強化されコンプライアンスも確保されます。
AWS Control Towerは、AWSのセキュリティベストプラクティスを自動的に適用可能です。さらにAWSのWell-Architected Frameworkに基づいた情報セキュリティ標準を保てます。
新規のAWSアカウント作成においても設定したコントロールが適用され、安心して利用できます。
このようにリスクのある操作はコントロールで回避し、ランディングゾーンを維持できるAWS Control Towerは、情報セキュリティの向上とコンプライアンスの確保に役立つでしょう。
3-2.マルチアカウント環境構築の簡素化
AWS Control Towerは、マルチアカウント環境をより簡単に設定が可能です。
通常アカウントの数や行うプロジェクトなどが多くなればなるほど、環境の構築も煩雑になりやすいといった課題があります。
一方AWS Control Towerでは、マルチアカウントアーキテクチャをサポートしているため、組織内で一貫性のあるAWSアカウント環境を簡単に構築できます。
結果、異なるプロジェクトやチームがあったとしても、独立して作業しやすくなるといったメリットがあります。
3-3.AWSアカウントの一元管理
AWS Control Towerは、AWSアカウントの一元管理をサポートしてくれます。
アカウントが複数あり、それぞれにIDやパスワードを付与していれば管理も大変です。一方、AWS Control Towerでは共通のアカウント画面を提供し、各アカウントに権限を付与するシングルサインオンが利用可能です。AWS Control Towerではオプションではありますが、IAM Identity Centerで一括管理ができるため、管理方法の効率化はもちろん情報セキュリティ対策の強化にも役立ちます。
ほかにも、アカウントや情報セキュリティの状態を監視できるダッシュボードを利用すれば、組織全体でのリソースの使用状況や情報セキュリティの状態を把握しやすくなります。
その結果、AWSアカウントを増やしたい場合でもアカウントのログイン管理はもちろん、ログ監視などをまとめて行えるので効率良くかつ安全にAWSアカウントの一元管理ができます。
AWSなどクラウドに関するお役立ち情報やイベント情報などをNTT東日本のクラソルメールマガジンにて毎週配信しております。ぜひご登録いただき、今後のクラウド活用の参考にしていただければと思います。
4.AWS Control Towerの導入方法
本章では、AWS Control Towerの導入方法について解説します。
まず前提としてAWS Control Towerでランディングゾーンを作成するためには、管理用AWSアカウントが必要です。
AWSコンソールからルートユーザーを選択し、AWS IAM Identity Centerで管理アクセスを割り当ててから、AWS Control Towerの導入を行いましょう。
4-1.共有アカウントのメールアドレスを作成
AWS Control Towerをセットアップする際、管理用AWSアカウント以外に以下2つのアカウント作成画面がでてきます。
監査アカウント | 監査情報にアクセスするグループ用のアカウント |
---|---|
ログアーカイブアカウント | 登録アカウントのログ情報を管理するアカウント |
上記のアカウントはランディングゾーンを設定する際に、入力する画面がでてきます。アカウント名は、導入途中で変更も可能なため必要であれば分かりやすいアカウント名に変更しましょう。
4-2.ランディングゾーンの設定と起動
始めに、ランディングゾーンの設定をしましょう。
AWS Control Towerコンソールを開き「ランディングゾーンの設定」をクリックします。ホームリージョンの選択画面がでてきますので、リージョンが合っているか確認をしてから「リージョン拒否設定」と「ガバナンスのための追加AWSリージョン」を選択して進みます。
続いて、前章で触れた「監査アカウント」と「ログアーカイブアカウント」を作成します。アカウント名もこの画面で変更可能なため、必要であれば変更してください。
また、この後オプション設定画面が表示されます。ログの保持設定やAWS CloudTrail追跡設定が必要であれば設定をしていきましょう。
最後に、KMS暗号化について設定画面を選択すれば終了です。AWS KMS暗号化キーを使用したい場合は、チェックをして設定しましょう。
4-3.ランディングゾーンの確認とセットアップ
全て設定ができると、確認画面が表示されます。
入力内容に間違いがないか確認をしてから、アクセス許可の一文を確認後、チェックを入れましょう。
最後に「ランディングゾーンの設定」を押下すれば、作成が開始されます。セットアップには30分〜1時間かかります。
完了したら、AWSアカウント内の組織から「監査アカウント」と「ログアーカイブアカウント」が確認できます。問題がなければ、これでセットアップも完了です。
5.AWS Control Towerの料金
AWS Control Towerは、追加での費用不要で使用できます。
ただし、ランディングゾーンの設定でセットアップしたAWSサービスや有効にしたサービスについては、それぞれ費用が発生します。
詳しくは、以下の公式ページをご確認ください。
AWSなどクラウドに関するお役立ち情報やイベント情報などをNTT東日本のクラソルメールマガジンにて毎週配信しております。ぜひご登録いただき、今後のクラウド活用の参考にしていただければと思います。
6.AWSの導入ならぜひNTT東日本にご相談ください
AWSでマルチアカウントの導入をしたいけれど、AWS Control Towerの設定も含め管理に不安がある方もいるでしょう。
そのような場合は、ぜひNTT東日本にご相談ください。
NTT東日本では、AWS有資格者であるエンジニアが担当者となり、直面する課題の解決策をご提案します。AWSの構築はもちろん、導入・移行・運用・保守までワンストップで支援も可能です。
素朴な疑問や些細なお困りごとでも、構いません。導入も含めお悩みがあれば、ぜひ以下のページよりお問い合わせください。
AWS Control Towerについてまとめ
AWS Control Towerとは、マルチアカウントの環境を管理するためのマネージドサービスです。AWS Control Towerを活用すれば、ランディングゾーンの作成やコントロール設定、コントロールが有効化されたAWSアカウントの新規作成が可能です。
さらにダッシュボードでは、個々のAWSアカウントの状態やコントロールのリスク検知などが一つの画面で可視化されます。
複数のアカウントを活用するにあたって、情報セキュリティ対策やコンプライアンスの確保は重要です。AWS Control Towerを設定して、よりセキュアな環境を整えていきましょう。
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。