Control Tower リージョン制限の仕組み JAWS-UG東京 ランチタイムLT会 #29

Transcript

1. クラウドで「ワクワク」を。 Excitement with the Cloud. Control Tower リージョン制限の仕組み 2025年11月20日 クラウドセントリック株式会社

   濱口莉生

2. © Cloud Centric Corporation 2 クラウドで「ワクワク」を。 自己紹介 今年re:Inventに初参加します！

3. © Cloud Centric Corporation 3 クラウドで「ワクワク」を。 1. リージョン制限とは 2. リージョン制限の仕組み

   3. 自動生成されるSCPの内容 4. 実際に制限したリージョンでリソースを作成してみる 5. 運用時の注意点 6. まとめ

4. © Cloud Centric Corporation 4 クラウドで「ワクワク」を。 1. リージョン制限とは リージョン制限 ・・・利用を許可するリージョンを限定し、それ以外のリージョンでの操作を拒否する仕組み

   リージョン制限を行うことで得られるメリット ①データ管理/処理を行う国や地域を制限できる。 （医療データはローカリティに関する法律や規制の対象になることが多いらしい） ②不要なリージョンでのリソース作成を防ぎ、インシデントの発生やコスト増加を抑制。 ③管理対象のリージョンを明確化することで、運用・監査を簡素化。

5. © Cloud Centric Corporation 5 クラウドで「ワクワク」を。 2. リージョン制限の仕組み リージョン制限に関するコントロールは2種類存在する。 ①AWS-GR_REGION_DENY

   ランディングゾーン設定でリージョン拒否設定を有効にすると、 自動的にSCPが作成され、Root OU(Control Tower管理下の全OU)に適用される。 コントロール ・・・ Control Towerの機能の一つで SCPやConfigなどがテンプレート化されたもの

6. © Cloud Centric Corporation 6 クラウドで「ワクワク」を。 2. リージョン制限の仕組み ②CT.MULTISERVICE.PV.1 Control

   Catalogから手動で設定可能。 適用させたいOUが選択可能で、SCPのカスタマイズも可能

7. © Cloud Centric Corporation 7 クラウドで「ワクワク」を。 3. 自動生成されるSCPの内容 ・大阪、東京、バージニア、オハイオ、オレゴンを追加リージョンに設定した場合。 ・NotActionの中に指定されているアクションは使用可能。（主にグローバルサービスが指定されている。）

   制限から除外するリージョン（追加リージョンに設定したリージョン） 制限から除外するアクション 制限から除外するロール（Control Towerが使用する ロールが指定されている）

8. © Cloud Centric Corporation 8 クラウドで「ワクワク」を。 4. 実際に制限したリージョンでリソースの作成を試みる 制限をかけたリージョンでVPCを作成しようとすると、SCPで弾かれることが確認できた。

9. © Cloud Centric Corporation 9 クラウドで「ワクワク」を。 5. 運用時の注意点 ・ OU単位のリージョン制限のコントロール（CT.MULTISERVICE.PV.1）はSecurity

   OUには適用できない。 →Security OU内のAuditアカウント、Log Archiveアカウントではリソースのデプロイおよび管理は想定されていないため。 ・ 無効化したリージョンに既存リソースがあった場合は、閲覧、削除、変更ができなくなる。 →無効化する前に必ず確認を行う。 ・ 運用者用のロール、緊急アクセス用のロールをSCPの制限から除外しておく。

10. © Cloud Centric Corporation 10 クラウドで「ワクワク」を。 6. まとめ ・ リージョン制限に関するコントロールは2種類存在する。

    →全OUに適用させるか、OUごとに制限を変えるかで使い分けを行う。 ・ 要件に沿ってどのアカウント、どのOUに適用させるか、どのリージョンを使用するかを慎重に決める。 ・ コントロールを適用できないOU、アカウントがあるので注意が必要。

11. クラウドで「ワクワク」を。 Excitement with the Cloud.