AWS Control Towerで迅速かつ安全にアカウントをカスタマイズ

Pulisher : Managed & Support Center イ・スンヒ
Description : アーキテクチャをベースにしたAWS ControlTowerの説明

はじめに

このセッションでは、クラウドインフラストラクチャのコスト削減効果について様々な側面から分析します。 また、クラウドインフラストラクチャ導入の意思決定のために、その意思決定による効率的な運用のための方法を学び、コスト削減効果について深く理解するために申し込みました。

セッションの概要紹介

基本的にコントロールタワーは、一貫性のある方法でマルチアカウント環境を非常に簡単に設定することができます。
コントロールタワーを通じて、構築ガバナンスを通じてワークロードアカウントを作成することができます。
また、一元化されたロギングとアクセス管理を受けることができ、ガバナンスコントロールも設定することができます。

コントロールタワーについて話すとき、100個のアカウントを作成する場合、これらのアカウントを標準化するためにワークロードアカウントを作成する必要があるということです。

すべてのアカウントは一貫性を保つ必要があります。顧客がコントロールタワーアカウントをカスタマイズしたいときに、最もよく求められる5つのカスタマイズカテゴリです。

基本的には、アイデンティティ、コンプライアンス、ネットワーキング、ロギング、コントロールに関するものです。

AFTとランディングゾーンアクセラレータの主な違いの1つは、AFTがオープンソースツールであるのに対し、ランディングゾーンアクセラレータは独自のツールであることです。

AFTは、AWSコントロールタワーからのアカウントのプロビジョニングとカスタマイズをサポートするTerraformパイプラインを設定します。

LZAは、AWSのベストプラクティスと複数のグローバルコンプライアンスフレームワークに適合するように設計されたクラウドベースを実装する独自のソリューションです。

LZAはコントロールタワーと一緒にアカウントの作成をサポートします。

AWS Control TowerはAWS CloudFormation StackSetsを使用してアカウントにリソースを設定します。 各スタックセットにはアカウントに対応するStackInstanceがあり、アカウントごとにAWS Regionに対応します。AWS Control Towerは、アカウントごとに1つのStackSetインスタンスを展開し、Regionごとに1つのStackSetインスタンスを展開します。

Account Factory Customizationには以下のような特徴があります。
・既存のアカウントワークフローへの統合
・完全にカスタマイズされたアカウントBlueprintの構築 クラウドフォーメーションとTerraformのサービスカタログのサポートに基づく。
・12社のパートナーBluprintへのアクセス

このCfCT機能は、AWSコントロールタワーのライフサイクルイベントと統合され、リソースの配布がランディングゾーンと同期された状態で維持されます。たとえば、Account Factoryを通じて新しいアカウントが作成されると、アカウントに関連付けられたすべてのリソースが自動的にデプロイされます。カスタムテンプレートやポリシーを組織内の個々のアカウントや組織単位（OU）に展開することができます。

AFTはAFT機能を展開するために、AFT管理アカウントという別のアカウントを作成します。AFTを設定するには、既存のAWSコントロールタワーランディングゾーンが必要です。AFT管理アカウントがAWSコントロールタワー管理アカウントと同じではありません。

セッションを終えて

今回のセッションでは、コントロールタワーのアーキテクチャをベースにした説明だけでなく、chalk talkセッションなので、実際の運営環境や顧客運営環境をサポートする際に直面する問題についてもQ&Aが行われ、より実例を確認することができ、有益でした。