AWS Control Tower 構築ハンズオン

はじめに

アカウントを一元的にセットアップするためAWS Control Towerというサービスがあります。
AWS Control Towerは、マルチアカウントの運用、ガバナンス、監査、コンプライアンスの要件がある場合、これらを管理するためのツールとして利用されます。
兎にも角にも、まずはザックリハンズオンをしてどう言ったものなのかを確かめていきたいと思います。

参考URL:AWSユーザ-ガイド：AWS Control Tower

構成

構成図

構築

1.事前準備

・ログ用アカウントのメールアドレス
・監査用アカウントのメールアドレス

※sute.jpというサービスで、24時間だけ有効なメールアドレスを取得できるため、こちらにて検証用メールアドレスの発行

2.AWS Control Towerの設定

2.1.AWS Control Towerメニュー画面

ランディングゾーンの設定を押下

2.2.ホームリージョン選択(料金の確認とリージョンの選択)

ホームリージョンを選択

ランディングゾーンの設定を押下

2.3.リージョン拒否設定の選択(料金の確認とリージョンの選択)

有効を選択

2.4.ガバナンスのための追加リージョンを選択(料金の確認とリージョンの選択)

デフォルトでアジアンパシフィック(東京)がチェックされていることを確認
右下次へを押下

2.5.組織単位(OU)の設定(基礎となるOU)

基礎となるOUの名前を入力
※今回はテストのためデフォルトで入力されるSecurityを利用する

2.6.組織単位(OU)の設定(追加のOUの設定)

追加のOUの名前を入力
※今回はテストのためデフォルトで入力されるSandboxを利用

2.7.ログアーカイブアカウント(共有アカウントの設定)

ログアーカイブアカウントの赤枠部分アカウントの作成に、用意していたメールアドレスを入力

2.8.アカウントの監査(共有アカウントの設定)

アカウントの監査の赤枠部分アカウントの作成に、用意していたメールアドレスを入力

2.9.AWS CloudTrailの設定(その他の設定)

AWS CloudTrailの設定を有効に設定

2.10.Amazon S3のログ設定(その他の設定)

Amazon S3のログ設定で保持期間を設定
※今回の構築では 3日として設定する

2.11.最終確認画面(ランディングゾーンの確認とセットアップ)

ステップ5ランディングゾーンの確認とセットアップにチェックを入れ､右下ランディングゾーンの設定を押下

2.12.ランディングゾーンのセットアップ

およそ1時間程度セットアップするのに時間がかかる

2.13.ランディングゾーンのセットアップ完了

下記画面に切り替わり設定が完了したことを確認

挙動の確認

1.管理アカウント

1.1.管理アカウント画面へ遷移

管理アカウントで登録したメールアドレスにメールが届き、こちらから管理アカウントサインアップの画面へ遷移

1.2.新規ユーザのサインアップ

1.3.サインイン

1.4.サインイン後の画面

2.監査アカウント

2.1.subscriptionを押下

監査アカウントで登録したメールアドレスにメールが届き、こちらの赤枠Confirm subscriptionを押下

さいごに

AWS Control Tower 自体の構築は結構さっくり出来ましたが、では「どう利用するのか？」と言う部分が、まだまだ分かっていません。
実務を通してもう少し深掘りしていきたいです。

参考

参考書籍:
著者：高岡 将, 佐々木 亨
タイトル:エバンジェリストの知識と経験を1冊にまとめた　AWS開発を《成功》させる技術