Professional Documents
Culture Documents
AWS Black Belt 2023 AWS ControlTower Basics 0831 v1
AWS Black Belt 2023 AWS ControlTower Basics 0831 v1
Solutions Architect
2023/08
© 2023, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates.
⾃⼰紹介
名前︓
桂井俊朗 (かつらい としお)
所属︓
アマゾンウェブサービスジャパン合同会社
技術統括本部 ISV/SaaS ソリューション本部
ソリューションアーキテクト
好きなAWSサービス︓
AWS Control Tower
4. まとめ
• 「グレーな」境界
• 時間経過に伴って複雑で管理が⾯倒
• リソースのトラッキングが困難
Everything
• 責任の範囲が不明確
管理が煩雑にならないだろうか︖
はじめから
マルチアカウント構成は
難しいのでは︖
アカウントごとに
設定でばらつきが出ないか
AWS Organizations
AWS CloudTrail
⽤語 説明
•⼀元管理可能な AWS アカウントの集まり
組織
•最低 1 つの管理アカウントから構成される
アカウントの作成、招待、削除、ポリシーの適⽤および
管理アカウント
組織における⽀払いアカウント
サービスコント アカウントに適⽤するコントロールを定義したドキュメ
ロールポリシー ントで AWS サービスの API へのアクセスを制御 (許
(SCP) 可・拒否) する
© 2023, Amazon Web Services, Inc. or its affiliates. 14
AWS Control Tower のアカウント区分
Organization
Root
Security OU
監査アカウント
ログアーカイブアカウント
Sandbox OU
メンバーアカウント
AWS Control Tower
管理アカウント
© 2023, Amazon Web Services, Inc. or its affiliates. 15
AWS Control Tower のアカウント区分
• アーカイブやフォレンジック
Organization
活動のログを安全に保存する
Root アカウント
• セキュリティチームやコンプライアンスチームが利⽤ • AWS CloudTrail と AWS
するアカウント Security OU Config のログを⼀元管理さ
• アカウント内の変更を監視して通知を送信するように れた Amazon S3 バケットに
アラームを設定 保存
監査アカウント
• AWS Control Tower の設定を⾏うアカウント
• AWS Organizations の管理アカウントと同じア
カウント ログアーカイブアカウント
• コントロールの有効化、権限管理を実施 • AWS Control Tower に登録
Sandbox OU
されたアカウント
• AWS Control Tower で有効
化したコントロールが設定さ
メンバーアカウント
れた状態となっている
AWS Control Tower
管理アカウント
© 2023, Amazon Web Services, Inc. or its affiliates. 16
再掲
AWS Control Tower のアカウント区分
Organization
Root
Security OU
監査アカウント
ログアーカイブアカウント
Sandbox OU
メンバーアカウント
AWS Control Tower
管理アカウント
© 2023, Amazon Web Services, Inc. or its affiliates. 17
AWS Control Tower の OU の階層化
Organization
Root
Security OU
監査アカウント
ログアーカイブアカウント
AWS Control Tower 利⽤時も
Sandbox OU
OU を階層化することが可能
Nested OU
AWS Control Tower
管理アカウント メンバーアカウント
© 2023, Amazon Web Services, Inc. or its affiliates. 18
AWS Control Tower 主要機能
Organizations
CloudTrail
CloudFormation Landing
AWS Config Zone
etc
AWS Control Tower
User AWS Control Tower
Service Catalog
Security OU Sandbox OU
監査アカウント メンバーアカウント
Amazon Simple Notification AWS Config AWS Config AWS Identity and Access
Service (Amazon SNS) Management (IAM)
ログアーカイブアカウント
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
ログ
ログ ログ
実施すべきこと
• ログの取得
• ログの⼀元管理
バケット • 保存期間の設定
• 誤った削除の防⽌
© 2023, Amazon Web Services, Inc. or its affiliates. 25
AWS Control Tower で実現できること 1
管理アカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
・リスクのある操作の禁⽌
・危険な設定の監視
安⼼して⾛れる︕
• Amazon S3 バケットの暗号化設定、ログ設
定、バケットポリシー、ライフサイクル設
