SJ blog
security
A

信頼度ランク

S 公式ソース確認済み
A 成功実績多数・失敗例少数
B 賛否両論
C 動作未確認・セキュリティリスク高
Z 個人所感

AWS Control Tower — マルチアカウントのランディングゾーン設計

AWS Control Towerのランディングゾーン、Account Factory、コントロール(ガードレール)の種類、SCP/Config Rulesとの関係、OU構造設計、既存アカウントへの適用を解説。

#AWS #Control Tower #Organizations #ガバナンス #SCS

一言結論

Control TowerはAccount Factoryで新規アカウントを標準化し、予防コントロール(SCP)と検出コントロール(Config)を自動適用するが、既存アカウントへの適用は予防コントロールの影響を事前に確認しないと既存リソースを停止させるリスクがある。

Control Tower の概要

Control TowerはAWS Organizationsを使ったマルチアカウント環境を自動的にセットアップするサービスだ。ベストプラクティスのセキュリティ設定を「コントロール(旧称:ガードレール)」として適用する。

Control Tower が自動設定するもの:
  1. ランディングゾーン(Landing Zone): マルチアカウントの基盤
  2. OU構造: Security OU, Sandbox OU等
  3. ログアーカイブアカウント: CloudTrailログを一元保存
  4. Audit(監査)アカウント: セキュリティ調査用
  5. コントロール: SCP/Config Rulesによるガバナンス
  6. Account Factory: 新規アカウントの自動プロビジョニング

ランディングゾーンのOU構造

Root
  ├── Security OU(Control Towerが管理)
  │     ├── Log Archive Account(CloudTrailログ集約)
  │     └── Audit Account(セキュリティ調査用)

  ├── Sandbox OU(開発・実験用)
  │     └── Developer Account 1〜N

  ├── Development OU(開発環境)
  │     └── Dev Account 1〜N

  ├── Staging OU(ステージング環境)
  │     └── Staging Account 1〜N

  └── Production OU(本番環境)
        └── Prod Account 1〜N

コントロールの種類

コントロールの動作種別:
  予防コントロール(Preventive):
    → SCPで禁止された操作をブロック
    → 例: ログアーカイブアカウントからのS3バケット削除禁止
    → 違反しようとしても実行できない

  検出コントロール(Detective):
    → AWS Config Rulesで設定違反を検出・報告
    → 例: MFAが有効でないIAMユーザーを検出
    → 実行はできるが違反として記録される

  プロアクティブコントロール(Proactive):
    → AWS CloudFormation Hooksでリソース作成前にチェック
    → 例: 暗号化なしのS3バケット作成をブロック
コントロールの分類:
  必須(Mandatory): Control Towerが強制適用(変更不可)
  強く推奨(Strongly Recommended): ベストプラクティス(選択適用)
  選択的(Elective): 特定のユースケース向け(選択適用)

Account Factory

Control TowerはAccount Factoryを通じて新規アカウントを標準化された状態で作成する。

Account Factoryで設定されるもの:
  - OU への自動配置
  - VPC の標準設定(デフォルトVPCの削除等)
  - IAM Identity Center(SSO)の設定
  - CloudTrail の有効化
  - コントロールの自動適用
  
Account Factory Customization (AFC):
  → AWS Service Catalogを使ってカスタマイズテンプレートを定義
  → 新規アカウントに追加リソースを自動作成(標準SGセット等)
# Account Factory で新規アカウント作成(Service Catalog経由)
# ※ コンソールまたはTerraformのaws_servicecatalog_provisioned_productで操作

Control Tower Customizations

既存のSCPやConfig Rulesを追加でControl Towerに組み込む。

Customizations for AWS Control Tower (CfCT):
  → GitHubリポジトリまたはS3にCloudFormationテンプレートを保存
  → アカウント作成・OU変更時に自動デプロイ
  → 標準のControl Towerコントロールを超えたカスタマイズが可能

既存アカウントのControl Tower登録

既存アカウントをControl Towerに取り込む:
  → Account Factory Enrollment
  → 既存アカウントをOUに移動し、コントロールを適用
  
注意点:
  → 既存リソースに影響がある予防コントロールは事前に確認
  → Log Archive アカウントは変更不可
  → Control Towerのリージョンと既存アカウントのリージョンの整合

IAM Identity Center との統合

Control TowerはIAM Identity Center(旧AWS SSO)と統合し、
マルチアカウントへのシングルサインオンを実現する

設定内容:
  - SSO管理: マスターアカウントのIAM Identity Centerで一元管理
  - アカウントアクセス: Permission Setで権限を定義
  - ディレクトリ統合: Active Directory/外部IdPとの連携

試験頻出ポイント

シナリオ回答
マルチアカウントのベストプラクティス基盤設定AWS Control Tower
アカウント作成時の標準設定の自動化Account Factory
ガードレール = 操作をブロック予防コントロール(SCP)
ガードレール = 違反を検出・報告検出コントロール(Config Rules)
Control Towerが自動作成するアカウントLog Archive, Audit

まとめ

Control TowerはOrganizationsのセットアップを自動化し、セキュリティのベストプラクティスをコントロールとして適用するサービスだ。Account Factoryで新規アカウントを標準化し、予防コントロール(SCP)と検出コントロール(Config)で継続的なコンプライアンスを維持する。