既存アカウントをControl Towerへ登録するときに確認したことをまとめてみる | DevelopersIO
はじめに Control Towerへ既存のアカウントを登録する際、いくつか事前に確認しておくべきポイントがあったのでまとめてみました。Control Towerでマルチアカウントを運用している環境に、既存アカウントを登録するとなった時の確認用としてご利用下さい。網羅できている自信はないのであくまで参考程度にして頂き、最新の確認事項についてはドキュメントを確認頂ければ幸いです。 既存の AWS アカウントを登録する - AWS Control Tower 実際の登録手順については以下をご参照下さい。 確認しておくこと Control Tower 管理アカウントと同じOrganizations 組織に存在しているか Control Towerへの登録条件として、管理アカウントが存在しているOrganizationsの組織配下にアカウントが存在している必要があります。Control Tower
AWS Control Tower の Landing Zone v3.0 の更新内容を読み解く - Hatena Developer Blog
はてなで SRE をやっている id:nabeop です。 はてなでは AWS アカウント群のガバナンス強化とセキュリティ向上を目的として AWS Control Tower などを組み合わせた環境を構築中です。 構築の舞台裏の一部は Hatena Engineer Seminar #20 「AWS Renovation 編」で話しているので興味のある方はぜひ見てください。 AWS Control Tower によって統制される内容は Landing Zone のバージョンとして管理されており、2022年7月26日に Landing Zone の version 3.0 がリリースされていました。ここでは更新された内容から version 3.0 でどのように変わるかをまとめてみました。 AWS Control Tower 管理の CloudTrail がアカウントレベルの証跡から組織レベ
既存のAWSアカウントをAWS Control Towerに追加 - ヤマムギ
Account Factoryからは既存アカウントは追加できない? AWS Control TowerのAccount Factoryの画面の解説には以下のように書いてありました。 「アカウント登録により、新しいアカウントがプロビジョニングされるか、既存のアカウントがAWS Control Towerによる管理に追加されます。 ランディングゾーンに新しいアカウントを作成する場合は、新しいEメールを指定するか、既存のEメールを指定して、既存のAWSアカウントにガバナンスを拡張します。」 既存のアカウントも追加できそうな雰囲気です。 ユーザーガイドでは、Organizationsに招待した既存アカウントをAWS Control Towerの管理下にすることができるとは書いてますが、Account Factoryから招待できるとは書いていないようです。 ですが、やってみました。 Service
[新機能] AWS Control Towerにデータの地理的制限をするガードレールが追加されました! | DevelopersIO
[新機能] AWS Control Towerにデータの地理的制限をするガードレールが追加されました! ご機嫌いかがでしょうか。豊崎です。 寝る時間を惜しんで、re:Invent楽しんでいます。今日は、re:Invent期間中に追加されたAWS Control Towerのdata residencyガードレールについてご紹介します。 このガードレールはエンドユーザのデータが保存または処理される物理的な場所を管理するための新しいガードレールです。企業のAWSアカウントでAWS上にアップされたエンドユーザの個人データが特定のAWSリージョンまたはリージョン外で保存や処理されないようにする内容になっています。 ガードレール 追加されたガードレールは以下の17個で、必要に応じて選択することが可能です。 Deny access to AWS based on the requested AWS R
![[新機能] AWS Control Towerにデータの地理的制限をするガードレールが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/810ff8859d25a6de919ef6c4f8e29f2b47de5a53/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F11%2Feyecatch_reinvent2021_general.jpg)
[アップデート] AWS Control Tower で入れ子構造の OU を利用できる様になりました | DevelopersIO
こんにちは、大前です。 Control Tower に激アツなアップデートがありましたので紹介させていただきます。 どんなアップデートか アップデートとしては単純で、Control Tower 利用時に OU を入れ子構造にする事が出来る 様になりました。 「OU を入れ子構造にする」とは、以下の様に OU の中にさらに OU を作成することができる、という意味合いです。 Root ∟ hogehogeOU ∟ fugafugaOU ∟ barbarOU 今までは Control Tower で入れ子構造の OU が使えなかった制限があったため、Root 直下のフラットな OU 構成しか使う事が出来ませんでした。今回のアップデートにより、Control Tower を利用しても、Organizations のみを利用している場合と同様に柔軟な OU 設計が出来る様になる点が嬉しいポイントで
[遂に来た!]Control Towerが東京リージョンに対応してAWSマルチアカウントの管理が捗るのでやってみた | DevelopersIO
こんにちは、臼田です。 皆さん、マルチアカウント管理してますか?(挨拶 遂に来ました!AWS Control Towerが東京リージョンに対応しました! AWS Control Tower now available in Mumbai, Seoul and Tokyo AWS Regions というわけで、実際に試してみたいと思います。 前置き その前に前置きをいくつか。 まずControl Towerってなんなの?っていう説明をすると、AWSアカウントを束ねて統制管理するためのサービスです。 マルチアカウント管理に必要なLanding Zoneを構築し、各種ガードレールの展開や権限のセットアップなどを行います。詳細は以下で詳しく解説しています。 これまでControl Towerは東京リージョンに対応していませんでした。そのため、ホームリージョンとしてはバージニアリージョンなどを利用す
AWS Control Tower でアカウント作成する際の AWS SSO への権限セット割り当てを自動化してみた | DevelopersIO