定の変更を禁⽌する Amazon S3 CloudTrail CloudFormation
• Amazon S3 バケットの削除を禁⽌する
AWS CloudTrail への設定変
更を禁⽌する
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/mandatory-controls.html
© 2023, Amazon Web Services, Inc. or its affiliates. 30
ガイダンスが必須の予防コントロール例
AWS Control Tower で作成、設定したリソースへの
変更や削除を SCP で禁⽌する • AWS Config 集約認証の削除を禁⽌する
• AWS Config への設定変更を禁⽌する
• 使⽤可能なすべてのリージョンで AWS
Security OU Sandbox OU Config を有効にする
• AWS Config Rules への変更を禁⽌する
監査アカウント メンバーアカウント
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/mandatory-controls.html
© 2023, Amazon Web Services, Inc. or its affiliates. 31
項⽬ 値
コントロール適⽤例 サービス IAM
名前 [AWS-
GR_RESTRICT_ROO
T_USER] ルートユー
項⽬ 値 ザーとしてのアクショ
ンを許可しない
サービス Amazon DynamoDB
統制⽬標 最⼩特権を強制
名前 [CT.DYNAMODB.PR.2]
Amazon DynamoDB 動作 予防
テーブルが AWS KMS CloudFormation IAM ガイダンス 強く推奨
キーを使⽤して保管中に
暗号化されることを要求 項⽬ 値
する サービス Amazon S3
統制⽬標 保管中のデータを暗号化 Amazon DynamoDB Amazon S3
名前 [SH.S3.2] S3 バケッ
動作 プロアクティブ トはパブリック読み取
りアクセスを禁⽌する
ガイダンス 選択的
べきです
統制⽬標 最⼩特権を強制
動作 検出
© 2023, Amazon Web Services, Inc. or its affiliates.
ガイダンス 選択的 32
AWS Control Tower で実現できること 2
管理アカウント
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
予防コントロール、検出コントロール、
ログアーカイブアカウント
AWS アカウント作成と
プロアクティブコントロールを AWS ア
プロビジョニング カウントを作成したタイミングから適⽤
Amazon S3 CloudTrail CloudFormation
できる
© 2023, Amazon Web Services, Inc. or its affiliates. 33
AWS Control Tower で実現できること 3
管理アカウント
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
急いで検証したいのでセキュリ その設定はリスクがあるので
ティグループは全開にします︕ 変更お願いします︕
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/receive-notifications.html
© 2023, Amazon Web Services, Inc. or its affiliates. 36
AWS Control Tower で実現できること 4
管理アカウント
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
共通ログイン画面
コントロール適⽤
IAM Identity CenterCloudFormation
Service Catalog
と作成した Organizations IAM Identity Center
AWS アカウントを連携させることで
Security OU Sandbox OU
効率的に ID の⼀元管理ができる
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
・各種機能がはじめから設定
Security OU Sandbox OU
通知 アカウントの作成とコントロールの適⽤や
AWS 監査アカウント メンバーアカウント
ログ集約の設定を含むプロビジョニングを
ID ⼀元管理 効率的に⾏う事ができる
Amazon SNS AWS Config AWS Config IAM
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
Organizations
CloudTrail
CloudFormation Landing
AWS Config Zone
etc
AWS Control Tower
User AWS Control Tower
Service Catalog
Security OU Sandbox OU
通知 監査アカウント メンバーアカウント
ログアーカイブアカウント
AWS アカウント作成と
プロビジョニング
Amazon S3 CloudTrail CloudFormation
• https://www.youtube.com/playlist?list=PLzWGOASvSx6FIwIC2X1nObr1KcMCBBlqY
© 2023, Amazon Web Services, Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates.