このページのトピック

AWS Control Towerとの統合

Workload Security を AWS Control Tower と統合して、Control Towerアカウントファクトリを介して追加されたすべてのアカウントが Workload Securityに自動的にプロビジョニングされるようにします。各アカウントおよび基盤に配置されたEC2インスタンスのセキュリティ状況を一元的に把握できます。ポリシーと課金の自動化に対応します。

Lifecycle HookソリューションはCloudFormationテンプレートを提供し、Control Tower Master Accountで起動すると、AWSインフラストラクチャが展開され、 Workload Security が各Account Factory AWSアカウントを自動的に監視できるようになります。このソリューションは、2つのラムダ関数で構成されます。 1つは私たちの役割を管理し、 Workload Securityにアクセスし、もう1つはLambdaのライフサイクルを管理するためのものです。AWS Secrets Managerは、 Workload Security のAPIキーをマスターアカウントに格納するために利用され、CloudWatch Eventsルールは、Control Towerアカウントが正常に配信されたときにカスタマイズLambdaを実行するように設定されています。

Workload SecurityがAWS Control Towerと統合になると、次のように実装されます。

スタックの起動時に、Control Tower Master、Audit、およびLogアカウントを含む既存のControl TowerアカウントごとにライフサイクルLambdaが実行されます。
起動後、CloudWatchイベントルールによって、成功したControl Towerの[CreateManagedAccount]イベントごとにライフサイクルラムダがトリガされます。
ライフサイクルラムダ関数は、AWS Secrets ManagerからWorkload Security APIキーを取得し、組織の外部IDをWorkload Security APIから取得します。
ラムダ関数は、対象の管理下のアカウントでControlTowerExecutionの役割を引き継ぎ、必要なクロスアカウントの役割と関連するポリシーを作成します。
Workload Security APIが呼び出され、この管理対象アカウントがテナントに追加されます。