AWS Control Tower

То, о чём так часто тут говорилось - #multi_account_strategy - наконец-то воплотилось в рабочий сервис у амазона. Встречаем AWS #Control_Tower:

https://aws.amazon.com/blogs/aws/aws-control-tower-set-up-govern-a-multi-account-aws-environment/

Однако те, кто уже использует AWS #Organizations будут грустить, ибо получат ошибку:

You tried to use an account that is a member of an organization in AWS Organizations. To set up your AWS Control Tower landing zone, use an account that is not a member of an organization.

Потому воспользоваться AWS Control Tower смогут лишь избранные 90%, кто до этого времени не успел ознакомиться со своим счастьем в виде AWS Organizations.

#строили_строили_и_наконец_построили

Отдельные граждане тут просили не путать сервис Control Tower и Solution Landing Zone. Посмотрим, что они теперь скажут на это:

https://aws.amazon.com/solutions/customizations-for-aws-control-tower/

Краткое содержание предыдущих серий. Для помощи в реализации Multi Account Strategy Амазон выпустил в 2018-ом Solution (не путать с сервисом) AWS Landing Zone, а 2019-ом полноценный сервис (а не какое-то там решение) AWS Control Tower.

И вот теперь, чтобы жизнь мёдом не казалась, и чтобы было больше ошибок на экзаменах по сертификации, они выпустили Solution для улучшения сервиса Control Tower.

Поставить такое решение можно лишь тем, кто развернул свою организацию с помощью сервиса Control Tower. Остальные (в том числе я) ждём, пока Control Tower научится работать с существующими организациями. И выход данного решения показывает, что прогнозы на получение такого функционала летом весьма реальны.

#Control_Tower

Control Tower поддерживает существующие (!!!) AWS Organizations:

https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html

Мы ждали, мы верили и, наконец, дождались!

#Control_Tower

​​AWS Control Tower заработал для существующих AWS Organizations. Чтобы начать его использовать нужно отключить в Organizations → Settings трастовые галочки для сервисов CloudTrail и Config (если они у вас включены — будет предупреждение, как сверху картинки).

После отключения получаете возможность запустить установку Landing Zones внутри вашей организации. Control Tower создаст два аккаунта — для логов и для аудита, потому нужно указать для них почты. Также будут созданы роли и некоторые другие вещи, которые нельзя изменять в дальнейшем, иначе работа будет нарушена.

Control Tower не ломает и не изменяется ничего имеющегося — можно прочитать комментарии в процессе установки и в документации. Он встраивает свой движок внутрь вашей организации, а вы после получаете возможность подцепить свои имеющиеся аккаунты в число тех, которые будут под управлением Control Tower.

#Control_Tower

​​Воркшоп по Control Tower:

https://controltower.aws-management.tools/

#Control_Tower #workshop

​​Установка готовых решений в мульти-аккаунты из Marketplace:

https://aws.amazon.com/blogs/awsmarketplace/solutions-integrated-with-aws-control-tower-are-now-available-in-aws-marketplace/

То есть теперь можно задеплоить какую-то систему, которая будет, например, защищать целую организацию, учитывая при этом, что это не один аккаунт, а много.

Для реализации такого функционала используется Control Tower, который уверенно становится главным инструментом работы с Organizations.

#Control_Tower

Интеграция Cloud Custodian в Control Tower:

https://aws.amazon.com/blogs/opensource/continuous-deployment-of-cloud-custodian-to-aws-control-tower/

AWS Control Tower имеет ограниченный набор SCP-политик (guardrails), которые можно расширить с помощью Cloud Custodian – популярной утилиты в сфере безопасности.

#security #Control_Tower

AWS User Group Netherlands Meetup 2021.05.20 по теме Landing Zones:

https://www.youtube.com/watch?v=pPugrJrhlSE

4:00 Why do you need a "Landing Zone"?
27:30 «Superwerker — open-source jump-start to a well-architected AWS setup»
58:00 «Managing your AWS Organization with org-formation»
1:32:20 «From ALZ to Control Tower: building a managed landing zone service at AWS»
2:07:00 «A hitchhikers guide to landing zones, using undocumented APIs»

Для тех, кто сильно связан с #multi_account_strategy этот митап суть просто концентрированный набор лучших (и разных) подходов к тому, чтобы управляться с мульти-аккаунтами.

Отмечу доклад про Superwerker, которым пользуюсь сам и рекомендую тем, кто лишь будет настраивать себе мульти-аккаунтную среду. Это очень перспективный проект, который вполне может стать базовым для установки в новые проекты.

Также отдельно стоит выделить доклад про Control Tower (плюс там много про Service Catalog) от Matt Yanhyshyn из AWS (General Manager of AWS Control Services). Качественный материал от первоисточника во всех смыслах, с инсайдом по фичам Control Tower в роадмэпе (например, поддержка Nested OU).

Реально круто, хотя, предположу, что не всем понятно. Всё равно, рекомендую. 😀

#Control_Tower

​​Control Tower Comprehensive Controls Management:

https://aws.amazon.com/blogs/aws/new-for-aws-control-tower-comprehensive-controls-management-preview/

Соответствие требованиям PCI DSS и другим compliance раньше нужно было самому настраивать для AWS аккаунтов с помощью SCP. Теперь же это можно сделать сразу с помощью Control Tower. Да ещё сразу плюс интеграция с Security Hub (Service-Managed Standard: AWS Control Tower).

В общем, вердикт — можно брать. Как минимум, на превью обещают бесплатно.
There is no additional charge to use these new capabilities during the preview.

#Control_Tower

Control Tower Account Factory Customization: 🎉

https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html

Кастомизация AWS аккаунтов, которую можно применять как к свежесоздаваемым аккаунтам, так и уже имеющимся. Год назад сделали такое для Terraform (Control Tower Account Factory for Terraform) и вот теперь аналогичное для CloudFormation.

👉 Ещё раз:
1️⃣ Сначала с поддержкой Terraform.
2️⃣ Через год (❗) — с поддержкой CloudFormation.

Кто там рассказывает, что AWS форсит CloudFormation?!?

#Control_Tower