翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Control Tower のランディングゾーンのカスタマイズ
AWS Control Tower のランディングゾーンでは、リージョンの選択やオプションのコントロールなどの特定の要素をコンソールで設定することができます。その他の変更は、コンソールではなくオートメーションを通じて行うことができます。
たとえば、 AWS CloudFormation テンプレートや AWS Control Tower GitOpsのライフサイクルイベントと連携するスタイルのカスタマイズフレームワークである、AWS Control Tower のカスタマイズ機能を使用すると、landing zone をより広範囲にカスタマイズできます。
AWS Control Tower コンソールからカスタマイズする
ランディングゾーンに対して以下のカスタマイズを行うには、AWS Control Tower コンソールで指定される手順に従います。
セットアップ時にカスタマイズした名前を選択する
-
セットアップ時に最上位の OU 名を選択できます。OU AWS Organizations の名前はコンソールを使用していつでも変更できますが、で OU AWS Organizations を変更すると修復可能なドリフトが発生する可能性があります。
-
共有の [Audit] (監査) および [Log Archive] (ログアーカイブ) アカウントの名前を選択できますが、セットアップ後に名前を変更することはできません (これは 1 回限りの選択です)。
ヒント
で OU AWS Organizations の名前を変更しても、Account Factory 内の対応するプロビジョニング済み製品は更新されないことに注意してください。プロビジョニングされた製品を自動的に更新し、ドリフトを回避するには、OU の作成、削除、再登録などの OU の操作を、AWS Control Tower から実行する必要があります。
[リージョン] を選択してください AWS
-
AWS ガバナンスの対象となる特定の地域を選択することで、landing zone をカスタマイズできます。AWS Control Tower コンソールの手順に従います。
-
landing zone を更新するときに、 AWS ガバナンス対象のリージョンを選択または選択解除できます。
-
リージョンの拒否制御を [有効] または [ AWS 無効] に設定し、 AWS ガバナンスのないリージョンのほとんどのサービスへのユーザーアクセスを制御できます。
cFCT AWS リージョン に導入制限がある地域については、を参照してください。コントロールの制限事項
オプションのコントロールを追加してカスタマイズする
-
強く推奨されているオプションコントロールはオプションであるため、有効にするコントロールを選択することで、landing zone 強制レベルをカスタマイズできます。オプションコントロールはデフォルトでは有効になっていません。
-
オプションのデータ常駐管理では、データを保存してアクセスを許可するリージョンをカスタマイズできます。
-
統合された Security Hub スタンダードに含まれているオプションのコントロールにより、AWS Control Tower 環境をスキャンしてセキュリティリスクをチェックできます。
-
オプションのプロアクティブコントロールでは、 AWS CloudFormation プロビジョニング前にリソースをチェックして、新しいリソースが環境の統制目標に準拠しているかどうかを確認できます。
トレイルをカスタマイズしましょう。 AWS CloudTrail
-
landing zone をバージョン 3.0 以降に更新すると、AWS Control Tower CloudTrail が管理する組織レベルのトレイルをオプトインするか、オプトアウトするかを選択できます。この選択は、ランディングゾーンを更新するたびに変更できます。AWS Control Tower は管理アカウントに組織レベルの証跡を作成し、その証跡のステータスはユーザーの選択に基づいてアクティブまたは非アクティブのどちらかになります。ランディングゾーン 3.0 CloudTrail はアカウントレベルのトレイルをサポートしていませんが、必要な場合は、独自のトレイルを設定して管理できます。証跡が重複すると、追加料金が発生する場合があります。
コンソールでカスタマイズされたメンバーアカウントを作成する
-
AWS Control Tower コンソールから、カスタマイズされた AWS Control Tower メンバーアカウントを作成したり、既存のメンバーアカウントを更新してカスタム設定を追加したりできます。詳細については、「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。
AWS Control Tower コンソールの外部でカスタマイズを自動化する
一部のカスタマイズは AWS Control Tower コンソールでは利用できませんが、他の方法で実装することができます。例:
-
Account Factory for Terraform ( GitOpsAFT) を使用して、プロビジョニング中にアカウントをカスタマイズできます。
AFT は、AFT リポジトリ
で使用可能な Terraform モジュールでデプロイされます。 -
AWS Control Tower のlanding zone は、 AWS CloudFormation テンプレートとサービスコントロールポリシー (SCP) に基づいて構築された機能パッケージである AWS Control Tower のカスタマイズ (CfCt) を使用してカスタマイズできます。カスタムのテンプレートとポリシーを組織内の個々のアカウントと組織単位 (OU) にデプロイできます。
AWS Control Tower のカスタマイズ (CfCT) のメリット
AWS Control Tower のカスタマイズ (CfCT) と呼ばれる機能パッケージを使用すると、AWS Control Tower コンソールで作成できるものよりも広範なカスタマイズをランディングゾーンのために作成することができます。C GitOps スタイルの自動プロセスを提供します。ビジネス要件を満たすようにランディングゾーンを作り直すことができます。
infrastructure-as-codeこのカスタマイズプロセスでは、 AWS CloudFormation AWS テンプレートをサービスコントロールポリシー (SCP) および AWS Control Tower ライフサイクルイベントと統合し、リソースのデプロイメントがlanding zone と同期されたままになるようにします。例えば、Account Factory を使用して新しいアカウントを作成すると、アカウントおよび OU にアタッチされたリソースを自動的にデプロイできます。
注記
Account Factory および AFT とは異なり、CfCT は新しいアカウントの作成専用ではなく、指定したリソースをデプロイしてランディングゾーン内のアカウントと OU をカスタマイズすることを目的としています。
利点
-
AWS カスタマイズされた安全な環境の拡張 — マルチアカウントの AWS Control Tower 環境をより迅速に拡張し、 AWS ベストプラクティスを繰り返し可能なカスタマイズワークフローに組み込むことができます。
-
要件をインスタンス化 — AWS CloudFormation ポリシーの意図を表すテンプレートとサービスコントロールポリシーを使用して、ビジネス要件に合わせて AWS Control Tower のlanding zone をカスタマイズできます。
-
AWS Control Tower のライフサイクルイベントで自動化を進める — ライフサイクルイベントを使用すると、以前の一連のイベントの完了に基づいてリソースをデプロイできます。ライフサイクルイベントを使用して、アカウントや OU にリソースを自動的にデプロイできます。
-
ネットワークアーキテクチャを拡張する - トランジットゲートウェイなど、接続性を向上させて保護するカスタマイズされたネットワークアーキテクチャをデプロイできます。
その他の CfCT の例
-
AWS Control Tower (CfCt) のカスタマイズに関するネットワーキングのユースケース例は、 AWS アーキテクチャブログ記事「Service Catalog と AWS Control Tower のカスタマイズによる一貫した DNS のデプロイ
」に記載されています。 -
GuardDuty GitHub
aws-samples
CfCtとAmazonに関連する具体的な例がリポジトリにあります。 -
CfCT に関するその他のコード例は、
aws-samples
リポジトリの AWS セキュリティリファレンスアーキテクチャの一部として入手できます。これらの例の多くで、サンプルの manifest.yaml
ファイルがcustomizations_for_aws_control_tower
という名前のディレクトリに含まれています。
AWS セキュリティリファレンスアーキテクチャの詳細については、AWS 規範的ガイダンスのページを参照してください。