AWS Control Tower 管理者のベストプラクティス - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower 管理者のベストプラクティス

このトピックは、主に管理アカウントの管理者を対象としています。

管理アカウント管理者は、AWSControl Tower が制御する一部のタスクについて説明し、メンバーアカウント管理者が実行できないようにします。このトピックでは、この知識を移行するためのいくつかのベストプラクティスと手順について説明し、AWSControl Tower 環境を効率的に設定および維持するためのその他のヒントを提供します。

アクセスについてユーザーに説明する

AWS Control Tower コンソールは、管理アカウント管理者権限を持つユーザーのみが使用できます。それらのユーザーだけが、ランディングゾーン内で管理作業を実行できます。ベストプラクティスによると、これは、ユーザーとメンバーアカウント管理者の大部分が AWS Control Tower コンソールを表示しないことを意味します。管理アカウントの管理者グループのメンバーは、必要に応じて、ユーザーとメンバーアカウントの管理者に次の情報を説明する必要があります。

  • ユーザーと管理者がランディングゾーン内でアクセスできる AWS リソースについて説明します。

  • 他の管理者がそれに応じて AWS ワークロードを計画して実行できるように、各組織単位 (OU) に適用される予防コントロールを一覧表示します。

リソースアクセスについて説明する

一部の管理者と他のユーザーは、ランディングゾーン内でアクセスできる AWS リソースの説明が必要になる場合があります。このアクセスには、プログラムによるアクセスとコンソールベースのアクセスが含まれます。一般的に、 AWS リソースの読み取りアクセスと書き込みアクセスが許可されます。内で作業を実行するには AWS、ユーザーがジョブを実行するために必要な特定のサービスにある程度のアクセスが必要です。

AWS デベロッパーなどの一部のユーザーは、エンジニアリングソリューションを作成できるように、アクセスできるリソースについて知る必要がある場合があります。 AWS サービスで実行されるアプリケーションのエンドユーザーなどの他のユーザーは、ランディングゾーン内の AWS リソースについて知る必要はありません。

AWS には、ユーザーの AWS リソースアクセスの範囲を特定するためのツールが用意されています。ユーザーのアクセスの範囲を特定したら、組織の情報管理ポリシーに従って、その情報をユーザーと共有できます。これらのツールの詳細については、以下のトピックを参照してください。

  • AWS アクセスアドバイザー – AWS Identity and Access Management (IAM) アクセスアドバイザーツールを使用すると、ユーザー、ロール、グループなどのIAMエンティティが AWS サービスを呼び出したときの最後のタイムスタンプを分析することで、デベロッパーが持つアクセス許可を判断できます。サービスアクセスを監査して不要な許可を削除したり、必要に応じてプロセスを自動化したりできます。詳細については、AWS 「セキュリティブログ記事」を参照してください。

  • IAM ポリシーシミュレーター – IAMポリシーシミュレーターを使用すると、 IAMベースのポリシーとリソースベースのポリシーをテストおよびトラブルシューティングできます。詳細については、IAM「 Policy Simulator を使用したIAMポリシーのテスト」を参照してください。

  • AWS CloudTrail ログ – AWS CloudTrail ログを確認して、ユーザー、ロール、または によって実行されたアクションを確認できます AWS のサービス。の詳細については CloudTrail、AWS CloudTrail 「 ユーザーガイド」を参照してください。

    AWS Control Tower ランディングゾーン管理者が実行したアクションは、ランディングゾーン管理アカウントで表示できます。メンバーアカウント管理者およびユーザーが実行したアクションは、共有ログアーカイブアカウントで確認できます。

    AWS Control Tower イベントの概要テーブルは、アクティビティページで表示できます。

予防コントロールについて説明する

予防コントロールにより、組織のアカウントが企業ポリシーへの準拠を維持できるようになります。予防コントロールのステータスは、適用または無効です。予防コントロールは、サービスコントロールポリシー () を使用してポリシー違反を防止しますSCPs。これに対して、検出コントロールは、定義された AWS Config ルールを使用して、存在するさまざまなイベントまたは状態を通知します。

AWS デベロッパーなどの一部のユーザーは、エンジニアリングソリューションを作成できるように、どのアカウントにも適用されOUs、使用する予防的コントロールについても知っておく必要がある場合があります。次の手順では、組織の情報管理ポリシーに従って、適切なユーザーにこの情報を提供する方法に関するガイダンスを示します。

注記

この手順は、ランディングゾーン内に少なくとも 1 つの子 OU と少なくとも 1 人の AWS IAM Identity Center ユーザーを既に作成していることを前提としています。

知っておく必要があるユーザーに予防コントロールを示すには
  1. で AWS Control Tower コンソールにサインインしますhttps://console.aws.amazon.com/controltower/

  2. 左側のナビゲーションから、[Organization] (組織) を選択します。

  3. テーブルから、OUsユーザーが該当するコントロールに関する情報を必要とする のいずれかの名前を選択します。

  4. OU の名前と、この OU に適用されるコントロールを書き留めます。

  5. ユーザーが情報を必要としている OU ごとに、前の 2 つのステップを繰り返します。

コントロールとその機能の詳細については、AWSControl Tower の「コントロールについて」を参照してください。