翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSControlTowerExecution ロールについての説明
AWSControlTowerExecution ロールは、登録されたすべてのアカウントに存在する必要があります。これにより AWS Control Tower が個々のアカウントを管理し、それらのアカウントに関する情報を監査アカウントおよびログアーカイブアカウントに報告できるようにするものです。
AWSControlTowerExecution ロールは、次のように、いくつかの方法でアカウントに追加できます。
-
セキュリティ OU のアカウント (コアアカウントと呼ばれることもあります) の場合、AWS Control Tower は、AWS Control Tower の初期セットアップ時にロールを作成します。
-
AWS Control Tower コンソールで作成された Account Factory アカウントの場合、AWS Control Tower は、アカウント作成時にこのロールを作成します。
-
アカウント登録が 1 つの場合は、ロールを手動で作成し、AWS Control Tower にアカウントを登録するようお客様に依頼します。
-
ガバナンスを OU に拡張する場合、AWS Control Tower は、StackSet-AWSControlTowerExecutionRole を使用して、その OU 内のすべてのアカウントにロールを作成します。
AWSControlTowerExecution ロールの目的:
-
AWSControlTowerExecutionでは、スクリプトと Lambda 関数を使用して、アカウントを自動的に作成および登録できます。 -
AWSControlTowerExecutionでは、各アカウントのすべてのログがロギングアカウントに送信されるよう、組織のロギングを設定できます。 -
AWSControlTowerExecutionでは、AWS Control Tower に個別のアカウントを登録できます。最初に、そのアカウントにAWSControlTowerExecutionロールを追加する必要があります。ロールの追加手順については、「必要な IAM ロールを既存の AWS アカウント に手動で追加し、登録します。」を参照してください。
AWSControlTowerExecution ロールと OU の連携方法:
AWSControlTowerExecution ロールは、選択した AWS Control Tower コントロールが自動的に、組織内の各 OU の個々のアカウントに適用され、AWS Control Tower で作成したすべての新規アカウントにも適用されるようにします。結果として、以下のようになります。
-
AWS Control Tower コントロールによって具体化される監査機能とロギング機能に基づいて、コンプライアンスレポートとセキュリティレポートをより簡単に提供できます。
-
セキュリティチームとコンプライアンスチームは、すべての要件が満たされていること、組織ドリフトが発生していないことを確認できます。
ドリフトの詳細については、「Detect and resolve drift in AWS Control Tower」(AWS Control Tower でドリフトを検出して解決する) を参照してください。
つまり、AWSControlTowerExecution ロールとその関連ポリシーを使って、組織全体のセキュリティとコンプライアンスを柔軟に管理できるということです。したがって、セキュリティまたはプロトコルの違反が発生する可能性が低くなります。
