AWS Control Tower Landing zone 4.0 についてまとめてみた

AWS Control Tower Landing zone 4.0 についてまとめてみた 2025/11/22 第29回クラウド⼥⼦会〜ちょっと⻑いLTしましょ〜

⽬次 2 • AWS Control Tower とは • Landing zone
4.0 の主要変更点 ◦ サービス統合のオプション化 ◦ 専⽤リソースへの分離 ◦ 柔軟な OU 構成 ◦ Controls-Only experience • AWS Conﬁg の改善 • まとめ

AWS Control Tower とは

AWS Control Tower とは 4 • AWS 上でマルチアカウント環境を安全かつ効率的に構築‧管理するためのサービス • 主な機能
◦ Landing zone の⾃動セットアップ ▪ セキュアなマルチアカウント環境を短時間で構築 ◦ ガバナンスの⼀元管理 ▪ 予防的‧検出的なガードレール（コントロール）を適⽤ ◦ 継続的なコンプライアンス監視 ▪ アカウント全体のポリシー準拠状態を可視化 ※AWS Black Belt Online Seminar AWS Control Tower 基礎編より引用

これまでの課題 5 Control Tower を利⽤するには「フルセット」での導⼊が必要だった • Security OU が必須
• Log Archive / Audit アカウントが必須 • Conﬁg、CloudTrail が強制的に有効化 • 組織構造が決まっている ◦ 基礎となる OU と追加の OU を作成する必要があった ⇒ 「Control Tower のコントロール機能だけ使いたい」、「既存 Organizations 環境に後から導⼊したい」が難しかった

Landing zone 4.0 が登場！ 6 • リリース⽇ ◦ 2025 年
11 ⽉ 17 ⽇ • リリースノート ◦ AWS Control Tower Landing zone version 4.0 なんと、、、必要な機能だけ選んで構築できる、柔軟なランディングゾーンになりました！

Landing zone 4.0 の主要変更点

その前に…セットアップ画⾯もかなり変化しました 8

その前に…セットアップ画⾯もかなり変化しました 9

主要変更点 1/4 10 サービス統合のオプション化以下の AWS サービス統合を個別に有効/無効を選択可能になりました •
AWS Conﬁg • AWS CloudTrail • AWS Backup（以前から選択可能でした）注意 Conﬁg を無効にする場合は、IAM Identity Center、Backup も無効化が必要です

主要変更点 1/4 11 IAM Identity Center や AWS Backup と同様に
Conﬁg、CloudTrail も有効/無効を選択可能に！ Conﬁg を無効に選択した場合、 IAM Identity Center、Backup も強制的に無効となる

主要変更点 2/4 12 専⽤リソースへの分離 Before（LZ 3.x） Conﬁg と CloudTrail が同じ
S3 バケットと同じ SNS トピックを共有していた After（LZ 4.0）各サービスがそれぞれ専⽤ S3 バケットと専⽤ SNS トピックを使⽤するように

主要変更点 2/4 13 Before（LZ 3.x） LogArchive アカウントに存在する同⼀ S3 バケット内でディレクトリを分けて保存されていた

主要変更点 2/4 14 After（LZ 4.0） • 専⽤ S3 バケットになった •
CloudTrail は LogArchive アカウント、Conﬁg は Audit アカウントの S3 に保存される

主要変更点 2/4 15 Before（LZ 3.x）同じ SNS トピックを共有していた

主要変更点 2/4 16 After（LZ 4.0）専⽤ SNS トピックになった

主要変更点 3/4 17 柔軟な OU 構成 Before（LZ 3.x） • Security
OU の作成‧配置が強制 • ハブアカウント（LogArchive / Audit）は Security OU 配置が必須 After（LZ 4.0） • Security OU は作成されるが、Control Tower が管理しない • ハブアカウントを任意の OU に配置可能 ◦ 唯⼀の要件として、ハブアカウントは同⼀ OU に配置する必要あり

