Azure Landing Zone vs AWS Control Tower vs GCP Org Setup

Frågan dyker upp i nästan varje molnprojekt: hur lägger vi en styrd grund, och skiljer det sig mellan AWS, Azure och Google Cloud? Svaret är ja - de tre molnen har olika filosofi för hur styrning, konton och policy hänger ihop. Jag har satt upp grunden i alla tre, och den här jämförelsen går igenom hur de skiljer sig, var var och en är stark, och var det moln ni redan lutar mot kanske inte är det bästa valet.

Den grundläggande skillnaden i modell

AWS bygger på konton som den hårda gränsen, samlade i AWS Organizations. Azure bygger på subscriptions samlade under management groups. Google Cloud bygger på projekt samlade i en hierarki av mappar under en organisationsnod. Det här är inte bara terminologi - det styr hur du tänker kring isolering, kostnad och policy. I AWS och GCP är gränsen relativt billig att skapa fler av, i Azure är subscriptionen både fakturerings- och skalningsgräns.

Konsekvensen i praktiken är att du i alla tre molnen vill ha fler gränser hellre än färre, men att de heter olika saker och har lite olika egenskaper. Den som lär sig ett moln och sedan ska in i ett annat snubblar ofta just här, genom att försöka översätta rakt av i stället för att förstå modellen.

Gemensamt för alla tre är att styrning ärvs uppifrån och ned. Policy satt högt i hierarkin gäller allt under, vilket innebär att en regel ska sättas en gång på rätt nivå i stället för att upprepas överallt. Skillnaden ligger i hur tvingande mekanismerna är och hur mycket som är färdigpaketerat åt dig, och det är där de tre divergerar.

AWS Control Tower

Control Tower är en hanterad tjänst. AWS äger och underhåller loggarkivkonto, revisionskonto, guardrails och Account Factory. Styrkan är tiden till en granskningsbar grund och att motorn underhålls åt dig. Svagheten är att du arbetar inom de ramar AWS satt - vill du avvika får du komplettera vid sidan om. För medelstora bolag är det ofta den smidigaste vägen, och du kan alltid lägga egen Terraform ovanpå för det som är specifikt.

Det som gör Control Tower attraktivt för den som inte vill äga hela kedjan är just att kontolivscykeln blir någon annans ansvar. Account Factory skapar nya konton enligt en mall med skyddsräcken redan på plats, och AWS uppdaterar grundkomponenterna när tjänsten utvecklas. Den som har strikta, avvikande krav kan i stället behöva Landing Zone Accelerator, som ger mer kontroll till priset av mer eget underhåll. För de flesta som söker en styrd AWS-grund är dock Control Tower utgångspunkten.

Azure Landing Zone

Azures enterprise-scale Landing Zone är mer av en referensarkitektur än en enda knapp. Den beskriver en hierarki av management groups, policy som ärvs nedåt, hubb-och-eker-nätverk och identitet i Entra ID. Styrkan är hur väl den integrerar med Microsoft-världen och hur kraftfull Azure Policy är för att tvinga fram efterlevnad. Svagheten är att den kräver mer egna beslut och uppsättning - det finns acceleratorer, men du äger mer av implementationen.

Det starkaste argumentet för Azure är ofta Azure Policy. Där andra moln kräver mer egen kod för att tvinga fram efterlevnad kan Azure Policy både neka och åtgärda automatiskt - en resurs som skapas utan diagnostikloggning kan få den påslagen i samma stund. För ett bolag som redan har Microsoft-avtal, Entra ID och Microsoft 365 blir Azure dessutom en naturlig förlängning av en miljö teamet redan kan, vilket sänker både upplärnings- och driftströskeln.

GCP Org Setup

Google Cloud hänger på resurshierarkin: organisation, mappar, projekt, med IAM och org policies som ärvs nedåt. Styrkan är hur rent och logiskt det hänger ihop, och Cloud Foundation Toolkit ger färdiga Terraform-moduler. Svagheten är att ekosystemet av färdig styrning är mindre moget än AWS och Azure, så du lutar dig mer på egen kod. En sak som ofta avgör till GCP:s fördel är hur tvingande org policies är - de begränsar vad som överhuvudtaget är tillåtet, oavsett IAM-rättigheter.

Var ert förvalda moln inte är bäst

Här vill jag vara ärlig. Är ni djupt i Microsoft 365 lutar ni naturligt mot Azure - men för ett rent dataintensivt bolag som lever i analys och maskininlärning är GCP ofta den bättre grunden, trots Microsoft-bekvämligheten. Är ni på AWS av vana men har strikta regulatoriska krav på svensk datahållning, kan en svensk leverantör eller en mer kontrollerad Azure-uppsättning passa bättre. Det enklaste valet är inte alltid det rätta, och en grund är dyr att byta.

Poängen är inte att det finns en vinnare som alltid slår de andra. Poängen är att det förvalda valet bör utmanas av era faktiska krav innan ni cementerar en grund. Jag har sett bolag lägga en Azure-grund av ren vana och sedan kämpa med dataarbetet i åratal. Ett kort, ärligt vägval i början sparar mycket.

En sak de har gemensamt

Oavsett vilket moln du landar i gäller samma princip: grunden ska beskrivas som kod och vara reproducerbar. Alla tre låter dig realisera styrningen i Terraform, och alla tre belönar disciplinen att inte klicka ihop hierarki och policy manuellt i konsolen. Det är värt att säga eftersom diskussionen ofta fastnar i vilket moln som är bäst, när den större hävstången ligger i hur väl du bygger grunden, inte i vilken plattform den ligger på. En slarvigt byggd grund i det bästa molnet slår en välbyggd grund i fel moln sällan.

Min sammanvägning

• Vill ni snabbt ha en hanterad, granskningsbar grund - AWS Control Tower.
• Lever ni i Microsoft-världen och vill ha kraftfull policy - Azure Landing Zone.
• Är data och ML kärnan - GCP, med grunden byggd i Terraform.
• Osäkra - låt arbetsbelastningarna och teamets kompetens avgöra, inte molnets marknadsföring.

Relaterat

• Kubernetes på EKS vs GKE vs AKS: Driftkostnad och developer experience
• Serverless i 2026: Cloudflare Workers, Vercel Functions, AWS Lambda
• Multi-region failover i GCP: Praktisk arkitektur för svenska e-handlare

Vill du ta det vidare?

Står ni inför att välja moln och lägga grunden hjälper jag er att landa rätt utifrån era krav, inte utifrån vana. Läs om min molninfrastruktur, se exempel i casebook, eller boka ett samtal.