皆さんこんにちは。SREチームの羽渕です。
Yappli Tech Conference 2022で 「ヤプリにおけるAWS Control Towerの活用」というテーマでお話したので、その紹介と時間の都合上お伝え出来なかった点について記事にしたいと思います。
Yappli Tech Conference 2022 https://yappli.connpass.com/event/259001/
アーカイブ動画
スライド
(おまけ)AWS Control Towerの導入で困ったこと
登録失敗時の対応
既存アカウント登録時にAWS Configを無効化し忘れた場合やAWS ControlTower管理の監査アカウントなどで不整合が生じた場合AWS Control Towerの制約を受けて、Administrator権限でも修復ができないことがあります。
AWS ControlTowerの操作で修復できないイレギュラーな状態に陥った場合は、マスターアカウントにログイン後、該当アカウントのAWSControlTowerExecutionロールにスイッチロールすると対処できる事があります。
スイッチロールのURL例( {AWS_ACCOUNT_ID} 部分はAWSアカウントIDに置き換える)
https://signin.aws.amazon.com/switchrole?account={AWS_ACCOUNT_ID}&roleName=AWSControlTowerExecution
AWS Cloud Trail の費用が増加
AWS ControlTower自体に費用は発生しませんがAWS Cloud TrailやAWS Configなどで想定以上に費用が発生する場合があります。
例えばAWS Cloud Trailは2証跡目から追加料金が発生するので、既存の証跡が残っている状態でAWS Control Towerを有効化する場合は追加費用が発生することを想定しておきましょう。
ランディングゾーン設定(Ver 3.0以降)による組織レベルのCloud Trail設定オプションでは、AWS ControlTowerのアカウント登録状態に関わらずAWS Organizationsの組織全体に適用されます。
また、本番アカウントの証跡は運用上利用していたりすると容易に停止出来ないことがあるので事前に確認しておく必要があります。(S3のデータイベントを利用していたり、証跡のログを監視している場合など)
発表を終えて
AWS Control Towerは公開されている事例があまり多くないため、当初は不安なところも有りましたが使ってみると非常に便利なサービスでした。
実際に使ってみると思ったよりもスムーズに利用できると思うので、興味がある方はぜひワークショップからチャレンジしてみてはいかがでしょうか。
それでは、最後まで記事を読んでいただきありがとうございました。よいAWSライフを!
最後に
ヤプリでは一緒に働く仲間を募集しています!「興味をもった!」という方や、「もう少し具体的な話が聞いてみたい」と思った方はぜひカジュアル面談にお越しください。
