【AWS Certified Cloud Practitioner】AWS Control TowerをCCP試験向けにやさしく整理｜Organizations・Config・Security Hubとの違いも解説

AWS Control Towerとは何か

AWS Control Towerは、複数のAWSアカウントをベストプラクティスに沿って素早く立ち上げ、継続的に統制するためのマネージドサービスです。AWS公式でも、マルチアカウント環境をセットアップしてガバナンスを適用するためのサービスとして説明されています。単独で何か1つの機能を提供するというより、複数のAWSサービスを組み合わせて「安全な土台」を作る上位レイヤーとして理解すると、試験問題で迷いにくくなります。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html

まず覚えるべき結論

• AWS Organizationsだけでもアカウント管理はできる
• AWS Control Towerを使うと、複数アカウント環境の標準構成と統制をより簡単に始められる
• CCP試験では、「複数アカウントを安全・標準的に一括管理したい」という文脈ならControl Towerが有力候補になる

Control Towerの中核概念

1. Landing Zone

Landing Zoneは、AWS公式ではセキュリティとコンプライアンスのベストプラクティスに基づく、Well-Architectedなマルチアカウント環境と説明されています。要するに、「複数アカウント運用のための最初の土台」です。

Control Towerは、このLanding Zoneを自動的に整備します。試験では、Control Tower = Landing Zoneを作って統制を始めるサービスという対応関係を押さえておくと有効です。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html

2. Controls（旧Guardrails）

Control Towerでは、組織全体の統制ルールをControlsと呼びます。古い教材ではGuardrailsという表現が出ることがありますが、現在はControlsとして理解しておけば十分です。

Controlsは大きく3種類です。

• Preventive：違反する操作を未然に防ぐ
• Detective：違反や非準拠を検出する
• Proactive：作成前・更新前に不適切な構成を弾く

CCPでは、この3つを完璧に実装レベルまで覚える必要はありませんが、防ぐのか、見つけるのか、事前チェックなのかを区別できるようにしておくと強いです。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html

3. Account Factory

Account Factoryは、Landing Zoneの中で標準化された新規AWSアカウントを払い出す仕組みです。たとえば、新しい部門や新しい開発チーム用にアカウントを追加するとき、毎回ばらばらの設定で作るのではなく、一定のルールでそろえて作成できます。

CCP向けには、Control Towerの「アカウント自動発行・標準化」機能として覚えると整理しやすいです。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html

Controlの違いを試験向けに整理

Preventive control

Preventive controlは、違反につながる操作自体をさせないタイプの統制です。AWS公式では、Service Control Policies（SCPs）やResource Control Policies（RCPs）で実装されると説明されています。

たとえば「このOU配下では特定サービスの操作を禁止する」といった考え方は、Preventiveの理解に近いです。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/controlreference/preventive-controls.html

Detective control

Detective controlは、問題のある設定や非準拠状態を見つけるタイプです。問題の発生を100%止めるのではなく、発生後または現在の状態を把握してアラートや可視化につなげます。

「違反を検出する」という表現があれば、PreventiveではなくDetectiveを疑うのが基本です。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/controlreference/detective-controls.html

Proactive control

Proactive controlは、リソース作成前や更新前に構成をチェックし、不適切なら通さないタイプです。AWS公式ではCloudFormation Hooksで実装されると説明されています。

試験では細かな仕組みよりも、「事前チェック型」と捉えれば十分です。

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/controlreference/proactive-controls.html

周辺サービスとの違いと関連性

AWS Organizationsとの違い

AWS Organizationsは、複数AWSアカウントをまとめ、OUで整理し、ポリシーを適用するための基盤サービスです。Control Towerはその上に乗って、Landing ZoneやControlsなどを通じて、より簡単にガバナンスを始められるようにしたサービスです。