主要変更点 3/4 18 • Security → Test-Security に名前変更可能＝ Control
Tower が管理していない • Test-Security に Audit/LogArchive アカウントを配置可能＝ハブアカウントを任意の OU に配置可能

主要変更点 4/4 19 Controls-Only experience フルのランディングゾーンを構築せずに、コントロールだけを使えるように ⇒ 既に Organizations を運⽤中で、
コントロール機能だけ使いたい顧客が導⼊しやすくなりました

主要変更点 4/4 20 Controls-Only で何が不要になるか？既存 Organizations 環境に Control Tower
のガバナンス（コントロール）機能だけを後付けで導⼊可能になった！項目従来の Control Tower Controls-Only 構成 AWS Config 必須で自動設定不要 AWS CloudTrail 必須で自動設定不要 Security OU 必須不要 LogArchive / Audit アカウント必須不要

主要変更点 4/4 21 • Controls-Only でセットアップ後のランディングゾーン設定 • 関連サービスを何も有効にしていない状態であることが確認できる • Audit/LogArchive
アカウントが存在していない • 既存 OU があったとしても、 Control Tower に登録されていない状態（Root と管理アカウントのみが登録された状態）

主要変更点 4/4 22 関連サービスを何も有効にしていない状態でも、コントロールを使うことができる！

AWS Config の改善 23 サービスリンク Config アグリゲーター（SLCA）を導⼊ Before（LZ 3.x） •
管理アカウントと Audit アカウントそれぞれに組織/アカウントアグリゲーター ⇒ 2 つのアグリゲーターが存在していた • SCP で保護が必要だった（3つの SCP コントロールを使⽤していた） After（LZ 4.0） • Audit アカウントにサービスリンクアグリゲーター ⇒ 1 つに集約 • 組織内全アカウントを⾃動集約（Control Tower 管理外も含む） • AWS Config が⾃動保護（SCP 不要）

AWS Conﬁg の改善 24 従来とサービスリンク Conﬁg アグリゲーター（SLCA）の違い補⾜サービスリンクリソース： AWS
側が管理する特別なリソースで、ユーザーによる削除‧変更がシステムレベルで制限されるため、SCP で保護しなくても AWS が⾃動的に保護してくれる項目従来（LZ 3.x） SLCA（LZ 4.0）リソースタイプ通常の Config リソースサービスリンクリソース作成・管理 AWS Control Tower AWS Config 保護方法 3 つの SCP で明示的に保護 AWS 側が自動保護アグリゲーター数 2 つ 1 つ集約範囲管理アカウント：組織全体 Audit アカウント：CT 管理下のみ組織全体

まとめ 25 • Landing zone 4.0 のポイント ◦ 必要な機能だけ選択できる柔軟性 ◦
サービス統合（Conﬁg、CloudTrail、Backup）のオプション化 ◦ 専⽤リソースによる分離管理 ◦ 柔軟な OU 構成（ハブアカウントを任意のOUに配置可能） ◦ Controls-Only で既存環境への導⼊が容易に • このアップデートを受けて… ◦ 既存 Organizations 環境への段階的導⼊が現実的に ◦ 「フルセット導⼊」から「必要な機能だけ選択」へ ◦ Control Tower 導⼊の障壁が⼤幅に低くなった印象

おまけ 26 実は他にも、279 個の新しいマネージド Conﬁg rules（コントロール）が追加されたりしています。 ⇒ AWS Control
Tower now supports seven new compliance frameworks and 279 additional AWS Conﬁg rules 同⽇発表されていた以下のアップデートは、本スライドの Controls-Only experience で説明した内容になります。 ⇒ AWS Control Tower introduces a controls-dedicated experience

ありがとうございました！

AWS Control Tower Landing zone 4.0 についてまとめてみた

AWS Control Tower Landing zone 4.0 についてまとめてみた

いたくら

More Decks by いたくら

Featured

Transcript