AWS Control Towerでマルチアカウント管理環境を構築してみました!
AWS Control Towerとは、セキュアなAWSマルチアカウント管理環境を構築できるサービスです。AWS OrganizationsやAWS SSOも自動で設定されるので、手動でのアカウント作成に比べて手軽に設定可能です。以前会社で導入して便利だったので、今回は個人アカウントにも導入してみました。個人アカウントでは追加でproduction・staging・develop・test環境を構築し管理しています。
詳細として下記について説明します。
- ランディングゾーン設定
- アカウント追加
- SSO接続確認
事前準備
- 新規アカウント用のメールアドレスを2つ準備。
- 追加アカウント用のメールアドレスを準備。今回は別途4つ追加で準備しました。
ランディングゾーン設定
AWS Control Towerでランディングゾーンを設定する方法です。
ルートアカウントでログイン → AWSマネジメントコンソール → Control Towerをクリック。
「ランディングゾーンを設定」をクリック。
ホームリージョン・リージョン拒否設定・追加リージョンを設定 → 「次へ」をクリック。
基礎OU・追加OUはそのままを設定 → 「次へ」をクリック。
ログアーカイブアカウント・監査アカウントを設定 → 「次へ」をクリック。ここで事前に用意していた2つのメールアドレスを指定。
設定確認 → 「ランディングゾーンの設定」をクリック。
環境構築されるまで数十分待ちます。
完了するとルートアカウント・ログアーカイブアカウント・監査アカウントの3つが作成されます。
この設定のみで各種設定されたルートアカウント・ログアーカイブアカウント・監査アカウントが作成されます!
アカウント追加
AWS Control Towerでアカウントを追加する方法です。
Account Factory → 「アカウントの作成」をクリック。
アカウントメールアドレス・表示名・SSOメールアドレス・SSOユーザー名・組織単位を設定 → 「アカウントの作成」をクリック。
アカウント → ステータスが登録済みと表示されると追加完了。
環境ごとにアカウントを作成することでマルチアカウント管理をすることが可能です!
SSO接続確認
AWS Control TowerでSSO接続確認をする方法です。
ユーザーとアクセス → 「ユーザーポータルURL」をクリック。これが今後ログイン時に利用するSSOのURLになります。
ユーザー・パスワード・MFA等を入力 → 作成したアカウントのログイン先が表示される。
SSOも設定されるのでそれぞれのアカウントに手軽にログイン可能です!
Control Towerはセキュアなマルチアカウント管理を手軽に導入できるのでぜひお試しください!既存アカウントの統合作業は少し大変でした…
AWS Control Towerについて、他にも記事を書いています。よろしければぜひ。
tags - AWS Control Tower
- 参考文献
AWS Control Tower