みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

AWS Control Tower

notion image
AWS Control Tower は、複数のAWSアカウントを管理し、ガバナンスを強化するためのサービスです。自動でセキュリティやコンプライアンスを守るポリシー(ガードレール)を適用し、複数アカウントの管理やリソースの標準化を支援します。これにより、安全で効率的なAWS環境の構築と運用が可能になります。
 
わかりやすい具体例を使って AWS Control Tower を説明します。
例えば、大きな会社で多くのチームがそれぞれ別のAWSアカウントを使って開発、テスト、運用をしているとします。各チームのニーズは異なりますが、全チームが会社のセキュリティやコンプライアンスのルールに従う必要があります。
AWS Control Tower は、以下のことを簡単に行えるようにします:
  1. アカウントの自動作成:あなたが組織の構造を定義すると、AWS Control Towerは自動的に複数のAWSアカウントを作成し、各アカウントに適切な権限や設定を施します。例えば、開発チーム、テストチーム、運用チームのアカウントを個別に作成できます。
  1. 統一的なセキュリティとコンプライアンス管理:AWS Control Towerは、事前に設定されたセキュリティポリシー(「ガードレール」)を自動的に適用します。例えば、すべてのデータベースが暗号化されていることを確認したり、特定の地域へのアクセスを制限することができます。これにより、各チームは自分たちで設定する必要がなく、全体の管理が簡単になります。
  1. 一元管理と監視:AWS Control Towerを使うと、すべてのAWSアカウントのセキュリティ状態やコンプライアンス状況を一目で確認できます。もしどこかのアカウントがポリシーに違反していた場合、警告を受け取ることができます。
例として、会社のルールで「すべての運用環境のデータベースは暗号化すること」が決まっていたとします。もし、あるチームが運用環境に暗号化されていないデータベースを作成した場合、AWS Control Towerはそれを検出し、警告を出してくれます。
AWS Control Tower を使うことで、複数のAWSアカウントを効率的に管理し、全てのアカウントが会社のセキュリティやコンプライアンスルールに従っていることを簡単に確認できます。

ガードレール

ガードレール(Guardrails) は、AWS Control Tower における「事前定義されたセキュリティとコンプライアンスのポリシー」です。これらは、AWS 環境内でのリソースの使用や設定が特定のルールに従うように強制するものです。ガードレールを適用することで、セキュリティリスクを低減し、企業のポリシーを一貫して守ることができます。

ガードレールの例:

  1. 暗号化の強制:すべてのデータベースやストレージに暗号化を有効にする。
  1. リソースの地域制限:特定の地域(リージョン)でのみリソースを作成することを許可し、それ以外の地域ではリソース作成を禁止する。
  1. IAM(Identity and Access Management)ポリシーの管理:ユーザーやロールに対して必要なアクセス権のみを付与し、不要な権限を制限する。

ガードレールの種類:

  • 推奨ガードレール:セキュリティとコンプライアンスを強化するための推奨される設定ですが、必ずしも強制ではありません。
  • 必須ガードレール:組織に適用される強制的なポリシーで、必ず守らなければならない設定です。
ガードレールは、AWS Control Towerを使ってアカウントが設定される際に自動的に適用され、手動で設定する手間を省きます。これにより、AWS環境の一貫性とセキュリティが保たれます。

実践

qiita.com
https://qiita.com/sugimount-a/items/85c1b7d11ba7c88e629f

一問道場

質問 #64
ある会社がAWS Organizationsで組織を管理しており、AWS Control Towerを使用してランディングゾーンをデプロイしています。
会社はガバナンスとポリシーの実施を行いたいと考えており、プロダクションOU内の暗号化されていないAmazon RDS DBインスタンスを検出するポリシーを実施する必要があります。
この要件を満たすために最適なソリューションはどれでしょうか?
A. AWS Control Towerで必須のガードレールを有効にし、それをプロダクションOUに適用する。
B. AWS Control Towerの強く推奨されているガードレールの中から適切なものを有効にし、それをプロダクションOUに適用する。
C. AWS Configを使用して新しい必須ガードレールを作成し、そのルールをプロダクションOU内のすべてのアカウントに適用する。
D. AWS Control TowerでカスタムSCPを作成し、それをプロダクションOUに適用する。

解説

正解は B です。

解説:

  • B: AWS Control Towerの強く推奨されているガードレールを有効にし、プロダクションOUに適用
    • RDSインスタンスの暗号化ポリシーを検出するために、強く推奨されているガードレールを適用します。

他の選択肢:

  • A: 必須ガードレールは、暗号化検出に関連するポリシーを含んでいないため不適切。
  • C: AWS Configでルールを作成は、Control Towerのガードレールとは関係がないため不適切。
  • D: カスタムSCPを作成は、RDSの暗号化検出には適していません。

結論:

B が最適で、暗号化されていないRDSインスタンスを検出できます。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
065-AWS SAP AWS 「理論・実践・一問道場」NAT SSM063-AWS SAP AWS 「理論・実践・一問道場」AWS Lambdaのタイムアウト制限
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%