AWS Control Tower のランディングゾーンのカスタマイズ

セットアップ時にカスタマイズした名前を選択する

• セットアップ時に最上位の OU 名を選択できます。OU AWS Organizations の名前はコンソールを使用していつでも変更できますが、で OU AWS Organizations を変更すると修復可能なドリフトが発生する可能性があります。

• 共有の [Audit] (監査) および [Log Archive] (ログアーカイブ) アカウントの名前を選択できますが、セットアップ後に名前を変更することはできません (これは 1 回限りの選択です)。

[リージョン] を選択してください AWS

• AWS ガバナンスの対象となる特定の地域を選択することで、landing zone をカスタマイズできます。AWS Control Tower コンソールの手順に従います。

• landing zone を更新するときに、 AWS ガバナンス対象のリージョンを選択または選択解除できます。

• リージョンの拒否制御を [有効] または [ AWS 無効] に設定し、 AWS ガバナンスのないリージョンのほとんどのサービスへのユーザーアクセスを制御できます。

オプションのコントロールを追加してカスタマイズする

• 強く推奨されているオプションコントロールはオプションであるため、有効にするコントロールを選択することで、landing zone 強制レベルをカスタマイズできます。オプションコントロールはデフォルトでは有効になっていません。

• オプションのデータ常駐管理では、データを保存してアクセスを許可するリージョンをカスタマイズできます。

• 統合された Security Hub スタンダードに含まれているオプションのコントロールにより、AWS Control Tower 環境をスキャンしてセキュリティリスクをチェックできます。

• オプションのプロアクティブコントロールでは、 AWS CloudFormation プロビジョニング前にリソースをチェックして、新しいリソースが環境の統制目標に準拠しているかどうかを確認できます。

トレイルをカスタマイズしましょう。 AWS CloudTrail

• landing zone をバージョン 3.0 以降に更新すると、AWS Control Tower CloudTrail が管理する組織レベルのトレイルをオプトインするか、オプトアウトするかを選択できます。この選択は、ランディングゾーンを更新するたびに変更できます。AWS Control Tower は管理アカウントに組織レベルの証跡を作成し、その証跡のステータスはユーザーの選択に基づいてアクティブまたは非アクティブのどちらかになります。ランディングゾーン 3.0 CloudTrail はアカウントレベルのトレイルをサポートしていませんが、必要な場合は、独自のトレイルを設定して管理できます。証跡が重複すると、追加料金が発生する場合があります。

コンソールでカスタマイズされたメンバーアカウントを作成する

• AWS Control Tower コンソールから、カスタマイズされた AWS Control Tower メンバーアカウントを作成したり、既存のメンバーアカウントを更新してカスタム設定を追加したりできます。詳細については、「Account Factory Customization (AFC) を使用したアカウントのカスタマイズ」を参照してください。

• Account Factory for Terraform ( GitOpsAFT) を使用して、プロビジョニング中にアカウントをカスタマイズできます。

  AFT は、AFT リポジトリで使用可能な Terraform モジュールでデプロイされます。

• AWS Control Tower のlanding zone は、 AWS CloudFormation テンプレートとサービスコントロールポリシー (SCP) に基づいて構築された機能パッケージである AWS Control Tower のカスタマイズ (CfCt) を使用してカスタマイズできます。カスタムのテンプレートとポリシーを組織内の個々のアカウントと組織単位 (OU) にデプロイできます。

  CFCT のソースコードはリポジトリにあります。GitHub

利点

• AWS カスタマイズされた安全な環境の拡張 — マルチアカウントの AWS Control Tower 環境をより迅速に拡張し、 AWS ベストプラクティスを繰り返し可能なカスタマイズワークフローに組み込むことができます。

• 要件をインスタンス化 — AWS CloudFormation ポリシーの意図を表すテンプレートとサービスコントロールポリシーを使用して、ビジネス要件に合わせて AWS Control Tower のlanding zone をカスタマイズできます。

• AWS Control Tower のライフサイクルイベントで自動化を進める — ライフサイクルイベントを使用すると、以前の一連のイベントの完了に基づいてリソースをデプロイできます。ライフサイクルイベントを使用して、アカウントや OU にリソースを自動的にデプロイできます。

• ネットワークアーキテクチャを拡張する - トランジットゲートウェイなど、接続性を向上させて保護するカスタマイズされたネットワークアーキテクチャをデプロイできます。

• AWS Control Tower (CfCt) のカスタマイズに関するネットワーキングのユースケース例は、 AWS アーキテクチャブログ記事「Service Catalog と AWS Control Tower のカスタマイズによる一貫した DNS のデプロイ」に記載されています。

• GuardDuty GitHub aws-samplesCfCtとAmazonに関連する具体的な例がリポジトリにあります。

• CfCT に関するその他のコード例は、aws-samples リポジトリの AWS セキュリティリファレンスアーキテクチャの一部として入手できます。これらの例の多くで、サンプルの manifest.yaml ファイルが customizations_for_aws_control_tower という名前のディレクトリに含まれています。