AWS Control Tower のアカウント発行イベントを利用して、AWS SSO 権限セットの自動割り当てをやってみました。 こんにちは、大前です。 AWS Control Tower を利用してマルチアカウント環境を管理している場合は AWS SSO もセットで利用する事になりますが、Control Tower が自動的に割り当てる権限セットやグループの他に独自の権限セットやグループを割り当てたい場合、現状は AWS アカウントが追加されるたびに手動で実施する必要があります。 AWS Single Sign-On によるユーザーとアカウントの管理 - AWS Control Tower AWS アカウント毎に割り当てる権限が異なる部分については都度手動作業が必須とは思いますが、例えば全アカウントに対して閲覧権限をもつ権限セット/グループを適用したい場合などは、AWS アカウントが作
[アップデート] Control Tower で管理下アカウントに対して一括で KMS 暗号化設定ができる様になりました | DevelopersIO
Control Tower 管理下のアカウントに対して一括で KMS 暗号化を行う事ができる様になりました。一括設定系の機能は最高ですね こんにちは、大前です。 Control Tower に以下のアップデートがありましたので、お知らせします。 AWS Control Tower now provides support for KMS Encryption どんなアップデートか Control Tower によってセットアップされるサービス(現時点での対象は Config と Cloudtrail)や関連する S3 上のデータに対する KMS 暗号化の設定を Control Tower 経由で行う事ができるようになりました。 Control Tower 経由で設定を行うことにより、複数アカウントに対して一括で設定を入れられるので、これだけでも嬉しいケースはありそうです。 一方で、AWS
AWS Control Towerの嬉しいポイントと注意ポイント - NRIネットコムBlog
こんにちは、最近はAWS Control Towerばかり触っている上野です。 Control Towerの検証を進める中で色々と中身が見えてきたこともあり、個人的に嬉しいポイントと注意ポイントをまとめてみます。 導入検討をされている方、参考となれば幸いです。 Control Towerとは? 詳細は以前書いた記事でまとめています。 東京上陸!AWS Control Towerを触ってマルチアカウント管理のベストプラクティスを理解する ~セットアップ編~ - NRIネットコム Design and Tech Blog 【Part2】東京上陸!AWS Control Towerを触ってマルチアカウント管理のベストプラクティスを理解する ~運用編~ - NRIネットコム Design and Tech Blog AWSのベストプラクティスに基づいたセキュアな状態の新規アカウントのセットアップと
Control Towerのカスタマイズ(CfCT)を使ってSCPの作成・変更をやってみた | DevelopersIO
Control TowerのカスタマイズソリューションでSCPを実装してみました。結構大きな注意点があるので利用するときは気をつけましょう。 最近Control Towerのカスタマイズソリューション(CfCT)にハマっている鈴木です。 今回はCfCTを使ってSCPを実装してみました。 概要 CfCTはAWSのソリューションでCodeCommit、もしくはS3にアップロードした情報からCloudFormationスタックやSCPを指定したOUやアカウントに自動展開してくれるソリューションです。 CloudFormationスタックの展開は何度か実施していますが、SCPはまだワークショップしか試してなかったので、SCPをCfCTで実装して動作の確認をしていきます。 手軽にマルチアカウント環境にSCPを作成できるのですが、、CfCTを使ってSCPを管理するには問題となる点もあったので合わせて解
【小ネタ】AWS Control Tower の 読み取り専用(ReadOnly)に必要なアクセス権限 | DevelopersIO
ReadOnlyAccess だけでは Control Tower にアクセスできない AWS管理ポリシーの ReadOnlyAccess だけでは Control Tower へのコンソールに入れません。以下のようなエラーが出ます。 追加で必要な権限 以下 ポリシーをユーザーに追加で付けてあげる必要があります。 Control Tower および SSOに関連するリスト・読み取りアクションです。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "controltower:Get*", "controltower:List*", "controltower:Describe*", "sso:getpermissionset", "sso:DescribeRegisteredRegions"
AWS Control Towerのラボをやりながら学んでみた-B1セットアップ編 | DevelopersIO
マルチアカウントで統制を利かせるAWS Control Towerのラボに沿って実戦的に学ぶブログの第一回です。Control Towerの概要説明やメリットなども合わせて説明しているので、どんなものなのかを理解する上でも役立ちます。 こんにちは、臼田です。 みなさん、AWSをセキュアに利用できてますか?(挨拶 今回は少し前にGAとなったマルチアカウントで統制を利かせて管理するAWS Control Towerについて実際に触りながら学んでいきたいと思います。 「Control Towerって何?」「マルチアカウントでのAWS環境の管理手法に興味がある」「実際にやってみたい」という方に参考になるように書いていきます。 このブログではAWSから提供されているAWS Management Tools Lab ContentというコンテンツのLabsをベースに進めます。 上記ラボは廃止され、現在
Control Towerを廃止して東京リージョンで再有効化してみた – 廃止編 | DevelopersIO
Control Towerを廃止して再有効化してみました。今回は廃止編です。まだ事例の少ない作業だと思うので、ドキュメントをよくチェックし、期間に余裕を持ち、サポートに頼れるようにして望みましょう。 こんにちは、臼田です。 みなさん、AWSのアカウント管理してますか?(挨拶 AWS Control Towerはマルチアカウント管理に役に立つサービスです。最近東京リージョンをホームリージョンとして利用することができるようになったので、注目している方も多いかと思います。 今回はもともと東京リージョンをホームリージョンとして使っていなかった環境を、東京リージョンに切り替えるという作業の記録です。ちょっと長くなりすぎたのでまず廃止についてまとめます。 背景と概要 廃止廃止と書いていますが、Control Towerは有効化はするものの、ぱっと無効化できるものではありません。最近まではAWSサポート
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
