Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Control Tower リージョン制限の仕組み JAWS-UG東京 ランチタイムLT会 #29
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
濱口莉生
November 19, 2025
1
34
Control Tower リージョン制限の仕組み JAWS-UG東京 ランチタイムLT会 #29
濱口莉生
November 19, 2025
Tweet
Share
More Decks by 濱口莉生
See All by 濱口莉生
AWS Security Agent触ってみた
hamaguchi323
0
270
【発見的統制・予防的統制周りのおさらい】 JAWS-UG東京 ランチタイムLT会 #27
hamaguchi323
0
62
JAWS-UG 東京 ランチタイムLT#20 登壇資料
hamaguchi323
1
57
MAWS#4 登壇資料
hamaguchi323
0
18
Featured
See All Featured
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
590
Code Reviewing Like a Champion
maltzj
527
40k
Documentation Writing (for coders)
carmenintech
77
5.3k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
330
Optimizing for Happiness
mojombo
379
71k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.8k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.1k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.7k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
Testing 201, or: Great Expectations
jmmastey
46
8.1k
Groundhog Day: Seeking Process in Gaming for Health
codingconduct
0
98
Optimising Largest Contentful Paint
csswizardry
37
3.6k
Transcript
クラウドで「ワクワク」を。 Excitement with the Cloud. Control Tower リージョン制限の仕組み 2025年11月20日 クラウドセントリック株式会社
濱口莉生
© Cloud Centric Corporation 2 クラウドで「ワクワク」を。 自己紹介 今年re:Inventに初参加します!
© Cloud Centric Corporation 3 クラウドで「ワクワク」を。 1. リージョン制限とは 2. リージョン制限の仕組み
3. 自動生成されるSCPの内容 4. 実際に制限したリージョンでリソースを作成してみる 5. 運用時の注意点 6. まとめ
© Cloud Centric Corporation 4 クラウドで「ワクワク」を。 1. リージョン制限とは リージョン制限 ・・・利用を許可するリージョンを限定し、それ以外のリージョンでの操作を拒否する仕組み
リージョン制限を行うことで得られるメリット ①データ管理/処理を行う国や地域を制限できる。 (医療データはローカリティに関する法律や規制の対象になることが多いらしい) ②不要なリージョンでのリソース作成を防ぎ、インシデントの発生やコスト増加を抑制。 ③管理対象のリージョンを明確化することで、運用・監査を簡素化。
© Cloud Centric Corporation 5 クラウドで「ワクワク」を。 2. リージョン制限の仕組み リージョン制限に関するコントロールは2種類存在する。 ①AWS-GR_REGION_DENY
ランディングゾーン設定でリージョン拒否設定を有効にすると、 自動的にSCPが作成され、Root OU(Control Tower管理下の全OU)に適用される。 コントロール ・・・ Control Towerの機能の一つで SCPやConfigなどがテンプレート化されたもの
© Cloud Centric Corporation 6 クラウドで「ワクワク」を。 2. リージョン制限の仕組み ②CT.MULTISERVICE.PV.1 Control
Catalogから手動で設定可能。 適用させたいOUが選択可能で、SCPのカスタマイズも可能
© Cloud Centric Corporation 7 クラウドで「ワクワク」を。 3. 自動生成されるSCPの内容 ・大阪、東京、バージニア、オハイオ、オレゴンを追加リージョンに設定した場合。 ・NotActionの中に指定されているアクションは使用可能。(主にグローバルサービスが指定されている。)
制限から除外するリージョン(追加リージョンに設定したリージョン) 制限から除外するアクション 制限から除外するロール(Control Towerが使用する ロールが指定されている)
© Cloud Centric Corporation 8 クラウドで「ワクワク」を。 4. 実際に制限したリージョンでリソースの作成を試みる 制限をかけたリージョンでVPCを作成しようとすると、SCPで弾かれることが確認できた。
© Cloud Centric Corporation 9 クラウドで「ワクワク」を。 5. 運用時の注意点 ・ OU単位のリージョン制限のコントロール(CT.MULTISERVICE.PV.1)はSecurity
OUには適用できない。 →Security OU内のAuditアカウント、Log Archiveアカウントではリソースのデプロイおよび管理は想定されていないため。 ・ 無効化したリージョンに既存リソースがあった場合は、閲覧、削除、変更ができなくなる。 →無効化する前に必ず確認を行う。 ・ 運用者用のロール、緊急アクセス用のロールをSCPの制限から除外しておく。
© Cloud Centric Corporation 10 クラウドで「ワクワク」を。 6. まとめ ・ リージョン制限に関するコントロールは2種類存在する。
→全OUに適用させるか、OUごとに制限を変えるかで使い分けを行う。 ・ 要件に沿ってどのアカウント、どのOUに適用させるか、どのリージョンを使用するかを慎重に決める。 ・ コントロールを適用できないOU、アカウントがあるので注意が必要。
クラウドで「ワクワク」を。 Excitement with the Cloud.
Your Podcast. Everywhere. Effortlessly.
hamaguchi323
baasie
maltzj
carmenintech
marktimemedia
mojombo
bluesmoon
ivargrimstad
honnibal
cassininazir
jmmastey
codingconduct
csswizardry
