AWS認定資格 WEB問題集&徹底解説

CloudOpsエンジニア -アソシエイト

AWS Control Tower の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Control Towerはどんな内容なのでしょうか?また、AWS認定資格のSysOpsアドミニストレーター -アソシエイト(SOA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Control Tower 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Control Towerは、安全でコンプライアンスに準拠したマルチアカウント環境(ランディングゾーン)を自動的にセットアップ・統制するサービスです。AWS Organizations・SCP・Config・CloudTrail・IAM Identity Center等のベストプラクティスを組み合わせて、数クリックでエンタープライズ級のマルチアカウント基盤を構築します。

手動で複雑なマルチアカウント設計を行う代わりに、Control Towerが推奨されるアカウント構成・セキュリティガードレール・ログ集約を自動で適用します。

2. 主な特徴と機能

2.1 ランディングゾーン(Landing Zone)

マルチアカウント環境の基盤。Control Towerが以下を自動構成します。

  • 管理アカウント: Control Towerと組織全体を管理。
  • ログアーカイブアカウント: 全アカウントのCloudTrail・Configログを一元集約。
  • 監査アカウント(Audit): セキュリティ監査・クロスアカウントアクセス用。
  • OU(組織単位): Security OU・Sandbox OU等の推奨OU構成。

2.2 ガードレール(Guardrails / Controls)

  • 予防的ガードレール(Preventive): SCPで実装。ポリシー違反のアクションを未然に防止(例: CloudTrailの無効化を禁止)。
  • 発見的ガードレール(Detective): AWS Configルールで実装。違反を検出して通知(例: 暗号化されていないEBSを検出)。
  • プロアクティブガードレール(Proactive): CloudFormation Hooksで実装。リソースのプロビジョニング前に違反をチェックしてブロック。

ガードレールには必須(Mandatory)・強く推奨(Strongly Recommended)・選択的(Elective)のレベルがあります。

2.3 Account Factory

新しいAWSアカウントを標準化された設定で自動プロビジョニングするテンプレート機能。ネットワーク設定・ガードレール・IAM設定が事前構成された状態で新規アカウントを払い出します。Service Catalogをバックエンドに使用。

2.4 ダッシュボード

組織全体のコンプライアンス状況・ガードレール違反・OU/アカウント構成を一元的に可視化するダッシュボードを提供。

3. アーキテクチャおよび技術要素

  1. Control Towerを有効化→ランディングゾーンが自動構成(管理/ログアーカイブ/監査アカウント・推奨OU)。
  2. ガードレールをOUに適用(予防的=SCP、発見的=Config、プロアクティブ=CFn Hooks)。
  3. Account Factoryで新規アカウントを標準設定で払い出し。
  4. 全アカウントのログがログアーカイブアカウントのS3に集約される。

Control TowerはOrganizations・SCP・Config・CloudTrail・IAM Identity Center・Service Catalogを統合的にオーケストレーションします。

4. セキュリティと認証・認可

  • SCPによる予防統制: 組織全体に強制ポリシーを適用(ルートアカウントの利用制限・特定リージョンの利用禁止等)。
  • ログの一元集約: CloudTrail・Configログをログアーカイブアカウントに集約して改ざん防止・監査対応。
  • IAM Identity Center統合: SSOによる一元的なアカウントアクセス管理。
  • 監査アカウント: セキュリティチームが全アカウントを監査するための専用アカウント。

5. 料金形態

  • Control Tower自体: 追加料金なし。
  • Control Towerが利用する裏側のサービス(Config・CloudTrail・S3・Lambda等)の利用料金が発生。

6. よくあるアーキテクチャ・設計パターン

  • エンタープライズマルチアカウント基盤: Control Towerでランディングゾーンを構築→Account Factoryで部門/プロジェクトごとに標準アカウントを払い出し→ガードレールで全アカウントを統制。
  • コンプライアンス自動化: 発見的ガードレール(Config)で暗号化未設定・パブリックS3等の違反を自動検出→監査アカウントで一元監視。
  • リージョン制限: 予防的ガードレール(SCP)で許可リージョン以外でのリソース作成を禁止し、データレジデンシー要件を満たす。

7. 設定・デプロイ手順(ハンズオン例)

  1. 管理アカウントでControl Towerコンソール→「ランディングゾーンの設定」。
  2. ログアーカイブ・監査アカウントのメールアドレス・ホームリージョン・許可リージョンを設定。
  3. ランディングゾーンが自動構築される(数十分)。
  4. ガードレールライブラリから必要なガードレールをOUに適用。
  5. Account Factoryで新規アカウントを払い出して標準構成を確認。

8. 試験で問われやすいポイント

8.1 Control Towerの役割

  • Q: マルチアカウント環境をベストプラクティスに基づいて自動構築するサービスは?
    A: AWS Control Tower(ランディングゾーン・ガードレール・Account Factory・ログ集約を自動構成)。

8.2 3種類のガードレール

  • Q: Control Towerの予防的・発見的・プロアクティブガードレールの実装方式は?
    A: 予防的=SCP(違反を未然に防止)、発見的=AWS Configルール(違反を検出・通知)、プロアクティブ=CloudFormation Hooks(プロビジョニング前にブロック)。

8.3 Account Factory

  • Q: 標準化された設定で新規AWSアカウントを自動払い出しするには?
    A: Control TowerのAccount Factory(Service Catalogベース)で事前構成済みアカウントをプロビジョニング。

8.4 Organizationsとの関係

  • Q: Control TowerとOrganizationsの関係は?
    A: Control TowerはOrganizationsの上に構築されるオーケストレーションレイヤー。Organizations・SCP・Config・CloudTrail・IAM Identity Centerを統合してベストプラクティスを自動適用する。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報