AWSを使用したことのある人なら誰でも、アカウント(実際に作業が行われるアカウント)の存在をよく知っています。リソースの割り当て、アクセス権の差別化などです。多くの場合、複数のアカウントを作成する必要があります。それらが会社のさまざまな部門の個別のアカウントであるか、プロジェクトの個別のアカウントであるか、1つのプロジェクトのさまざまな環境(開発、テスト、運用)でさえもです。アカウント管理のために、AWSはAWS組織を提供します。これにより、新しいアカウントの作成、リソースの割り当て、すべてのアカウントに単一の支払い方法を設定することによる請求書の支払いの最適化、アカウントグループの作成、およびワークフローの効率的な管理のためのポリシーの適用が可能になります。
ただし、AWS組織だけではアカウントを管理するのに十分ではありません。アカウントを作成するだけでなく、会社で受け入れられている基準やポリシーを満たし、作成されたアカウントのステータスを追跡し、JSONドキュメントを編集せずにポリシーを管理できるように、さらに便利にアカウントを作成することが望まれます。仕方。また、組織内のアカウントの数が増えると、AWSOrganizationsサービスの機能が不足しているという理解がすぐに得られます。そして、この道を歩み始めた人には、2つのオプションがあります。AWSのツールを使用するか、Control Towerを使用するか、独自の制御スクリプトを開発します。記事の残りの部分では、2番目のオプションを選択した理由について説明します。
AWS Control Towerとは何ですか?
AWS Landing Zoneを定義することから始めます。これは、ユーザーがベストプラクティスに基づいて安全なマルチアカウントAWS環境をすばやくセットアップするのに役立つソリューションです。これがAWSコントロールタワーの中心にあるものです。公式情報によると、このソリューションは引き続き存在しますが、将来の改善がなく、新しいユーザーはAWS ControlTowerを使用して複数のアカウントでAWS環境を管理することを強くお勧めします。
AWS Control Towerとは何ですか?これは、AWSマルチアカウント環境の作成と管理を自動化するAWSマネージドサービスです。AWS組織をアカウントコントロールのプライマリAWSサービスとして自動的に設定し、サービスコントロールポリシー(SCP)を使用して予防策と制限を実装します。AWS Control Towerは、クラウドで新しいAWS環境またはプロジェクトを作成する場合や、複数のアカウントを持つ既存のAWS環境で作業する場合など、さまざまなシナリオで使用できます。
サービスの主な機能は次のとおりです。
- Landing Zone. AWS Organization , SSO ;
- . , ;
- Account Factory. , – VPC, . .;
- . . – , , .
?
開始するには、AWSアカウントと管理者権限を持つユーザーが必要です。このアカウントは、AWS組織を作成するときにマスターアカウントとして使用されます。AWS Control Towerはすべての地域でサポートされているわけではありません。たとえば、カリフォルニア地域はヨーロッパの米国、ミラノ、パリではサポートされていません。アジアでは、利用可能な7つの地域のうち2つだけがサポートされています。シンガポールとシドニー(この記事の執筆時点での情報)..。
このサービスは、AWS CloudFormationテンプレートのセットに基づいており、次のリソースを使用してランディングゾーンを作成します。
- アカウントの3つのグループ(組織単位)-ルート、コア、カスタム。
- コア組織ユニットの2つのアカウント-組織のすべてのログを保存するためのログアーカイブアカウントと監査のための監査アカウント。
- AWS SSO - ;
- 20 6 . , -. AWS CloudTrail, .
