コントロールとコンプライアンス

AWS Control Tower 内では、コンプライアンスとは、デプロイした検出コントロールやドリフト検出ルールに基づいて評価されたリソースの状態を指します。AWS Control Tower のコンプライアンスはドリフトに関連しています。通常、非準拠リソースの状態はドリフトです。AWS Control Tower のコントロールは、コンプライアンスのルールを体現しています。ドリフトを特定することで、準拠リソースと非準拠リソースを区別しやすくなります。

AWS Control Tower はリソースのコンプライアンスを評価し、OU、アカウント、コントロールの各レベルのコンプライアンス結果を報告します。このセクションでは、コントロール、OU、アカウントのコンプライアンスステータスについて詳しく説明します。

コンプライアンスレポートは、組織のアカウントに関連するリソースが、既定のポリシーに準拠していることをクラウド管理者が確認しやすくします。リソースがコンプライアンスに準拠していれば、 AWS ビルダーは数回クリックするだけで新しいアカウントを迅速にプロビジョニングできます。

AWS Control Tower でのコンプライアンスについて話すときは、データプライバシーや健康情報基準などの政府規制の遵守と同じ意味を意図するものではありません。ただし、AWS Control Tower は、組織が多くの政府規制 (フレームワークと呼ばれることがある) に準拠するのを支援できます。

• AWS Control Tower が政府規制および業界標準の遵守の維持を支援する方法の詳細については、「コンプライアンス検証」を参照してください。

• AWS CloudFormation スタックの作成中に AWS Control Tower のリソースコンプライアンスを検証する方法の詳細については、このブログ記事「How AWS Control Tower users can proactively verify compliance in AWS CloudFormation AWS CloudFormation stacks」(AWS Control Tower ユーザーがスタックのコンプライアンスをプロアクティブに検証する方法) を参照してください。

継続的なガバナンスのために、管理者は、セキュリティ、運用、コンプライアンスに関する明確に定義されたルールである事前構成済みのコントロールを有効にできます。これらのコントロールにより、次のことが可能になります。

• ポリシーに準拠していないリソースの展開を防ぐことができます (SCP で実装された予防的統制や、フックで実装された予防的統制によって)。 AWS CloudFormation

• デプロイされたリソースの不適合を継続的に監視する (検出制御とルールによる実装)。 AWS Config

AWS Control Tower でのコンプライアンスルール (コントロール) の例:

• Detect Whether Public Write Access to Amazon S3 Buckets is Allowed (Simple Storage Service (Amazon S3) バケットへのパブリック書き込みアクセスが許可されているかどうかを検出する)

• Detect Whether Unrestricted Incoming TCP Traffic is Allowed (無制限の着信 TCP トラフィックが許可されているかどうかを検出する)

政府のコンプライアンス規制 (フレームワーク) の例:

• 米国の 1996 年の医療保険の相互運用性と説明責任に関する法令 (HIPAA、Health Insurance Portability and Accountability Act)

• 2016 年制定の欧州連合の一般データ保護規則 (GDPR)