dayjournal memo

Total 973 articles!!

Try #091 – AWS Control Towerでマルチアカウント管理環境を構築してみた

Yasunori Kirimoto's avatar

img




AWS Control Towerでマルチアカウント管理環境を構築してみました!



AWS Control Towerとは、セキュアなAWSマルチアカウント管理環境を構築できるサービスです。AWS OrganizationsAWS SSOも自動で設定されるので、手動でのアカウント作成に比べて手軽に設定可能です。以前会社で導入して便利だったので、今回は個人アカウントにも導入してみました。個人アカウントでは追加でproduction・staging・develop・test環境を構築し管理しています。


詳細として下記について説明します。

  • ランディングゾーン設定
  • アカウント追加
  • SSO接続確認

事前準備

  • 新規アカウント用のメールアドレスを2つ準備。
  • 追加アカウント用のメールアドレスを準備。今回は別途4つ追加で準備しました。


ランディングゾーン設定

AWS Control Towerでランディングゾーンを設定する方法です。


ルートアカウントでログイン → AWSマネジメントコンソール → Control Towerをクリック。

img


「ランディングゾーンを設定」をクリック。

img


ホームリージョン・リージョン拒否設定・追加リージョンを設定 → 「次へ」をクリック。

img


基礎OU・追加OUはそのままを設定 → 「次へ」をクリック。

img


ログアーカイブアカウント・監査アカウントを設定 → 「次へ」をクリック。ここで事前に用意していた2つのメールアドレスを指定。

img


設定確認 → 「ランディングゾーンの設定」をクリック。

img


環境構築されるまで数十分待ちます。

img


完了するとルートアカウント・ログアーカイブアカウント・監査アカウントの3つが作成されます。

img


この設定のみで各種設定されたルートアカウント・ログアーカイブアカウント・監査アカウントが作成されます!



アカウント追加

AWS Control Towerでアカウントを追加する方法です。


Account Factory → 「アカウントの作成」をクリック。

img


アカウントメールアドレス・表示名・SSOメールアドレス・SSOユーザー名・組織単位を設定 → 「アカウントの作成」をクリック。

img


アカウント → ステータスが登録済みと表示されると追加完了。

img


環境ごとにアカウントを作成することでマルチアカウント管理をすることが可能です!



SSO接続確認

AWS Control TowerでSSO接続確認をする方法です。


ユーザーとアクセス → 「ユーザーポータルURL」をクリック。これが今後ログイン時に利用するSSOのURLになります。

img


ユーザー・パスワード・MFA等を入力 → 作成したアカウントのログイン先が表示される。

img


SSOも設定されるのでそれぞれのアカウントに手軽にログイン可能です!



Control Towerはセキュアなマルチアカウント管理を手軽に導入できるのでぜひお試しください!既存アカウントの統合作業は少し大変でした…



AWS Control Towerについて、他にも記事を書いています。よろしければぜひ。
tags - AWS Control Tower



book

Q&A