AWS Control Tower のランディングゾーンのカスタマイズ
AWS Control Tower のランディングゾーンでは、リージョンの選択やオプションのコントロールなどの特定の要素をコンソールで設定することができます。その他の変更は、コンソールではなくオートメーションを通じて行うことができます。
例えば、AWS Control Tower のカスタマイズ機能、AWS CloudFormation テンプレートで動作する GitOps スタイルのカスタマイズフレームワーク、および AWS Control Tower のライフサイクルイベントにより、より広範なカスタマイズを作成することができます。
AWS Control Tower のカスタマイズ (CfCT) のメリット
AWS Control Tower のカスタマイズ (CfCT) と呼ばれる機能パッケージを使用すると、AWS Control Tower コンソールで作成できるものよりも広範なカスタマイズをランディングゾーンのために作成することができます。これは GitOps スタイルの自動化されたプロセスを提供します。ビジネス要件を満たすようにランディングゾーンを作り直すことができます。
この Infrastructure-as-Code カスタマイズプロセスは、AWS CloudFormation テンプレートと AWS サービスコントロールポリシー (SCP) および AWS Control Tower ライフサイクルイベントを統合するため、リソースのデプロイがランディングゾーンと同期し続けるようになります。例えば、Account Factory を使用して新しいアカウントを作成すると、アカウントおよび OU にアタッチされたリソースを自動的にデプロイできます。
注記
Account Factory および AFT とは異なり、CfCT は新しいアカウントの作成専用ではなく、指定したリソースをデプロイしてランディングゾーン内のアカウントと OU をカスタマイズすることを目的としています。
利点
-
カスタマイズされた安全な AWS 環境を拡張する — マルチアカウントの AWS Control Tower 環境をより迅速に拡張し、AWS のベストプラクティスを反復可能なカスタマイズワークフローに組み込むことができます。
-
要件をインスタンス化する — ポリシーの意図を表現する AWS CloudFormation テンプレートとサービスコントロールポリシーを使用して、AWS Control Tower のランディングゾーンをビジネス要件に合わせてカスタマイズできます。
-
AWS Control Tower のライフサイクルイベントで自動化を進める — ライフサイクルイベントを使用すると、以前の一連のイベントの完了に基づいてリソースをデプロイできます。ライフサイクルイベントを使用して、アカウントや OU にリソースを自動的にデプロイできます。
-
ネットワークアーキテクチャを拡張する - トランジットゲートウェイなど、接続性を向上させて保護するカスタマイズされたネットワークアーキテクチャをデプロイできます。
その他の CfCT の例
-
AWS Control Tower のカスタマイズ (CfCT) を使用したネットワークユースケースの一例が、AWS アーキテクチャのブログ記事「Deploy consistent DNS with Service Catalog and AWS Control Tower customizations
」(Service Catalog および AWS Control Tower のカスタマイズによる一貫性のある DNS のデプロイ) に記載されています。 -
CfCT と Amazon GuardDuty に関連する
具体的な例については、 aws-samplesリポジトリの GitHub で入手できます。 -
CfCT に関するその他のコード例は、
aws-samplesリポジトリの AWS セキュリティリファレンスアーキテクチャの一部として入手できます。これらの例の多くで、サンプルの manifest.yamlファイルがcustomizations_for_aws_control_towerという名前のディレクトリに含まれています。
AWS セキュリティリファレンスアーキテクチャの詳細については、「AWS 規範的ガイダンス」ページを参照してください。