上記の制約は、セキュリティ、ワークフロー、コンプライアンスの管理に役立つ、すぐに使用できるサービスコントロールポリシーとAWSConfigルールです。予防制限は、セキュリティポリシーに違反するアクションを禁止します。このような制限の例としては、組織の一部であるアカウントのユーザーのログアーカイブを削除したり、ログプロセスを停止したりできない場合があります。探偵の制限により、アカウントがセキュリティルールに準拠しているかどうかが確認され、準拠していない場合は、監査アカウントに通知が送信されます。例としては、ディスク暗号化の欠如やアカウント内の未使用ディスクの存在があります。
また、組織内のアカウントの作成と管理のプロセスを容易にするための一部のAWSサービスとの統合。たとえば、AWS Firewall Managerとの統合により、組織レベルで動作する追加のポリシーを作成できます。一方、AWS Service Catalogとの統合により、事前定義されたプロパティとリソースのセットを使用してアカウントを簡単に作成できます。
使用する利点
高速、シンプル、安全。管理コンソールを数回クリックするだけで、本格的な組織をすばやく作成できます。その結果、推奨されるセキュリティ基準を満たす組織と、組織の状態を通知するシステムが得られます。組織リソースを作成および構成するためのすべてのアクションはユーザーから隠されており、実際にかなりの数のアクションがあります。組織を管理する手順も非常に単純化されており、意図したとおりに機能するように、どのポリシーをどのサービスに規定するかを考える必要はありません。また、既存の制限のセットにより、作業が非常に簡単になり、組織の構成がリストから制限を選択するようになります。これは、独自の開発よりもはるかに高速です。
AWS Control Towerを使用しないのはなぜですか?
AWS Control Towerが使用されなかった主な理由の1つは、サービスがTerraformと統合されていないことです。これは、クラウドプロバイダーと連携するためのデファクトスタンダードとして採用されました。おそらく将来的には、この統合が登場し、決定を再考することが可能になるでしょう。また、Terraformを使用して組織自体を作成することでもありません。最初にコンソールで組織を作成し、次にTerraformを介して組織をリソースで埋めることができます。しかし、将来的には作成されたリソースを管理したかったのです。ポリシーを変更し、VPC、セキュリティグループ、SNSトピックなどの作成されたリソースにアクセスして、さらにカスタマイズおよび拡張できるようにしました。
2番目の理由は、一連のアカウントと特定の作業ロジックを備えた既存の組織が存在することでした。 AWS Control Towerを使用すると、現在の組織を管理下に移すことができます。しかし、正確には止まらなかったが、いくつかの懸念を引き起こしたいくつかのポイントが現れました。すなわち:
- SCP . AWS Control Tower SCP . . SCP , — . , AWS Control Tower .
- SSO -. AWS Control Tower , . , – ;
さて、ちょっとした追加として、私は一般的に受け入れられている標準から離れて、ストレージ、処理、通知システム、ダッシュボードを含む1つのアカウントで組織のログを使用して作業を整理したいと思いました。 AWS Control Towerでは、これはロギングと監査の2つのアカウントに分割されていることを思い出してください。
3番目の理由は、前述のAWS ControlTowerの制限をカスタマイズしたいという要望でした。まず、ポリシーのリストを展開します。たとえば、特定のリソース(アカウント管理または重要なリソースに関連する特定の役割)の削除/変更を禁止します。次に、AWS Control Towerに実装されているように、アカウントのグループではなく、1つの特定のアカウントのレベルでロールを使用します。そして第3に、たとえばしばらくの間、これらすべてをオンザフライで管理するには、特定のアカウントの特定の制限セットを切断してから、接続し直します。
ただし、AWS ControlTowerをまったく使用していないとは言えません。もちろん、このサービスの実装には多くのことが必要であり、独自のソリューションを構築する過程で、AWS ControlTowerの調査から得た知識を使用しました。
結論
AWS Control Towerまたはカスタムスクリプト、既製の製品またはカスタム開発。いつものように、完成品はソリューションの実装をスピードアップし、開発コストを削減し、バグを修正しますが、その見返りとして柔軟性が失われます。
AWS Control Towerは、アカウントの編成を管理するための便利なサービスです。1つのアカウントでは不十分であり、組織を構築する必要があるという結論に達した場合は、AWS ControlTowerから始めてください。ポリシーの作成方法、ログ処理および通知サービスの設定方法がわからない場合、同時にセキュリティが組織の存在にとって不可欠な前提条件である場合は、AWS ControlTowerから始めてください。AWSコンソールを使用してクラウドインフラストラクチャを管理している場合は、AWS ControlTowerが十分に魅力的であることがわかるでしょう。
ただし、組織が標準を超える特定のレベルのカスタマイズを必要とする場合、またはアカウントが頻繁に変更されるルールに従って動作する必要がある場合は、他のソリューションが必要になる場合があります。