AWS Control Tower リソースの作成と変更に関するガイダンス - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower リソースの作成と変更に関するガイダンス

AWS Control Tower でリソースを作成および変更する際には、次のベストプラクティスをお勧めします。このガイダンスは、サービスが更新されたときに変更される可能性があります。責任共有モデルは AWS Control Tower 環境に適用されることに注意してください。

一般的なガイダンス

  • 管理アカウント、共有アカウント、メンバーアカウントのリソースなど、AWSControl Tower によって作成されたリソースを変更または削除しないでください。これらのリソースを変更すると、ランディングゾーンの更新または OU の再登録が必要になる場合があり、変更するとコンプライアンスレポートが不正確になる可能性があります。

    特に:

    • アクティブな AWS Config レコーダーを保持します。Config レコーダーを削除すると、検出コントロールはドリフトを検出して報告することができません。非準拠のリソースが、情報不足が原因で [Compliant] (準拠) として報告される可能性があります。

    • セキュリティ組織単位 AWS Identity and Access Management (OUIAM) の共有アカウント内で作成された () ロールを変更または削除しないでください。これらのロールの変更には、ランディングゾーンの更新が必要になる場合があります。

    • 登録されていないアカウントであっても、メンバーアカウントから AWSControlTowerExecution ロールを削除しないでください。その場合、これらのアカウントを AWS Control Tower に登録したり、直接の親 を登録したりすることはできませんOUs。

  • SCPs または AWS Security Token Service () AWS リージョン のいずれかを使用して の使用を許可しないでくださいAWS STS。そうすると、AWSControl Tower は未定義の状態になります。でリージョンを許可しない場合 AWS STS、認証はそれらのリージョンで使用できないため、機能はそれらのリージョンで失敗します。代わりに、コントロールに示すように、AWSControl Tower リージョン拒否機能、ランディングゾーンレベルで機能するリクエストされた AWS に基づいて へのアクセスを拒否 AWS リージョンする、または OU レベルで機能してリージョンへのアクセスを制限する OU に適用されるコントロールリージョン拒否機能に依存します。

  • を適用 AWS Organizations FullAWSAccessSCPする必要があり、他の とマージしないでくださいSCPs。これに対する変更はドリフトとして報告SCPされませんが、特定のリソースへのアクセスが拒否された場合、一部の変更は予測不可能な方法で AWS Control Tower の機能に影響を与える可能性があります。例えば、 SCPがデタッチまたは変更された場合、アカウントはレコーダーへのアクセス AWS Config を失ったり、 CloudTrail ログ記録にギャップが生じる可能性があります。

  • API を使用して、ランディングゾーンを設定した組織への AWS Control Tower サービスアクセスをオフにしないでください AWS Organizations DisableAWSServiceAccess。その場合、特定の AWS Control Tower ドリフト検出機能は、 からのメッセージングサポートなしでは正常に機能しない場合があります AWS Organizations。これらのドリフト検出機能は、AWSControl Tower が組織内の組織単位、アカウント、コントロールのコンプライアンスステータスを正確に報告できることを保証するのに役立ちます。詳細については、「」を参照してくださいAPI_DisableAWSServiceAccess リファレンス の AWS Organizations API「」。

  • 通常、AWSControl Tower は一度に 1 つのアクションを実行します。これは、別のアクションを開始する前に完了する必要があります。例えば、コントロールを有効にするプロセスが進行中にアカウントをプロビジョニングしようとすると、アカウントのプロビジョニングは失敗します。

    例外:

    • AWS Control Tower では、同時アクションでオプションのコントロールをデプロイできます。詳細については、「オプションのコントロールの同時デプロイ」を参照してください。

    • AWS Control Tower では、Account Factory を使用して、アカウントに対して最大 10 個のアクションを同時に作成、更新、または登録できます。

注記

AWS Control Tower によって作成されたリソースの詳細については、「」を参照してください共有アカウントとは

アカウントと に関するヒント OUs

  • 各登録済み OU を最大 1000 アカウントまで保持することをお勧めします。これにより、ガバナンスのために新しいリージョンを設定する場合など、アカウントの更新が必要な場合に、それらのアカウントを再登録 OU 機能で更新できます。

  • OU の登録に必要な時間を短縮するには、OU あたりのアカウント数が 1000 アカウントであっても、OU あたりのアカウント数を約 680 にしておくことをお勧めします。原則として、OU の登録に必要な時間は、OU が運用しているリージョンの数に、OU のアカウント数を掛けた数に応じて増加します。

  • 見積もりとして、680 アカウントを持つ OU は、コントロールを登録して有効にするには最大 2 時間、再登録するには最大 1 時間かかる場合があります。また、コントロールが多い OU は、コントロールが少ない OU よりも登録に時間がかかります。

  • OU の登録に長い期間かかることに関する懸念事項の 1 つは、このプロセスが他のアクションをブロックすることです。お客様によっては、各 OU でより多くのアカウントを許可したいため、OU の登録や再登録に時間がかかっても構わない場合もあります。