AWS Control Tower とは - AWS Control Tower
機能AWS Control Tower が他のAWSサービスとやり取りする方法AWS Control Tower を初めてお使いになる方に

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower とは

AWS Control Tower は、規範的なベストプラクティスに従って、AWSマルチアカウント環境をセットアップして管理するための簡単な方法を提供します。AWS Control Tower は、AWS Organizations、AWS Service Catalog、 など、他のいくつかの AWSサービスの機能をオーケストレーションしてAWS IAM アイデンティティセンター、1 時間以内にランディングゾーンを構築します。リソースは、ユーザーに代わって設定および管理されます。

AWS Control Tower オーケストレーションは の機能を拡張しますAWS Organizations。組織やアカウントに、ベストプラクティスからの逸脱であるドリフトをさせないために、AWS Control Tower はコントロール (ガードレールと呼ばれることもあります) を適用します。例えば、コントロールを使用して、セキュリティログと必要なクロスアカウントアクセス許可が作成され、変更されないようにすることができます。

少数のアカウントをホストしている場合は、アカウントデプロイとアカウントガバナンスを容易にするオーケストレーションレイヤーを持つことは有益です。AWS Control Tower は、アカウントとインフラストラクチャをプロビジョニングする主な方法として採用できます。AWS Control Tower を使用すると、より簡単に企業基準を遵守し、規制要件を満たし、ベストプラクティスに従うことができます。

AWS Control Tower を使用すると、分散チームのエンドユーザーは、Account Factory で設定可能なAWSアカウントテンプレートを使用して、新しいアカウントをすばやくプロビジョニングできます。一方、中央のクラウド管理者は、すべてのアカウントが、確立された、会社全体のコンプライアンスポリシーと連携していることをモニタリングできます。

つまり、AWS Control Tower は、何千もの企業と連携することで確立されたベストプラクティスに基づいて、安全で準拠したマルチアカウントAWS環境を設定および管理する最も簡単な方法を提供します。AWS Control Tower の使用とAWS、マルチアカウント戦略で説明されているベストプラクティスの詳細については、「」を参照してくださいAWSマルチアカウント戦略: ベストプラクティスガイダンス

機能

AWS Control Tower には次の機能があります。

  • ランディングゾーン — ランディングゾーンは、セキュリティとコンプライアンスのベストプラクティスに基づく、優れたアーキテクチャ設計の複数アカウントの環境です。これは、すべての組織単位 (OU)、アカウント、ユーザー、およびコンプライアンス規制の対象とするその他のリソースを保持するエンタープライズ全体のコンテナです。ランディングゾーンは、いずれの規模の企業のニーズに合わせてもスケーリングできます。

  • コントロール – コントロール (ガードレールと呼ばれることもあります) は、AWS環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。予防コントロール、検出コントロール、プロアクティブコントロールの 3 種類があります。必須、強く推奨、選択的の 3 つのガイダンスカテゴリが適用されます。コントロールの詳細については、「コントロールの仕組み」を参照してください。

  • Account Factory — Account Factory は、事前に承認されたアカウント設定で新規アカウントのプロビジョニングを標準化するのに役立つ、設定可能なアカウントテンプレートです。AWS Control Tower には、組織内でアカウントプロビジョニングワークフローの自動化を支援する、組み込みの Account Factory が用意されています。詳細については、「Account Factory でのアカウントのプロビジョニングと管理」を参照してください。

  • ダッシュボード — このダッシュボードでは、中央のクラウド管理者のチームがランディングゾーンを継続的に監視できます。このダッシュボードを使用して、企業全体でプロビジョニングされているアカウント、ポリシーの適用に対して有効にされているコントロール、ポリシーの非準拠の継続的検出に対応するコントロール、およびアカウントと OU によって編成され非準拠リソースを確認できます。

AWS Control Tower はAWS Service CatalogAWS IAM アイデンティティセンター、 や などの信頼できるAWSサービス上に構築されていますAWS Organizations。詳細については、「統合サービス」を参照してください。

既存のワークロードの移行に役立つソリューションに、AWS Control Tower を他のAWSサービスに組み込むことができますAWS。詳細については、「How to take advantage of AWS Control Tower and CloudEndure to migrate workloads to AWS」(AWS Control Tower と CloudEndure を活用してワークロードを AWS に移行する方法) を参照してください。

構成、ガバナンス、拡張性

  • 自動アカウント設定: AWS Control Tower は、AWS Service Catalogのプロビジョニングされた製品の上に抽象化として構築された Account Factory (または「自動販売機」) を使用して、アカウントのデプロイと登録を自動化します。Account Factory はAWSアカウントを作成および登録でき、それらのアカウントにコントロールとポリシーを適用するプロセスを自動化します。アカウントの作成とプロビジョニングの詳細については、「プロビジョニングの方法」を参照してください。

  • 一元化されたガバナンス: の機能を採用することでAWS Organizations、AWS Control Tower はマルチアカウント環境全体で一貫したコンプライアンスとガバナンスを確保するフレームワークをセットアップします。このAWS Organizationsサービスは、アカウントの中央ガバナンスと管理、AWS Organizations APIs からのアカウント作成、サービスコントロールポリシー (SCPs)、リソースコントロールポリシー (RCPs) など、マルチアカウント環境を管理するための重要な機能を提供します。

  • 拡張性: AWS Control Tower コンソールだけでなく、 で直接作業することでAWS Organizations、独自の AWS Control Tower 環境を構築または拡張できます。既存の組織を登録し、既存のアカウントを AWS Control Tower に登録すると、変更が AWS Control Tower に反映されていることがわかります。AWS Control Tower ランディングゾーンを更新して、変更を反映させることができます。ワークロードにさらに高度な機能が必要な場合は、AWS Control Tower とともに他のAWSパートナーソリューションを活用できます。

AWS Control Tower を初めてお使いになる方に

このサービスを初めて使用する方には、以下を読むことをお勧めします。

  1. ランディングゾーンを計画および整理する方法の詳細については、「AWS Control Tower ランディングゾーンの計画」および「AWS AWS Control Tower ランディングゾーンのマルチアカウント戦略」を参照してください。

  2. 最初のランディングゾーンを作成する準備ができている場合は、「AWS Control Tower の使用開始方法」を参照してください。

  3. ドリフトの検出と防止の詳細については、「AWS Control Tower でドリフトを検出および解決する」を参照してください。

  4. セキュリティの詳細については、「AWS Control Tower のセキュリティ」を参照してください。

  5. ランディングゾーンおよびメンバーアカウントの更新方法については、「AWS Control Tower での設定更新管理」を参照してください。