AWS Control Tower のランディングゾーンのカスタマイズ - AWS Control Tower
AWS Control Tower コンソールからカスタマイズするAWS Control Tower コンソールの外部でカスタマイズを自動化するAWS Control Tower のカスタマイズ (CfCT) のメリットその他の CfCT の例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower のランディングゾーンのカスタマイズ

AWS Control Tower のランディングゾーンでは、リージョンの選択やオプションのコントロールなどの特定の要素をコンソールで設定することができます。その他の変更は、コンソールではなくオートメーションを通じて行うことができます。

例えば、テンプレート AWS CloudFormation や AWS Control Tower ライフサイクルイベントと連携する スタイルのカスタマイズフレームワークである AWS Control Tower のカスタマイズ機能を使用して、ランディングゾーンのより広範なカスタマイズを作成できます。 GitOps

AWS Control Tower コンソールからカスタマイズする

ランディングゾーンに対して以下のカスタマイズを行うには、AWS Control Tower コンソールで指定される手順に従います。

セットアップ時にカスタマイズした名前を選択する

  • セットアップ時に最上位の OU 名を選択できます。 AWS Organizations コンソールを使用していつでも OUs の名前を変更できますが、 で OUs を変更すると、修復可能なドリフト が発生する AWS Organizations 可能性があります。

  • 共有の [Audit] (監査) および [Log Archive] (ログアーカイブ) アカウントの名前を選択できますが、セットアップ後に名前を変更することはできません (これは 1 回限りの選択です)。

ヒント

で OU の名前を変更 AWS Organizations しても、Account Factory で対応するプロビジョニング済み製品は更新されないことに注意してください。プロビジョニングされた製品を自動的に更新し、ドリフトを回避するには、OU の作成、削除、再登録などの OU の操作を、AWS Control Tower から実行する必要があります。

AWS リージョンの選択

  • ガバナンスの対象となる特定の AWS リージョンを選択することで、ランディングゾーンをカスタマイズできます。AWS Control Tower コンソールの手順に従います。

  • ランディングゾーンを更新するときに、ガバナンスの AWS リージョンを選択および選択解除できます。

  • リージョン拒否コントロールを有効 または有効でない に設定し、管理されていない AWS リージョンのほとんどの AWS サービスへのユーザーアクセスを制御できます。

CfCT にデプロイの制限がある AWS リージョン 場所については、「」を参照してくださいコントロールの制限事項

オプションのコントロールを追加してカスタマイズする

  • 強く推奨されるコントロールと選択的コントロールはオプションです。つまり、有効にするコントロールを選択することで、ランディングゾーンの強制レベルをカスタマイズできます。オプションコントロールはデフォルトでは有効になっていません。

  • オプションのデータレジデンシーコントロールを使用すると、データを保存してアクセスを許可するリージョンをカスタマイズできます。

  • 統合された Security Hub スタンダードに含まれているオプションのコントロールにより、AWS Control Tower 環境をスキャンしてセキュリティリスクをチェックできます。

  • オプションのプロアクティブコントロールを使用すると、プロビジョニング前に AWS CloudFormation リソースをチェックして、新しいリソースが環境のコントロール目標に準拠していることを確認できます。

AWS CloudTrail 証跡をカスタマイズする

  • ランディングゾーンをバージョン 3.0 以降に更新する場合、AWS Control Tower によって管理される組織レベルの CloudTrail 証跡をオプトインまたはオプトアウトできます。この選択は、ランディングゾーンを更新するたびに変更できます。AWS Control Tower は管理アカウントに組織レベルの証跡を作成し、その証跡のステータスはユーザーの選択に基づいてアクティブまたは非アクティブのどちらかになります。ランディングゾーン 3.0 はアカウントレベルの CloudTrail 証跡をサポートしていませんが、これらが必要な場合は、独自の証跡を設定および管理できます。証跡が重複すると、追加料金が発生する場合があります。

コンソールでカスタマイズされたメンバーアカウントを作成する

AWS Control Tower コンソールの外部でカスタマイズを自動化する

一部のカスタマイズは AWS Control Tower コンソールでは利用できませんが、他の方法で実装することができます。例:

  • Account Factory for Terraform (AFT) を使用して、プロビジョニング中に GitOpsスタイルのワークフローでアカウントをカスタマイズできます。

    AFT は、AFT リポジトリで使用可能な Terraform モジュールでデプロイされます。

  • テンプレート AWS CloudFormation とサービスコントロールポリシー (SCP) に基づいて構築された機能のパッケージである AWS Control Tower のカスタマイズ (CfCT) を使用して、AWS Control Tower ランディングゾーンをカスタマイズできます。 CfCT SCPs カスタムのテンプレートとポリシーを組織内の個々のアカウントと組織単位 (OU) にデプロイできます。

    CfCT のソースコードは、GitHub リポジトリ にあります。

AWS Control Tower のカスタマイズ (CfCT) のメリット

AWS Control Tower のカスタマイズ (CfCT) と呼ばれる機能パッケージを使用すると、AWS Control Tower コンソールで作成できるものよりも広範なカスタマイズをランディングゾーンのために作成することができます。 GitOpsスタイルの自動化されたプロセスを提供します。ビジネス要件を満たすようにランディングゾーンを作り直すことができます。

このinfrastructure-as-codeカスタマイズプロセスでは、 AWS CloudFormation テンプレートを AWS サービスコントロールポリシー (SCPsおよび AWS Control Tower ライフサイクルイベント と統合して、リソースのデプロイがランディングゾーンと同期されたままになるようにします。例えば、Account Factory を使用して新しいアカウントを作成すると、アカウントおよび OU にアタッチされたリソースを自動的にデプロイできます。

注記

Account Factory および AFT とは異なり、CfCT は新しいアカウントの作成専用ではなく、指定したリソースをデプロイしてランディングゾーン内のアカウントと OU をカスタマイズすることを目的としています。

利点

  • カスタマイズされた安全な AWS 環境を拡張する – マルチアカウント AWS Control Tower 環境をより迅速に拡張し、 AWS ベストプラクティスを反復可能なカスタマイズワークフローに組み込むことができます。

  • 要件のインスタンス化 – ポリシーの意図を表す AWS CloudFormation テンプレートとサービスコントロールポリシーを使用して、ビジネス要件に合わせて AWS Control Tower ランディングゾーンをカスタマイズできます。

  • AWS Control Tower のライフサイクルイベントで自動化を進める — ライフサイクルイベントを使用すると、以前の一連のイベントの完了に基づいてリソースをデプロイできます。ライフサイクルイベントを使用して、アカウントや OU にリソースを自動的にデプロイできます。

  • ネットワークアーキテクチャを拡張する - トランジットゲートウェイなど、接続性を向上させて保護するカスタマイズされたネットワークアーキテクチャをデプロイできます。

その他の CfCT の例

AWS セキュリティリファレンスアーキテクチャの詳細については、AWS 「 規範ガイダンス」ページを参照してください。