334-AWS SAP AWS 「理論・実践・一問道場」AWS Control Tower
理論
AWSマルチアカウント環境と運用効率化に関する知識
1. AWS Control Tower
AWS Control Towerは、複数のAWSアカウントを管理するためのベストプラクティスを自動化するサービスです。以下が特徴です:
- 自動セットアップ:複数アカウントを簡単に作成し、管理のための基本構造(OUやSCPなど)を提供。
- ガードレール(Guardrails):セキュリティやコンプライアンスを強化するためのポリシーを自動的に適用。
- 一貫性と柔軟性:異なる規制要件に対応可能なOU(組織単位)を設定可能。
ユースケース:
- 初期設定が簡単で、管理の一貫性が求められる環境に最適。
2. AWS Organizations
AWS Organizationsは、マルチアカウント環境を管理するための基本サービスです。
- OU(組織単位):アカウントをグループ化し、ポリシーを適用可能。
- SCP(サービスコントロールポリシー):アカウントのアクセス権限を制御するためのポリシー。
注意点:
Control TowerなしでOrganizationsを使う場合、設定の自動化がなく運用負担が増える可能性があります。
3. AWS IAM Identity Center(AWS Single Sign-On)
- AWS IAM Identity Centerは、ユーザーとAWSアカウント間のアクセス管理を簡略化します。
- Active Directory(AD FS)との統合が可能で、オンプレミス環境とシームレスに接続できます。
- SSOを用いることで、複数アカウントに対する一貫したアクセス管理が実現します。
4. AWS Config
AWS Configは、リソースの設定変更を追跡し、規制要件に準拠しているかを確認するサービスです。
- コンフォーマンスパック:標準化された設定ルールのセットを適用可能。
- マルチアカウント環境全体での設定管理に役立つ。
5. ガードレールとセキュリティ管理
- AWS Control Towerのガードレールを活用することで、セキュリティ違反を未然に防ぐ。
- SCPを活用して、アカウントごとのアクセス制御を一元管理。
ベストプラクティス
- AWS Control Towerを活用する
- 初期構築を効率化し、セキュリティとコンプライアンスを自動的に適用する。
- AWS IAM Identity Centerを使用
- ユーザーアクセス管理を簡略化し、AD FSとの統合を実現。
- AWS Configで設定を監視
- マルチアカウント環境全体の設定状況をリアルタイムで追跡。
関連知識の適用例
企業がコンプライアンス要件を満たす必要がある場合、AWS Control Towerを使ってガードレールを設定し、AWS ConfigとIAM Identity Centerでセキュリティとアクセス管理を効率化することが最適なソリューションとなります。
実践
略
一問道場
質問 #334
ある企業がインフラストラクチャをAWSクラウドに移行しています。
この企業は、プロジェクトごとに異なるさまざまな規制基準に準拠する必要があります。企業はマルチアカウント環境を必要としています。
ソリューションアーキテクトは、基本となるインフラストラクチャを準備する必要があります。このソリューションは、管理とセキュリティの一貫した基盤を提供しつつ、各AWSアカウント内で異なるコンプライアンス要件に対応できる柔軟性を持たせる必要があります。また、このソリューションは、既存のオンプレミスのActive Directory Federation Services(AD FS)サーバーと統合する必要があります。
どのソリューションが最小限の運用オーバーヘッドでこれらの要件を満たしますか?
