AWS Control Tower(1)Control Towerの概要

Control Tower

AWS Control Towerを用いることで、ランディングゾーンと呼ばれる、ロギングの一元管理やセキュリテイ監査の確立などの機能を含む、安全でかつペストプラクティスに従ったAWSマルチアカウント環境の作成をすうクリックで実現できる。AWS Control Towerは、AWS Organizations, AWS Service Catalog, AWS Single Sign-Onなどを用いて、このランディングゾーンを1時間未満で構築する。

またAWS OrganizationsとAWS Configを用いて、発見的ガードレールと予防的ガードレールを提供する。これらを用いることで、ポリシーの適用および違反の検出を可能とする。またこれらの状況はダッシュボードから簡単に確認することができる。

また、アカウントファクトリーと呼ばれるアカウントテンプレートを使用して、コンプライアンスポリシーに適合したAWSアカウントを作成することができる。

ランディングゾーン

セキュリティやコンプライアンスのベストプラクティスに基づいたマルチアカウント環境のこと。例えば、

  • AWS Organizationsを利用したマルチアカウント環境の作成
  • AWS Single Sign-Onを用いたID管理とフェデレーテッドアクセスの実現
  • AWS CloudTrailやAWS Configのログの集中管理
  • AWS IAMやAWS SSOを用いたセキュリティ監査

などを実現できる。

ガードレール

ガードレールとはセキュリティや運用などのガナバンスを維持するためのルールで、発見的ガードレールと予防的ガードレールの2種類から構成される。またこれらのガードレールの適用は、必須、強く奨励、選択の3つにレベル分けされている。

アカウントファクトリー

事前に承認済みのネットワーク構成やリージョン選択を含んだアカウントテンプレートに従って、自動的に標準化された新規AWSアカウントを作成できる。アカウントファクトリーは、AWS Service Catalogを用いて構築される。

ダッシュボード

有効化されたガードレール、ポリシーに非準拠のリソースなどを簡単に確認することができる。

料金

AWS Control Towerは、追加料金なしに利用できる。AWS Control Towerによって利用されたAWS Service Catalog, AWS CloudTrail、AWS Config、Amazon CloudWatch、Amazon Simple Notification Service (SNS)、Amazon Simple Storage Service (S3)、Amazon Virtual Private Cloud (VPC) などについては、その利用量従って課金される。

AWS Control Tower の仕組み

AWS Control Towerが作成するランディングゾーンは、以下を含む。なお、これらの作成には、CloudFormation StackSets が利用される。Control Towerが作成したリソースを手動で削除すると、ガードレールの状態が不明になるなどの問題が生じる可能性がある。

構成 内容
セキュリティOU ログアーカイブアカウントと監査アカウントが作成される。アカウント名称は後から変更できない。
サンドボックスOU ユーザがAWSワークロードを実行するための環境
AWS SSO ディレクトリ AWS SSO ユーザを含むディレクトリ
AWS SSO ユーザ ランディングゾーンでAWSワークロードを実行するユーザ

また、ランディングゾーンを設定すると、20個の予防的ガードレールと2個の発見的ガードレールを適用する。これら必須のガードレールは常に適用され変更することはできない。これとは別に強く奨励されるガードレール、選択できるガードレールについては、コンソール上からいつでも変更が可能である。なお、SCPをベースに作成される予防的ガードレールは、管理アカウントには適用されない。

Control Towerのセットアップ

Control Towerは、既存のOrganizationsに適用することも、まだOrganizationsを設定していないAWSアカウントに対して作成することもできる。Control Towerを設定する前に 管理アカウントが条件を満たしているかどうか を確認する。

制限事項

Control Towerを設定するホームリージョンと、新規に作成されるAWSのアカウント名は設定後変更できないことに注意。また、ネストされたOUはControl Towerではサポートされず表示もできない。またそれ以外に、OUに同時に設定できるSCPは5つ以内、300を超えるAWSアカウントを持つOUは登録できないなどの制限も存在する。

ベストプラクティス

リソースへのアクセスや予防的ガードレール(SCP)について、一般のユーザに事前に説明を行う。また、Control Towerをセットアップする上では、

  • 最も使用する頻度の高いリージョンをホームリージョンにする
  • 監査用などに作成されたS3バケットは削除しない

などに注意する。またワークロードと同じリージョンにControl Towerのホームリージョンを置くことで、リージョン間でのログの移動と取得に対するコストを削減できる。Control Towerのサポート外のリージョンでは、Control Towerによって作成されたVPCが使用できない。この場合はこのVPCを無効化しておく。

Control Towerを使用することで、AWSアカウントはリソースのコンテナ、リソースの境界として機能する。これにより、セキュリティの脅威を限定し、複数のワークロードやその課金を適切に管理できる。マルチアカウントを利用することで、適切なセキュリティコントロール、リソースの分離、チーム別のリソースの提供、データの分離、ビジネスプロセスに沿ったアカウント管理、費用の管理、適切なクオータの割り当てなどを実現できる。詳細については、AWS Organizations(2)AWSアカウントの管理を参照のこと。

### VPC アカウントファクトリーは、デフォルトVPCを削除してそれとは異なるVPCを作成する。このVPCはデフォルトでは、1つのAZに1つのパブリックサブネットと2つのプライベートサブネットを作成するため、3つのAZで合計9個のサブネットが作成される。これらの数は変更可能。VPCのデフォルトのCIDR範囲は、172.31.0.0/16で、作成されたサブネット間は全て通信が許可される。CIDR範囲は変更可能だが、変更後に作成した新規のAWSアカウントからこの設定が反映される。

設定変更管理

ランディングゾーンの設定は、バージョン管理されていて、定期的にAWSから最新のバージョンが提供される。自身の環境が最新のランディングゾーンの設定になっていない場合をドリフト状態と呼び、更新が促される。更新を行うためには、まずランディングゾーンを更新し、その後の状況によって個々のAWSアカウントを個々に更新する。

AWS Elemental MediaStore(1)MediaStore の概要

MediaStore

AWS Elemental MediaStoreは、メディア向けに最適化されたストレージサービス。動画ワークフローにおけるオリジンストアの役割を担う。高いパフォーマンス、一貫性、低レイテンシーの読み取りと書き込みを同時に実現することで、バッファリングのリスクが低減され、エンドツーエンドのレイテンシーも短縮できる。また、受信するリクエストの量に合わせてスケーリングを行うこともできる。理想的なユースケースは、HTTPを用いたビットレート可変型のライブストリーミングの処理で、MediaStoreを単独のサービスとしても、他のMediaServicesと組み合わせることも出来る。ライブストリーミングを配信しない場合には、Amazon S3によって代替できる。

### 料金

GBあたりの取り込み料金とストレージ料金によって課金される。またリクエストについても課金され、ストレージクラスとリクエストタイプによって単価が異なる。

CloudFrontをCDNとして利用する際には、CloudFrontまでの転送費用は発生しない。ただし、他のCDNを利用する際には転送費用が発生する。

コンテナ

MediaStore のコンテナを使用して、フォルダとオブジェクトを保存できる。コンテナ名は、同一リージョンのアカウント内で一意である必要があり、大文字、小文字、数字、および下線(_)を含めることができる。コンテナ名は変更できない。