機能オプションの有効化 - AWS Control Tower

機能オプションの有効化

AFT は、ベストプラクティスに基づいた機能オプションを提供します。AFT のデプロイ中に、機能フラグを使用して、これらの機能にオプトインできます。AFT 入力設定パラメータの詳細については、「AFT による新しいアカウントのプロビジョニング」を参照してください。

デフォルトでは、これらの機能は有効になっていません。環境でそれぞれの機能を明示的に有効にする必要があります。

AWS CloudTrail データイベント

有効にすると、AWS CloudTrail データイベントオプションがこれらの機能を設定します。

  • CloudTrail の AWS Control Tower 管理アカウントに組織の証跡を作成します。

  • Simple Storage Service (Amazon S3) および Lambda データイベントのログ記録をオンにします。

  • AWS KMS 暗号化を使用して、すべての CloudTrail データイベントを暗号化し、AWS Control Tower ログアーカイブアカウントの aws-aft-logs-* S3 バケットにエクスポートします。

  • [Log file validation] (ログファイルの検証) 設定をオンにします。

このオプションを有効にするには、AFT デプロイ入力設定で次の機能フラグを [True] に設定します。

aft_feature_cloudtrail_data_events

前提条件

この機能オプションを有効にする前に、AWS CloudTrail の信頼されたアクセスが組織で有効になっていることを確認してください。

CloudTrail の信頼されたアクセスのステータスを確認するには、次の手順に従います。
  1. AWS Organizations コンソールに移動します。

  2. [Services] (サービス) > [CloudTrail] を選択します。

  3. 次に、必要に応じて、右上の [Enable trusted access] (信頼されたアクセスを有効にする) を選択します。

AWS CloudTrail コンソールを使用するように勧める警告メッセージが表示されることがありますが、この場合は警告を無視します。AFT は、信頼されたアクセスを許可した後、この機能オプションの有効化の一環として証跡を作成します。信頼されたアクセスが有効になっていない場合は、AFT がデータイベントの証跡を作成しようとしたときにエラーメッセージが表示されます。

注記

この設定は組織レベルで機能します。この設定を有効にすると、AFT によって管理されているかどうかにかかわらず、AWS Organizations のすべてのアカウントに影響します。有効化時の AWS Control Tower ログアーカイブアカウントのすべてのバケットは、Simple Storage Service (Amazon S3) データイベントから除外されます。CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

AWS エンタープライズサポートプラン

このオプションを有効にすると、AFT パイプラインが、AFT によってプロビジョニングされたアカウントの AWS エンタープライズサポートプランをオンにします。

AWS アカウントのデフォルトでは、AWS ベーシックサポートプランが有効になっています。AFT は、AFT がプロビジョニングするアカウントのエンタープライズサポートレベルへの自動登録を提供します。プロビジョニングプロセスにより、AWS エンタープライズサポートプランにアカウントを追加するよう依頼するサポートチケットが作成されます。

エンタープライズサポートオプションを有効にするには、AFT デプロイ入力設定で次の機能フラグを [True] に設定します。

aft_feature_enterprise_support=false

AWS Support プランの詳細については、「AWS Support プランの比較」を参照してください。

注記

この機能を使用するには、支払いアカウントを Enterprise Support プランに登録する必要があります。

AWS デフォルト VPC を削除する

このオプションを有効にすると、すべての AWS で AFT 管理アカウント用に関連付けられた AWS リージョン のデフォルト VPC が AFT パイプラインによって検出されます。これは、これらのリージョンに AWS Control Tower リソースがデプロイされていない場合も同様です。

AFT パイプラインは、その AFT がプロビジョニングする AWS Control Tower アカウント、または AFT を使用して AWS Control Tower に登録した既存の AWS アカウントの AWS のデフォルト VPC を自動的に削除しません。

新規の AWS アカウントは、デフォルトで、各 AWS リージョンに VPC を設定して作成されます。エンタープライズには、VPC を作成するための標準的なプラクティスがある場合があります。この場合は、AWS のデフォルト VPC を削除して、有効にしないようにする必要があります。特に AFT 管理アカウントの場合は注意してください。

このオプションを有効にするには、AFT デプロイ入力設定で次の機能フラグを [True] に設定します。

aft_feature_delete_default_vpcs_enabled

デフォルト VPC の詳細については、「Default VPC and default subnets」(デフォルト VPC とデフォルトサブネット) を参照してください。