オプション:
A:
- AWS Organizationsで組織を作成する。
- すべてのアカウントに対して最小権限アクセス用の単一のサービスコントロールポリシー(SCP)を作成する。
- すべてのアカウントを1つの組織単位(OU)に配置する。
- オンプレミスのAD FSサーバーとのフェデレーション用にIAMアイデンティティプロバイダーを構成する。
- 中央ログ記録アカウントを構成し、ログ生成サービスがログイベントを中央アカウントに送信する定義済みプロセスを設定する。
- 中央アカウントでAWS Configを有効化し、すべてのアカウントに対してコンフォーマンスパックを設定する。
B:
- AWS Organizationsで組織を作成する。
- AWS Control Towerを組織で有効化する。
- SCP(ガードレール)として含まれているコントロールを確認する。
- 追加が必要な領域についてAWS Configを確認する。
- 必要に応じてOUを追加する。
- AWS IAM Identity Center(AWS Single Sign-On)をオンプレミスのAD FSサーバーに接続する。
C:
- AWS Organizationsで組織を作成する。
- 最小権限アクセス用のSCPを作成する。
- OU構造を作成し、AWSアカウントをグループ化する。
- AWS IAM Identity Center(AWS Single Sign-On)をオンプレミスのAD FSサーバーに接続する。
- 中央ログ記録アカウントを構成し、ログ生成サービスがログイベントを中央アカウントに送信する定義済みプロセスを設定する。
- 中央アカウントでAWS Configを有効化し、アグリゲーターとコンフォーマンスパックを使用する。
D:
- AWS Organizationsで組織を作成する。
- AWS Control Towerを組織で有効化する。
- SCP(ガードレール)として含まれているコントロールを確認する。
- 追加が必要な領域についてAWS Configを確認する。
- オンプレミスのAD FSサーバーとのフェデレーション用にIAMアイデンティティプロバイダーを構成する。
解説
この問題のポイントは、規制要件に対応したマルチアカウント環境を構築するための最適な方法を選ぶことです。要件には、以下が含まれます:
- 管理とセキュリティの一貫性を提供すること。
- 各AWSアカウントで異なるコンプライアンス要件をサポートする柔軟性を持つこと。
- オンプレミスのAD FSサーバーとの統合。
- 運用オーバーヘッドを最小限に抑えること。
各オプションの分析
A.
- AWS OrganizationsとIAMアイデンティティプロバイダーを活用し、シンプルな構成を提案していますが、AWS Control Towerのような追加ツールがないため、管理の一貫性と柔軟性が不足しています。
- 特にOU(組織単位)を1つだけ使用しているため、複数のコンプライアンス要件に対応する柔軟性がありません。
B.(正解)
- AWS Control Towerを活用することで、複数アカウント管理のためのベストプラクティスを自動的に適用できます。
- 各アカウントのガードレール(SCP)やAWS Configで管理の一貫性を保ちつつ、柔軟なOU構造で異なる規制要件に対応可能です。
- AWS IAM Identity Center(AWS Single Sign-On)は、オンプレミスのAD FSと容易に統合できます。
- Control Towerによるセットアップは自動化されており、運用オーバーヘッドが最小限になります。
C.
- AWS Control Towerを使用せず、手動でOUやSCPを構成する方法を提案しています。
- 手動構成のため、AWS Control Towerのような一貫した管理や運用の自動化がなく、運用オーバーヘッドが増えます。
D.
- AWS Control Towerを使用している点は良いですが、IAMアイデンティティプロバイダー(IdP)を選んでおり、AWS IAM Identity Center(AWS Single Sign-On)ではないため、オンプレミスAD FSとの統合が複雑になる可能性があります。
選択肢Bが正解の理由
- AWS Control Towerを使用することで、管理とセキュリティのベストプラクティスを自動的に適用できます。
- SCPやAWS Configを含む管理ツールが初期設定から提供されるため、追加の運用負担が最小限です。
- AWS IAM Identity Center(AWS Single Sign-On)はAD FSとの統合が容易で、アクセス管理を効率化できます。
まとめ
AWS Control Towerを中心にしたソリューション(B)は、規制要件に対応する柔軟性を確保しながら、運用オーバーヘッドを最小化します。そのため、Bが最も適切な選択肢です。
- Author:minami
- URL:https://www.minami.ac.cn/private-license/177d7ae8-88e2-80ac-8af3-cee717bfd9f3
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
