アカウント毎にリージョンを制限する方法について

0

現在、アカウントを作成したときに多くのリージョンが有効化されており、デフォルトVPC等のリソース削除にかかる時間が膨大であることが問題となっています。

この対策のため、リージョンをバージニア北部、東京、大阪などに限定したいと考えておりますが、 アカウント設定タブからリージョンの設定を行うと、デフォルトで有効となっているリージョンは無効にできないので、解決策にはならないと認識しており(現在有効化されているリージョンの多くはデフォルトで有効化されている)、異なる解決策を求めています。

また、今後はアカウントをOU の配下に置くことで管理しContolTowerを用いて統制の仕組みを作ることを検討していますが、この統制の枠組みから離れる形で、それぞれのアカウントのリージョンを設定したいと考えています。

以上の2つの条件を満たすようなリージョン設定の方法が知りたいです

質問済み 2ヶ月前25ビュー
1回答
0

アカウントごとにリージョンを制限する効果的な方法として、AWS Organizations のサービス制御ポリシー(SCP)を使用することをお勧めします。SCPを使用すると、組織内の特定のアカウントやOUに対して、許可または拒否するAWSサービスやリージョンを細かく制御できます。

以下の手順で実装できます:

  1. AWS Organizationsで、制限したいアカウントを含むOUを作成します。

  2. 許可したいリージョン(バージニア北部、東京、大阪など)以外のすべてのリージョンへのアクセスを拒否するSCPを作成します。

  3. 作成したSCPを該当のOUまたは個別のアカウントに適用します。

このアプローチには以下の利点があります:

  • デフォルトで有効になっているリージョンも含め、すべてのリージョンを制御できます。
  • Control Towerの統制の枠組みとは独立して、柔軟にリージョン制限を設定できます。
  • アカウント作成時のデフォルトVPCなどのリソース削除の手間を大幅に削減できます。

ただし、SCPの適用には注意が必要です。既存のワークロードや今後の拡張計画に影響を与えないよう、慎重に計画を立てて実装することが重要です。また、AWS CLIやSDKを使用する場合、制限されたリージョンへのアクセスがエラーとなる可能性があるため、アプリケーションの動作確認も必要です。

この方法により、アカウントごとのリージョン制限を効果的に管理しつつ、運用負荷を軽減することができます。
Sources
AWS Digital Sovereignty Pledge: Announcing new dedicated infrastructure options | AWS Security Blog

profile picture
回答済み 2ヶ月前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン