AWS Landing Zone の拡張
AWS がグローバルなフットプリントを拡大するにつれ、組織は新しいリージョンへのクラウドプレゼンスを拡張するための体系的なアプローチを必要としています。AWS が新しいリージョンを立ち上げるにつれ、組織はフットプリントの拡大を検討しています。このガイダンスでは、AWS Organization または Landing Zone を新しいリージョンに拡張するための主要な考慮事項とベストプラクティスについて説明します。
基盤の構築
包括的なガバナンスコントロールを備えた堅牢なクラウド基盤を構築することは、単なるベストプラクティスではなく、今日のダイナミックなクラウド環境において不可欠な要件です。最初から強固なガバナンスフレームワークの確立に時間を投資した組織は、成長に伴うスケール、適応、セキュリティ維持においてより有利な立場に置かれます。これは家を建てることに例えられます。しっかりとした基盤がなければ、増築や改修はますますリスクが高く複雑になります。Service Control Policies (SCPs)、ガードレール、コンプライアンスフレームワークなどのクラウドガバナンスコントロールは、クラウドインフラストラクチャのセキュリティ、コンプライアンス、管理性を確保するための設計図や建築基準として機能します。新しいリージョンへの展開時に、これらのコントロールが整備されていることで、拡張プロセスがよりスムーズかつセキュアになります。多くの組織が、事後にガバナンスコントロールを後付けすることは、初期設定時に実装するよりも大幅に困難でリソースを要することを実感しています。このようなガバナンスへのプロアクティブなアプローチは、セキュリティインシデントやコンプライアンス違反の防止に役立つだけでなく、運用上の卓越性を維持しながら変化するビジネスニーズへの適応を可能にする柔軟性も提供します。
Organization-First アプローチと Control Tower の比較:主な違い
新しいリージョンへの展開にあたり、お客様は既存のセットアップに応じて 2 つの主要なパスを選択できます。AWS Organizations は手動ながら高い柔軟性を持つアプローチを提供し、実装の詳細をきめ細かく制御できます。このパスでは各サービスの実践的な設定と Service Control Policies のカスタム実装が必要ですが、特定の要件に対して最大限の柔軟性を提供します。一方、AWS Control Tower は Account Factory を通じたより合理化された自動化アプローチを提供し、事前構築されたガバナンスコントロールと標準化されたガードレールを備えています。Control Tower はマルチアカウントのセットアッププロセスを大幅に簡素化しますが、純粋な Organizations アプローチと比較して柔軟性が低い場合があります。これらのパスの選択は、多くの場合、既存のインフラストラクチャと特定のガバナンス要件によって決まります。
ガバナンスとセキュリティコントロール
新しい AWS リージョンへの拡張における一つの明るい側面は、CloudTrail や AWS Billing などの特定の基盤サービスが、新しいリージョンを既存の設 定に自動的に組み込むことです。CloudTrail は、すべてのリージョンに対して設定されている場合、アカウントで利用可能になった新しいリージョンでの API アクティビティのログ記録を自動的に開始し、追加のセットアップは不要です。同様に、AWS Billing はすべてのアクティブなリージョンのコストを自動的に統合し、AWS Cost Explorer および AWS Bills を通じて統一されたコスト管理とレポートを提供します。
ただし、これらのサービスは自動的に適応しますが、Service Control Policies、GuardDuty、Security Hub、AWS Config などのその他のセキュリティおよび運用サービスは、拡張されたフットプリントを包括的にカバーするために、引き続き明示的なリージョンの有効化が必要である点に注意することが重要です。
アクセスコントロール
AWS Identity and Access Management (IAM) は、AWS 全体で機能する「設定したら後は任せる」グローバルサービスの代表格です。新しいリージョンに展開する際、既存の IAM ユーザー、ロール、およびポリシーはすでに準備が整っており、追加の設定は不要です!まるでセキュリティチームが到着前から新しい拠点に配置されているようなものです。既存の IAM プリンシパルは、他のリージョンと同じ権限を自動的に持つことになります(ポリシーにリージョン固有の制限が含まれていない場合)。IAM のこのグローバルな特性は、時間を大幅に節約し、拡大する AWS 環境全体で一貫したアクセス制御を維持するのに役立ちます。ただし、IAM はグローバルですが、一部のリソースベースのポリシーやサービスにリンクされたロールはリージョンごとの考慮が必要な場合があるため、拡張チェックリストに含めておくことをお勧めします。
Service Control Policies
AWS Control Tower を使用している場合、朗報があります。組み込みのガードレールとそれに関連する Service Control Policies (SCPs) は、Control Tower で新しいリージョンが有効化されると、自動的にそのリージョンへの保護を拡張します。まるで自動的に展開されるセキュリティ部隊のようなものです!ただし、カスタム SCP を使用している場合(Control Tower または AWS Organizations のいずれかで)、袖をまくり上げて、新しいリージョンを含めるようにそれらのポリシーを手動で更新する必要があります。これは、リージョン固有のコントロールや許可リージョンのステートメントを使用するポリシーにとって特に重要です。たとえば、許可されたリージョンを明示的にリストアップした SCP がある場合、そのリストに新しいリージョンを追加する必要があります。例を示します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowedRegions",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:RequestedRegion": [
"ap-southeast-2",
"ap-southeast-4" // Adding Asia Pacific (Melbourne) region
]
}
}
}
]
}
これらの変更を行わないと、チームはなぜリソースを起動できないのか疑問に思うことになるかもしれません。これらのポリシーの更新は、まず非本番環境でテストすることを忘れないでください。常にお客様への影響を最小限に抑えることが重要です。