AWS Control Tower を使用すると、ベストプラクティスで推奨されているマルチアカウント構成を実装できます。例えば、ポリシー (ガードレール) を一元的に適用し、AWS CloudTrail ログを指定されたログアーカイブアカウントに一元化し保護する等です。
ワークロードを複数のアカウントに分割し、すべてのアカウントをサポートするコアアカウント群 (ログアーカイブ、監査、バックアップ、ネットワークなど) と、事業部門またはワークロードごとの開発-テスト-本番環境のアカウント群を設定してください。様々なワークロードがひとつの本番アカウントに存在しているような場合は、潜在的なセキュリティインシデントの影響範囲を限定させるために、ワークロードを別々のアカウントに移行する作業を始めてください。
AWS Control Tower は AWS Organizations を使用して、複数のサービスと統合されており管理の委任をサポートしています。例えば、以下のセキュリティサービスです。そのため、セキュリティチームはセキュリティアカウントから組織全体のセキュリティとコンプライアンスを管理できます。詳細は、AWS のサービス で使用できる AWS Organizations をご確認ください
既存の組織がある場合でも、AWS Control Tower を有効にすることができます。
すべてをひとつのアカウントで管理している場合は、新しいアカウントで Control Tower をセットアップし、そのアカウントを組織に追加してください。管理アカウント (組織ルート) は SCP の影響を受けず、頻繁にアクセスすべきではないため、ワークロードがあるアカウントで AWS Control Tower を設定することは推奨されません。
追加の柔軟性やアカウントのカスタマイズが必要なため AWS Control Tower を有効にできない場合は、Landing Zone Accelerator on AWS のソリューションを活用できます