整理すると次の通りです。

• AWS Organizations：アカウント管理の基盤
• AWS Control Tower：その基盤を使って標準構成と統制をまとめて整える仕組み

また、試験で非常に重要なのがSCPは権限を付与しないという点です。SCPは上限を決めるガードレールであり、実際の許可はIAMポリシーなどで別に与える必要があります。

公式ドキュメント：https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
公式ドキュメント：https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html

IAM Identity Centerとの違い

IAM Identity Centerは、複数AWSアカウントやアプリへのサインインとアクセスを一元管理するサービスです。Control Towerは、このIAM Identity Centerと連携して、Account Factoryで作成したアカウント群へのアクセス管理を行いやすくします。

つまり、

• IAM Identity Center：ユーザーのサインインやアクセス権の一元管理
• Control Tower：その仕組みも活用しながら、マルチアカウント環境全体を整備

という関係です。

公式ドキュメント：https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html

AWS Service Catalogとの違い

AWS Service Catalogは、承認済みのITサービスやテンプレートをカタログとして配布するサービスです。Control TowerのAccount Factoryは、実装上このService Catalogを利用してアカウントを払い出します。

そのため、

• Service Catalog：承認済みプロダクトを配布する基盤
• Control Tower：その仕組みを使って標準化されたAWSアカウントを作る

と理解すると整理しやすいです。

公式ドキュメント：https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html
公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/userguide/service-catalog.html

AWS Configとの違い

AWS Configは、AWSリソースの設定変更や構成履歴を追跡し、ルールに基づく評価を行うサービスです。Control TowerのDetective controlは、この種の構成評価の考え方と近く、実際にAWS Configと関係が深いサービスです。

試験向けには、

• AWS Config：設定変更の記録・評価・監査
• Control Tower：組織全体の統制ルールをまとめて運用する仕組み

と切り分けておけば十分です。

公式ドキュメント：https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html

AWS Security Hubとの違い

AWS Security Hubは、セキュリティの検出結果や状態を集約し、優先度付けして可視化するサービスです。Control Towerは、セキュリティ監視そのものというより、マルチアカウント統制の土台づくりに強いサービスです。

したがって、

• Security Hub：セキュリティ状態や検出結果の集約・分析
• Control Tower：複数アカウント環境の統制と標準化

という違いがあります。

公式ドキュメント：https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

CCP試験でよくある見分け方

• 複数アカウントをまとめて安全に始めたい → AWS Control Tower
• OUやSCPで組織管理したい → AWS Organizations
• 設定変更の追跡・構成評価をしたい → AWS Config
• セキュリティ検出結果を一元化したい → AWS Security Hub
• ユーザーのSSOや複数アカウントへのアクセス管理をしたい → IAM Identity Center
• 承認済みテンプレートや製品を配布したい → AWS Service Catalog

試験で押さえたい注意点

• Control Towerはマルチアカウント環境の標準化と統制が主目的
• Organizationsは基盤、Control Towerはその活用を簡単にする上位サービス
• SCPは権限を付与せず、上限を定める
• Control TowerにはLanding Zone / Controls / Account Factoryという重要キーワードがある
• Home RegionはLanding Zone作成後に変更できないため、設計時に注意が必要

公式ドキュメント：https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html

直前復習用の一文まとめ

AWS Control Towerは、AWS Organizationsなどを土台にして、複数アカウント環境をベストプラクティス付きで素早く構築し、継続的に統制するためのサービスです。

CCP試験では、単体の監視サービスやログサービスとしてではなく、「マルチアカウント運用の標準化とガバナンスを簡単に始めるサービス」として覚えるのが最も実用的です。

参考にしたAWS公式情報

• https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html
• https://docs.aws.amazon.com/controltower/latest/controlreference/controls.html
• https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html
• https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html
• https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
• https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html
• https://docs.aws.amazon.com/servicecatalog/latest/adminguide/introduction.html
• https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html
• https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html
• https://docs.aws.amazon.com/controltower/latest/userguide/region-how.html