理論

AWSでのリージョン制限に関する知識

1. AWS OrganizationsとSCP（サービスコントロールポリシー）

• 概要: SCPはAWS Organizations内のすべてのアカウントで許可される操作を制御するポリシーです。

• 特徴:
• IAMポリシーとは異なり、すべてのユーザー、ロール、サービスに適用。
• 指定されたリージョン外でのリソース作成や操作を簡単に拒否可能。

• 適用例:
• 承認されたリージョン外でのリソースデプロイを防止。
• 例えば、"aws:RequestedRegion"条件キーを使用して特定リージョンの操作を制限。

2. AWS Control Tower

• 概要: AWS環境のガバナンスとアカウント管理を簡素化するサービス。

• 利点:
• 複数のアカウントを一元管理。
• OU（組織単位）ごとにポリシー適用が可能。
• SCPの作成と管理をサポート。

• 適用例:
• 新規アカウント作成時に自動的にリージョン制限を適用。

3. IAMポリシーの制約

• 制限: IAMポリシーは個々のアカウント、ユーザー、またはロールにのみ適用され、組織全体の一貫したガバナンスには不向き。

4. AWS Security Hubの役割

• 概要: セキュリティ基準の監視とアラートを提供。

• 制約: アクセス制御や操作の強制には適していない。

• SCPを活用すると、特定リージョン外での操作を包括的に制御可能。

• AWS Control Towerは、スケーラブルなアカウント管理とポリシー適用を実現。

• IAMポリシーやSecurity Hubは、特定用途には役立つがリージョン制限には不十分。

ランディングゾーンとは？

たとえ話: 家を建てるときのランディングゾーン

1. 土地の整備
家を建てる前に、水道や電気の配線、地盤の整備をしますよね。
→ AWSでは、ネットワーク設定（VPCやサブネット）やセキュリティルール（IAMポリシーやSCP） がこれに当たります。

2. インフラの準備
さらに、家の設計に合わせて基礎を作ります。例えば、どこにキッチンを置くか、玄関を作るかなどを決めます。
→ AWSでは、ログ管理、セキュリティ監視、共有アカウントの設定 などがこの部分です。

3. テンプレートの用意
同じ設計の家を複数建てたい場合、あらかじめテンプレートを用意しておくと楽になります。
→ AWSでは、CloudFormationやService Catalog を使って新しいアカウントを簡単にセットアップできます。

4. 安心して家を建て始める
土地が整備され、基礎ができていれば、安全でスムーズに家を建て始められます。
→ AWSでは、ランディングゾーンが整っていれば、新しいアカウントをすぐに運用開始できます。

AWSのランディングゾーンの主な要素

• AWS Control Tower: ランディングゾーンを簡単に作成・管理するサービス。

• VPCとネットワーク設定: 各アカウントの通信環境を整備。

• セキュリティポリシー: ガードレールとしてSCPを適用。

• ログと監視: CloudTrailやAWS Configを使った監視基盤。

要点

実践

一問道場

質問 #270