[アップデート] AWS Control Tower で 7 つのリージョンがサポート対象に追加され、遂に大阪リージョンでも使えるようになりました

[アップデート] AWS Control Tower で 7 つのリージョンがサポート対象に追加され、遂に大阪リージョンでも使えるようになりました

Clock Icon2023.04.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

いわさです。

今朝のアップデートで Control Tower のサポートリージョンが追加されました。

追加されたのは以下の 7 つのリージョンです。

  • 米国西部(北カリフォルニア): us-west-1
  • アジアパシフィック(香港): ap-east-1
  • アジアパシフィック(ジャカルタ): ap-southeast-3
  • アジアパシフィック(大阪): ap-northeast-3
  • 欧州(ミラノ): eu-south-1
  • 中東(バーレーン): me-south-1
  • アフリカ(ケープタウン): af-south-1

なんと、大阪リージョンも追加されています。
これは特に日本をターゲットに Control Tower を利用されている方たちには待望のアップデートなのではないでしょうか。

これまでは Control Tower で大阪リージョン使えない問題があった

日本で AWS を利用する場合は東京リージョンと大阪リージョンをよく利用すると思います。
私が観測する範囲では東京リージョンをメインで使って、大阪リージョンを DR 用に使うケースが多いでしょうか。

まず、Control Tower では管理対象リージョンという概念があり、Control Tower でサポートされているリージョンの中から対象とするリージョンを選択することで、マルチアカウント・マルチリージョンで統制を行うことが出来ます。
その際にそもそも Control Tower でサポートされていないリージョンをハイブリッドで使いたい場合は追加の設定が必要だったり、一部 Control Tower の機能が使いにくいシーンがあったと思います。

最近 Control Tower を触り始めた私でも以下などいくつか大阪リージョンが使えないことで気づいた点がありました。

サポートされてないリージョンで Config どうする問題

Control Tower では Audit や Log Archive アカウントでログや通知の出力を集約したり、あるいは Config のアグリゲータを使って、Control Tower 管理下のアカウントを自動で集約管理するような仕組みになっています。

そのため、Audit アカウントのaws-controltower-GuardrailsComplianceAggregatorでアカウントごとのリージョンステータスも 大阪リージョンでは FAILED となっていました。

また、これまでは次の記事のような方法で大阪リージョンなどで手動で Config を有効化する方法などが取られることもありました。

リージョン拒否設定どうする問題

Control Tower ではリージョン拒否設定機能を有効化することで、管理対象としないリージョンを利用させないという設定を行うことが出来ます。

これは Control Tower でサポートされていないリージョンも含まれているので、日本国内のリージョンの利用を想定している場合だとなかなか有効化しづらいところがあったと思います。

大阪リージョンを管理対象に追加してみる

私が所持する Contol Tower 環境では、東京リージョンのみ有効化されていました。
確認してみると、リージョン一覧に大阪が追加されており、管理対象外となっていますね。

本日はこちらで大阪リージョンを管理対象に追加したいと思います。
管理アカウントのランディングゾーン設定から「設定を変更する」を選択します。

ランディングゾーンの一部設定を変更することが出来るのですが、ホームリージョン以外であればここから管理対象リージョンの追加や削除を行うことが出来ます。

アジアパシフィック(大阪)を選択します。
更新すると次のように設定の有効化が開始されます。
更新完了までは Control Tower のダッシュボードのみが確認出来る状態でランディングゾーンの設定の参照や更新ができなくなりますのでご注意ください。私がリージョン追加した際には 30 分 ~ 1 時間弱かかりました。

Control Tower のダッシュボードでは次のように反映ステータスを確認することが出来ます。

完了後、大阪リージョンが管理対象リージョンに変更されていました。

Audit も確認してみる

Config

先程はaws-controltower-GuardrailsComplianceAggregatorで大阪リージョンが FAILED になっていましたが、確認したところ OK になっていました。

SNS トピック

Audit では通知の集約用に SNS トピックが提供されていますが、こちらも大阪リージョンに Control Tower で自動作成される SNS トピックが作成されていました。

さいごに

本日は AWS Control Tower で遂に大阪リージョンがサポートされたので早速有効化してみました。

新規で Control Tower を有効化する場合であれば気軽に追加出来ると思いますが、既存環境だと少し慎重になる必要はありそうですね。
有効化に少し時間がかかりましたが、私の検証環境がシンプルだったため特にトラブルなく有効化出来ました。
また、未サポートのために手動で設定していたものなどがあれば事前に見直しが必要そうです。

これまで大阪リージョン未サポートのために Control Tower の利用を見送っていた方は利用をまた検討してみてください。
今後はリージョン拒否設定などを使うシーンも増えるかもしれませんね。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.