AWS Control Tower とは?マルチアカウント Landing Zone 自動構築
AWS Control Tower は マルチアカウント環境のベストプラクティス構成(Landing Zone)を自動構築するサービス。Organizations + Identity Center + Config + CloudTrail + S3 ログ集約 等を 数ク...
マルチアカウント環境のベストプラクティスをワンクリックで構築するサービス。「Landing Zone」を自動セットアップ。
1. 概要(端的に)
AWS Control Tower は マルチアカウント環境のベストプラクティス構成(Landing Zone)を自動構築するサービス。Organizations + Identity Center + Config + CloudTrail + S3 ログ集約 等を 数クリックで一括セットアップ し、ガードレール(SCP)も標準で適用する。
2. 何ができるか
- Landing Zone 自動構築:マルチアカウントベストプラクティス
- Account Factory:アカウント新規作成テンプレート
- ガードレール:必須・推奨ポリシー(SCP・Config Rules)
- ダッシュボード:組織全体のコンプライアンス可視化
- 既存組織への適用:既存 Organizations へ後付けも可
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | Control Tower 自体は無料、構成サービス(Config 等)は有料 |
| Landing Zone 構成 | Organizations + Identity Center + Config + CloudTrail + S3 集約 |
| ガードレール数 | 100+ |
| 対応リージョン | グローバルに展開可 |
ガードレール 2 種
- Mandatory(必須):絶対適用される
- Strongly Recommended / Elective:推奨・任意
4. 仕組み
Control Tower は Organizations の管理アカウント上で動作し、複数のセキュリティサービスを統合してマルチアカウント環境のベースを構築する。
Landing Zone 構成要素
- Management Account:Organizations 管理
- Log Archive Account:CloudTrail / Config ログ集約
- Audit Account:セキュリティ監査専用
- メンバーアカウント:実業務用
Account Factory
- アカウント新規作成テンプレート
- 部門・プロジェクト別に標準化
- ベースライン構成を自動適用
5. ユースケース
ユースケース 1:マルチアカウント新規構築
ゼロからベストプラクティス構成を立ち上げ。
ユースケース 2:ガバナンスの標準化
全アカウントに同じガードレール適用。
ユースケース 3:監査・コンプライアンス
ログ集約 + 監査アカウントで規制対応。
ユースケース 4:開発チームへのセルフサービス
Account Factory で開発者が自分用アカウントを作成。
6. 関連用語
- Organizations — Control Tower の基盤
- SCP — ガードレールの実体
- Identity-Center — 認証統合
- Config — コンプライアンスチェック
7. 関連サイト
AWS 公式
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 中 | マルチアカウント自動化 |
| SAA | 中 | Landing Zone 設計 |
| DVA | 低 | 出題稀 |
| SOA | 中 | マルチアカウント運用 |