AWS Control Towerとは？特徴や機能についてご紹介します

AWS Control Towerとは

Amazon Web Services（AWS）のControl Towerは、複数アカウントで使用するAWS環境の構築をサポートするサービスです。

環境のセットアップやポリシー管理、新規アカウントのプロビジョニングなどを簡単に行えます。

チームや組織で共有する開発環境を構築したい場合に適します。

AWS Control Towerの特徴5つ

この項目では、AWS Control Towerの特徴を5つご紹介します。

環境構築を簡易化するだけでなく、セキュリティやルールの設定をサポートする機能もあります。また、他のサービスと統合することで、利便性をより高められます。

特徴1：AWS環境の構築を自動化できる

Control Towerは、AWS環境の構築を自動化できます。

デフォルトで設計図が用意されており、これを使用して構築します。手動での複雑な設定が不要になり、手間を省略できます。

設計図にはランディングゾーンが使用されています。

この他、新規アカウントのプロビジョニングの自動化もできます。これにより、新しいメンバーをすぐにチームへ参加させられます。こちらはアカウントファクトリーという機能を使用します。

特徴2：ガードレールによるポリシー管理

Control Towerは、ガードレールを使用してポリシー管理ができます。

設定したポリシーをチーム全体に適用し、それに違反するアクションを禁止・検出できます。チーム内におけるルールの統一が容易になります。

アカウントを新規作成または変更しても引き続き有効になるため、毎回設定し直す必要もありません。

特徴3：統合できるサービスが豊富

Control Towerは、さまざまなサービスと統合できます。

CloudFormationによるテンプレート作成、CloudTrailやCloudWatchによるモニタリング、Organizationsによるアカウント管理、Simple Storage Service（S3）によるログ保存、Simple Notification Service（SNS）による通知の発信などが行えます。

AWSのサービスだけでなく、他社製品との統合も可能です。

特徴4：他社製品と統合できる

Control Towerは、他社製品と統合できます。

AWS Marketplaceにて、他社製品とControl Towerを統合するソリューションが提供されています。これにより、さまざまなソフトウェアで複数のアカウントの管理を簡易化できるようになります。

対応するソフトウェアとして、Alert Logic、Aviatrix、CrowdStrike、Logz.io、New Relicなどがあります。

特徴5：ランディングゾーンを簡単にカスタマイズできる

Control Towerは、ランディングゾーンを簡単にカスタマイズできます。

AWSでは、Control Towerのランディングゾーンをカスタマイズするソリューションが提供されています。これを導入すると、CloudFormation テンプレートを用いて、統合可能なサービスが新たにデプロイされます。

このソリューション自体もライフサイクルイベントと統合されており、チーム内でアカウントを新規作成するとその場でリソースがデプロイされ、すぐに使用できます。

ランディングゾーンがデプロイされているアカウントやリージョンに対して導入できます。既にシステムが存在しているところへ追加機能を盛り込む、という形になります。最初からサービスを統合済みの状態で新しく導入できるというわけではないので、その点は注意しましょう。

AWS Control Towerの機能

この項目では、AWS Control Towerの機能についてご紹介します。

ランディングゾーン、ガードレール、アカウントファクトリー、ダッシュボードの4種類に分別されます。これらを組み合わせることで、簡単に環境の構築やメンバーの管理、ポリシーやセキュリティの設定などが行え、強固な環境を確立できます。

ランディングゾーン

AWS Landing Zone（ランディングゾーン）は、複数アカウントで使用するAWS環境の構築を高速化するシステムです。

ベストプラクティスを基にした設計図が用意されており、準備にかける時間を短縮できます。

Organizationsによるマルチアカウント環境の構築、Single Sign-On （SSO）によるユーザーのアクセス管理、CloudTrailやAWS Configのログ管理などが行えます。

Control Towerでは、ランディングゾーンのセットアップを自動化できます。また、ランディングゾーンをカスタマイズするソリューションが用意されており、導入することで機能を強化できます。

ガードレール

ガードレールは、環境のポリシーを管理するシステムです。

独自のルール（ポリシー）を設定し、それを環境全体に適用します。チーム内でのルールの統一が容易になり、食い違いによるミスや、連携が上手く行かないなどといったトラブルの発生を抑止できます。

予防ガードレール、検出ガードレールの2つのタイプに分類されます。

一部のガードレールは無効にできず、強制的に適用されます。その他、必須ではないものの有効化が推奨されているものが多数あります。

すべてのガードレールについての詳細は、公式ドキュメントをご覧ください。

予防ガードレール

予防ガードレールは、ポリシーに違反するアクションを停止します。

ログやポリシーの変更禁止、データ保管時の暗号化、CloudTrailとCloudWatchの統合などがあります。

実装にはサービスコントロールポリシー （SCP）が使用されます。

検出ガードレール

検出ガードレールは、ポリシーに違反するアクションやリソースを検出し、アラートを発信します。

S3バケットへの読み取り・書き込みアクセスの禁止、多要素認証（MFA）なしでのアクセスの禁止、Elastic Block Store（EBS）ボリュームの暗号化などがあります。

実装にはConfigルールとLambda関数が使用されます。

アカウントファクトリー

Account Factory（アカウントファクトリー）は、新規アカウントのプロビジョニングをサポートするシステムです。Service Catalogの機能の一つです。

承認済みのアカウント設定をテンプレート化し、プロビジョニングを標準化できます。

基本的には、Service Catalogのコンソールから作成します。Control Towerでは、これに加えて独自の登録機能やIdentity and Access Management（IAM）ロールを使って作成可能です。

ダッシュボード

ダッシュボードでは、ランディングゾーンのモニタリングができます。

プロビジョニングされているアカウントの数、有効になっているガードレール、ポリシー違反が発見されたリソースなどのステータスをまとめて確認できます。

AWS Control Towerの料金

Control Tower自体には、料金は発生しません。

ただし、Service Catalog、CloudTrail、CloudWatchなど、セットアップで設定・使用したサービスの料金は発生します。

統合可能なサービスが多く、使い方によって料金は大幅に変わります。あらかじめ見積もりをしておくと良いでしょう。

公式ページに料金例があるので、そちらも併せてご覧ください。

AWS Control Towerでチーム開発環境を構築しよう

この記事では、AWS Control Towerについてご紹介しました。

環境構築のための設計図が用意されており、すぐにセットアップを完了できます。ルールの設定や反映、新規メンバーの参入を簡易化する機能もあり、チームでの開発をさまざまな面でサポートします。

AWSを開始したばかりのユーザーだけでなく、手早く開発環境を立ち上げたい、チーム内のマネジメントを徹底させたいという方にもおすすめです。