AWS Control Tower のガードレールとは、AWS 環境全体に一貫したガバナンスを適用するための ルールと保護対策 のことです。複数のAWSアカウントとリソースを安全に運用するための柵(ガードレール)として機能します。
AWS初心者向けの例え: ガードレールは、高速道路の安全柵や車線のように、クラウド環境内で何ができて何ができないかを定義します。あなたのAWS環境を保護し、安全な範囲内で操作できるようにサポートします。
🛑
問題が発生する 前に ブロック
🔍
問題を 検出して 通知
🔄
問題を 自動的に 修正
機能: ポリシーに違反するアクションが実行される 前に ブロックし、防止します。
例えるなら: 高速道路の防護柵や、車が車線から出ないようにする白線のようなもの。問題が起きる前に防ぐ役割を果たします。
実装方法: AWS Organizations の サービスコントロールポリシー(SCP) によって実装されます。
機能: 非準拠の動作や設定を 検出し、通知 します。リソースが作成された後に評価を行います。
例えるなら: 交通監視カメラのようなもの。ルール違反が起きたことを検知し、通知しますが、それ自体では止めることはできません。
実装方法: AWS Config Rules を使用して実装され、CloudWatch Eventsを通じて通知します。
機能: 非準拠のリソースを 自動的に検出して修正 します。検出だけでなく、問題を解決するためのアクションも実行します。
例えるなら: 自動運転車の車線維持支援システムのようなもの。車が車線からはみ出そうになると、自動的にハンドルを修正して正しい位置に戻します。
実装方法: AWS Config Remediation と AWS Systems Manager Automation を組み合わせて実装されます。
| 特徴 | 予防的ガードレール | 検出的ガードレール | プロアクティブガードレール |
|---|---|---|---|
| タイミング | アクション 前 | アクション 後 | アクション 後 (その後修正) |
| アクション | ブロック | 検出・通知 | 検出・通知・修正 |
| 実装技術 | サービスコントロールポリシー (SCP) | AWS Config Rules | AWS Config Remediation + Systems Manager |
| オペレーション影響 | 高(アクションを直接ブロック) | 低(通知のみ) | 中(自動修正を行う) |
👨💻
ユーザー
🛑
予防的ガードレール
⚙️
AWS リソース
🔍
検出的ガードレール
🔄
プロアクティブガードレール
1. ユーザーがアクションを実行(例:S3バケット作成)
2. 予防的ガードレール がルール違反をチェック(例:パブリックアクセス設定)
3. AWSリソース が作成される(ルール違反がなければ)
4. 検出的ガードレール が非準拠をチェック(例:暗号化なし)
5. プロアクティブガードレール が自動修正(例:暗号化を適用)
AWS Control Towerのガードレールは、クラウド環境の ガバナンス と コンプライアンス を効率的に管理するための重要な機能です。
AWS初心者へのアドバイス: 最初はAWS Control Towerの標準ガードレールを適用することから始め、組織のニーズに応じて徐々にカスタマイズしていくことをお勧めします。AWS Control Towerのガードレールを効果的に使用することで、セキュリティリスクを低減し、コンプライアンス要件を満たすクラウド環境を構築することができます。
Created by SSuzuki1063
AWS SAP Learning Resources