AWS マルチアカウント構成の整備方法
はじめに
AWS のアカウント構成を整備するために、AWS のマルチアカウント構成とベストプラクティスについて調べました。
マルチアカウント構成とは、AWS のアカウントを複数にわけて運用する構成のこと
マルチアカウント構成によるメリット
AWS アカウントを分割することで、一般的には下記のようなメリットがあります。
- 本番や開発など、環境毎に分けることでセキュリティ、ガバナンス、規制などを分けることができる
- 課金体系を明確に分けることができる
- 組織のガバナンスに合わせて、アカウントに対する権限を明確に分けることができる
- サービスやデータに応じて、ワークロードを分けることができる
マルチアカウント構成により生じる課題
一方で、ただアカウントを分けただけだと、下記のような課題が浮き彫りになってきてしまいます。
- アカウント間での共通設定に関する整合性が取れない
- 各アカウントに行う設定や構築作業の複雑化
- 継続的なコンプライアンス管理の負荷
課題を解消するためには
マルチアカウント構成を取り入れつつ、課題を解決するための最適な構成はどういったものなのか?
それを解決してくれる資料の一つが、AWS が提供するベストプラクティス集である、AWS Well-Architected。
そして、AWS Well-Architected などを参考に、マルチアカウント構成を展開することを可能にした仕組みの総称であり、概念となるのが、Landing Zone。
さらに、Landing Zone を実現するためのマネージドサービスが、AWS Control Tower。
つまり、AWS Control Tower を利用してマルチアカウント構成を作成することで、マルチアカウント構成による課題を極力発生させずに、運用していくことが可能となります。
Landing Zone
Landing Zone は、主に 5 つの機能から構成されます。
- 必要な初期設定の済んだアカウント発行
- 対象アカウントを管理するための権限発行
- AD, ファイルサーバなどの共有環境へのアクセスの実装
- 監査用ログの集約
- ガードレールの設置
AWS Control Tower
Control Tower では、主に 5 つの機能が提供されています。
- AWS Organizations を利用したマルチアカウント環境の作成
- AWS SSO を利用した ID 管理の提供
- AWS SSO を使用したアカウントへの Federated Access の提供
- CloudTrail, AWS Config など、監査関連ログの集中管理
- IAM, SSO などを利用したクロスアカウントセキュリティ監査
これらをマネージドで構成し、機能として提供しているのが、Control Tower です。
Landing Zone で必要とされる機能を、より具体的に実現しているサービスとなる。
おわりに
どのようにマルチアカウント構成を作成していけば良いのかを知ることができてよかったです。
参考
AWS マルチアカウント管理を実現するベストプラクティスとは ?
AWS Organizations における組織単位のベストプラクティス | Amazon Web Services ブログ
Discussion