AWS Control Tower 管理者向けのベストプラクティス - AWS Control Tower

AWS Control Tower 管理者向けのベストプラクティス

このトピックは、主に管理アカウントの管理者を対象としています。

管理アカウントの管理者には、AWS Control Tower のガードレールによってメンバーアカウント管理者が実行できなくなるタスクについて説明する責任があります。このトピックでは、この知識を伝えるためのベストプラクティスと手順について説明し、AWS Control Tower 環境を効率的に設定して維持するためのその他のヒントを示します。

アクセスについてユーザーに説明する

AWS Control Tower コンソールは、管理アカウントの管理者権限を持つユーザーだけが使用できます。それらのユーザーだけが、ランディングゾーン内で管理作業を実行できます。これは、ベストプラクティスに従って、ほとんどのユーザーとメンバーアカウント管理者に AWS Control Tower コンソールが表示されることがないことを意味します。管理アカウントの管理者グループのメンバーは、必要に応じて、ユーザーとメンバーアカウントの管理者に次の情報を説明する必要があります。

  • ユーザーおよび管理者がランディングゾーン内でアクセスできる AWS リソースについて説明します。

  • 各組織単位 (OU) に適用される予防ガードレールを挙げ、他の管理者がそれに応じて AWS ワークロードを計画および実行できるようにします。

リソースアクセスについて説明する

一部の管理者や他のユーザーは、ランディングゾーン内でアクセスできる AWS リソースについての説明を必要としている場合があります。このアクセスには、プログラムによるアクセスとコンソールベースのアクセスが含まれます。一般に、AWS リソースの読み取りアクセスと書き込みアクセスが許可されています。AWS 内で作業を実行するユーザーには、ジョブを実行するのに必要な特定のサービスへのアクセスレベルが必要です。

AWS 開発者などの一部のユーザーは、エンジニアリングソリューションを作成できるように、アクセスできるリソースについて知っておく必要があります。AWS のサービスで実行されるアプリケーションのエンドユーザーなど、他のユーザーは、ランディングゾーン内の AWS リソースについて知る必要はありません。

AWS には、ユーザーの AWS リソースアクセスの範囲を特定するツールが用意されています。ユーザーのアクセスの範囲を特定したら、組織の情報管理ポリシーに従って、その情報をユーザーと共有できます。これらのツールの詳細については、以下のトピックを参照してください。

  • AWS Access Advisor - AWS Identity and Access Management (IAM) Access Advisor ツールを使用すると、ユーザー、ロール、グループなどの IAM エンティティが前回 AWS のサービスを呼び出したときのタイムスタンプを分析することにより、開発者が持っている許可を判断できます。サービスアクセスを監査して不要な許可を削除したり、必要に応じてプロセスを自動化したりできます。詳細については、AWS セキュリティのブログ記事を参照してください。

  • IAM Policy Simulator - IAM Policy Simulator では、IAM およびリソースベースのポリシーをテストし、トラブルシューティングできます。詳細については、「IAM Policy Simulator を使用した IAM ポリシーのテスト」を参照してください。

  • AWS CloudTrail ログ - AWS CloudTrail ログでは、ユーザー、ロール、または AWS のサービスによって実行されたアクションを確認できます。CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

    AWS Control Tower ランディングゾーン管理者が実行したアクションは、ランディングゾーン管理アカウントで確認できます。メンバーアカウント管理者およびユーザーが実行したアクションは、共有ログアーカイブアカウントで確認できます。

    AWS Control Tower イベントのサマリーテーブルは、[Activity] (アクティビティ) ページで確認できます。

予防ガードレールについて説明する

予防ガードレールにより、組織のアカウントが企業ポリシーへの準拠を維持できるようになります。予防ガードレールのステータスは、適用または無効です。予防ガードレールは、サービスコントロールポリシー (SCP) を使用してポリシー違反を防止します。これに対して、検出ガードレールは、定義された AWS Config ルールを使用して、存在するさまざまなイベントまたは状態を通知します。

AWS 開発者など、一部のユーザーは、エンジニアリングソリューションを作成できるように、使用するアカウントと OU に適用される予防ガードレールについて知っておく必要があります。次の手順では、組織の情報管理ポリシーに従って、適切なユーザーにこの情報を提供する方法に関するガイダンスを示します。

注記

この手順では、ランディングゾーン内に少なくとも 1 つの子 OU と、少なくとも 1 人の AWS IAM Identity Center (successor to AWS Single Sign-On) ユーザーが既に作成されていることを前提としています。

知っておく必要があるユーザーに予防ガードレールを示すには

  1. https://console.aws.amazon.com/controltower/ で AWS Control Tower コンソールにサインインします。

  2. 左側のナビゲーションから、[Organization] (組織) を選択します。

  3. 表から、該当するガードレールに関してユーザーが情報を必要としているいずれかの OU の名前を選択します。

  4. OU の名前と、この OU に適用されるガードレールを書き留めます。

  5. ユーザーが情報を必要としている OU ごとに、前の 2 つのステップを繰り返します。

ガードレールとその機能の詳細については、「AWS Control Tower のガードレール」を参照してください。