AWS Control Tower でのタスクの自動化 - AWS Control Tower

AWS Control Tower でのタスクの自動化

多くのユーザーは、アカウントのプロビジョニング、コントロールの割り当て、監査など、AWS Control Tower のタスクを自動化することを好みます。これらの自動アクションは、次のコールを使って設定できます。

追加情報とリンクページには、AWS Control Tower でタスクを自動化するのに役立つ多くの優れた技術ブログ記事へのリンクが含まれています。次のセクションでは、タスクの自動化を支援する、この「AWS Control Tower ユーザーガイド」の領域へのリンクを示します。

コントロールタスクの自動化

AWS Control Tower API を使用して、コントロール (ガードレールとも呼ばれます) の適用や削除に関するタスクを自動化できます。詳細については、「AWS Control Tower API リファレンス」を参照してください。

AWS Control Tower API を使用してコントロールオペレーションを実行する方法の詳細については、ブログ記事「AWS Control Tower releases API, pre-defined controls to your organizational units」を参照してください。

ランディングゾーンタスクの自動化

AWS Control Tower ランディングゾーン API は、ランディングゾーンに関連する特定のタスクを自動化するのに役立ちます。詳細については、「AWS Control Tower API リファレンス」を参照してください。

OU 登録の自動化

AWS Control Tower ベースライン API は、OU の登録などの特定のタスクを自動化するのに役立ちます。詳細については、「AWS Control Tower API リファレンス」を参照してください。

アカウントの自動解約

AWS Control Tower のメンバーアカウントの解約は、AWS Organizations API を使用して自動化できます。詳細については、「AWS Control Tower のメンバーアカウントを AWS Organizations から解約する」を参照してください。

アカウントのプロビジョニングと更新の自動化

AWS Control Tower の Account Factory Customization (AFC) では、ブループリントと呼ばれるカスタマイズされた CloudFormation テンプレートを使用して、AWS Control Tower コンソールからアカウントを作成できます。このプロセスは、1 つのブループリントを設定した後はパイプラインを維持しなくても、新しいアカウントを作成したり、アカウントを繰り返し更新したりできるという意味では、自動化されています。

AWS Control Tower Account Factory for Terraform (AFT) は、GitOps モデルに従い、AWS Control Tower でのアカウントプロビジョニングとアカウント更新のプロセスを自動化します。詳細については、「 AWS Control Tower Account Factory for Terraform (AFT) によるアカウントのプロビジョニング 」を参照してください。

AWS Control Tower のカスタマイズ (CfCT) により、AWS Control Tower のランディングゾーンをカスタマイズし、AWS のベストプラクティスに準拠し続けることができます。カスタマイズは、AWS CloudFormation テンプレート、サービスコントロールポリシー (SCP)、リソースコントロールポリシー (RCP) で実装されます。詳細については、「 AWS Control Tower のカスタマイズ (CfCT) の概要 」を参照してください。

自動アカウントプロビジョニングの詳細と動画については、「チュートリアル: AWS Control Tower を使用した自動アカウントプロビジョニング」および「IAM ロールを使用した自動アカウントプロビジョニング」を参照してください。

スクリプトによるアカウントの更新も参照してください。

プログラムによるアカウントの監査

プログラムによるアカウントの監査の詳細については、「Programmatic roles and trust relationships for the AWS Control Tower audit account」(AWS Control Tower 監査アカウントのプログラムによるロールと信頼関係) を参照してください。

その他のタスクの自動化

自動リクエストという方法で特定の AWS Control Tower Service Quotas を増やす方法については、「Automate Service Limit Increases」 (サービス制限引き上げの自動化) というビデオをご覧ください。

オートメーションと統合のユースケースについて説明している技術的なブログについては、「Automation and integration」(オートメーションと統合) を参照してください。

GitHub では 2 つのオープンソースのサンプルが用意されており、セキュリティに関連する特定のオートメーションタスクに役立ちます。

  • aws-control-tower-org-setup-sample というサンプルでは、セキュリティ関連サービスの委任管理者として監査アカウントの設定を自動化する方法について説明しています。

  • aws-control-tower-account-setup-using-step-functions というサンプルでは、新規アカウントのプロビジョニングおよび設定時に、ステップ関数を使用してセキュリティのベストプラクティスを自動化する方法について説明しています。このサンプルには、組織で共有された AWS Service Catalog ポートフォリオへのプリンシパルの追加、および新規アカウントへの組織全体の AWS IAM Identity Center グループの自動関連付けが含まれます。また、各リージョンのデフォルトの VPC を削除する方法についても説明します。

「AWS セキュリティリファレンスアーキテクチャ」には、AWS Control Tower に関連するタスクを自動化するためのコード例が含まれています。詳細については、「AWS 規範的ガイダンス」のページと関連付けられた GitHub リポジトリを参照してください。

AWS CLI での作業を容易にする AWS のサービス、AWS CloudShell で AWS Control Tower を使用する方法については、「AWS CloudShell and the AWS CLI」(AWS CloudShell と AWS CLI) を参照してください。

AWS Control Tower は AWS Organizations のオーケストレーションレイヤーなので、API と AWS CLI を使用して他の多くの AWS のサービスを利用できます。詳細については、「AWS の関連サービス」を参照してください。