AWS Control Tower での設定更新管理 - AWS Control Tower

AWS Control Tower での設定更新管理

Landing Zone を最新の状態に保つのは、中央クラウド管理者のチームのメンバーの責任です。Landing Zone を更新することにより、AWS Control Tower はパッチが適用され、更新された状態で維持されます。さらに、潜在的なコンプライアンスの問題から Landing Zone を保護するために、中央のクラウド管理者チームのメンバーは、ドリフトの問題が検出され、報告されたらすぐに解決する必要があります。

注記

AWS Control Tower コンソールは、Landing Zone を更新する必要があるときを示します。更新するオプションが表示されていない場合、Landing Zone はすでに最新です。

更新について

ガバナンスのドリフトを修正するには、または AWS Control Tower の新しいバージョンに移動するには、更新が必要です。AWS Control Tower の完全な更新を実行するには、最初にランディングゾーンを更新してから、登録済みアカウントを個別に更新する必要があります。3 種類の更新を異なるタイミングで実行することが必要になる場合があります。

  • ランディングゾーンの更新: ほとんどの場合、このタイプの更新は、[Settings (設定)] ページの [Update (更新)] を選択して実行します。特定の種類のドリフトを修復するには、ランディングゾーンの更新が必要になる場合があります。必要に応じて、[Repair (修復)] を選択できます。

  • 1 つ以上の個々のアカウントの更新: 関連する情報が変更された場合、または特定の種類のドリフトが発生した場合は、アカウントを更新する必要があります。アカウントを更新するには、手動プロセスに従うか、自動化されたアプローチを使用します。いずれの方法についても、このページの以降のセクションで説明します。

  • 完全な更新: 完全な更新には、ランディングゾーンの更新が含まれ、その後に登録済み OU に登録されているすべてのアカウントの更新が続きます。AWS Control Tower の新しいリリース (2.3、2.4 など) では、完全な更新が必要です。

ランディングゾーンを更新する

AWS Control Tower ランディングゾーンを更新する最も簡単な方法は、[設定] ページです。左側のナビゲーションで [設定] を選択し、[設定] ページに移動します。

[設定] ページには、ランディングゾーンの現在のバージョンが表示され、利用可能な更新バージョンが一覧表示されます。バージョンを更新する必要がある場合は、[更新] ボタンを選択できます。[更新] ボタンがグレー表示されている場合、更新する必要はありません。

注記

または、ランディングゾーンを手動で更新することもできます。[更新] ボタンを使用するか手動で処理するかにかかわらず、更新にはほぼ同じ時間がかかります。ランディングゾーンのみを手動で更新するには、以下のステップ 1 と 2 を参照してください。

以下に示しているのは、AWS Control Tower の手動での完全な更新の手順です。個々のアカウントを更新するには、ステップ 3 から始めます。

Landing Zone を手動で更新するには

  1. ウェブブラウザを開いて、https://us-west-2.console.aws.amazon.com/controltower/home/update の AWS Control Tower コンソールに移動します。

  2. ウィザードの情報を確認し、[更新] を選択します。これにより、Landing Zone のバックエンドおよび共有アカウントが更新されます。このプロセスには 1 時間と少しかかる可能性があります。

  3. メンバーアカウントを更新します。ナビゲーションペインで、[アカウント] を選択します。

  4. [Enroll account (アカウントの登録)] を選択して、AWS Service Catalog コンソールと Account Factory 製品を開きます。

  5. ナビゲーションペインで、[Provisioned products list (プロビジョニング済み製品リスト)] を選択します。

  6. 一覧表示されているアカウントごとに以下の手順を実行して、すべてのメンバーアカウントを更新します。

    1. アカウントのメニューから [プロビジョニングされた製品の詳細] を選択します。

    2. 以下のパラメータを書き留めます。

      • SSOUserEmail (プロビジョニングされた製品の詳細で利用可能)

      • AccountEmail (プロビジョニングされた製品の詳細で利用可能)

      • SSOUserFirstName (SSO で利用可能)

      • SSOUSerLastName (SSO で利用可能)

      • AccountName (SSO で利用可能)

    3. [アクション] で、[更新] を選択します。

    4. 更新する製品の [バージョン] の隣にあるラジオボタンを選択して、[次へ] を選択します。

    5. 前に説明したパラメータ値を入力します。[ManagedOrganizationlUnit] には、アカウントがある OU を選択します。この情報は、AWS Control Tower コンソールの [アカウント] の下にあります。

    6. [次へ] を選択します。

    7. 変更内容を確認し、[更新] を選択します。このプロセスには、アカウントごとに数分かかることがあります。

ドリフトの解決

AWS Control Tower を作成するとき、Landing Zone、Landing Zone、すべての OU、アカウント、リソースは、必須であるか選択的であるかにかかわらず、ガードレールにより適用されるすべてのガバナンスルールに準拠します。ユーザーおよび組織のメンバーが Landing Zone を使用する際、コンプライアンスステータスが変更されることがあります。一部の変更は偶発的になされますが、時間的制約のある操作上のイベントに対応するために意図的になされる場合もあります。いずれにしても、変更によりコンプライアンスが複雑になる可能性があります。

ドリフトを解決すると、組織のガバナンス規制への準拠を確保できます。ドリフトの解決は、マスターアカウント管理者のための通常の運用タスクです。

ドリフト検出は AWS Control Tower で自動的に行われます。これは、ドリフトを解決するために行う必要のある変更や構成の更新を必要とするリソースを特定するのに役立ちます。

ほとんどのタイプのドリフトを修復するには、[設定] ページで [修復] を選択します。ドリフトが発生すると、[修復] ボタンが選択可能になります。詳細については、「AWS Control Tower でのドリフトの検出および解決」を参照してください。

AWS Control Tower を新しい AWS リージョンにデプロイする

このセクションでは、新しい AWS リージョンに AWS Control Tower Landing Zone をデプロイするときに予想される動作について説明します。通常、このタイプのデプロイは、AWS Control Tower コンソールの Update (更新) 機能を使用して実行されます。

注記

ワークロードの実行を必要としない AWS リージョンに AWS Control Tower Landing Zone を拡張することは避けてください。

新しい AWSリージョンにデプロイ中、AWS Control Tower は、Landing Zone を更新します。つまり、新しいリージョンでアクティブに動作するように、Landing Zone にベースライニングが行われることを意味します。AWS Control Tower が管理する組織単位 (OU) 内の各アカウントは、この Landing Zone の更新プロセスの一環としては更新されません。そのため、アカウントに個別に更新プログラムを適用する必要があります。

新しい AWS リージョンにデプロイした結果として、AWS Control Tower 検出ガードレールにおける特定の重要な動作の変更が予想されます。

  • 既存のものに変更はありません。 検出ガードレールでも予防ガードレールでも、その動作は、既存のリージョンの既存のアカウント、既存の OU のアカウントでは変わりません。

  • 更新されていないアカウントを含む既存の OU には、新しい検出ガードレールを適用することはできません。 更新によって AWS Control Tower Landing Zone を新しいリージョンにデプロイしたら、既存の OU および既存のアカウントで新しい検出ガードレールを有効にする前に、既存の OU で必ず既存のアカウントを更新してください。

  • 既存の検出ガードレールは、アカウントを更新するとすぐに新しいリージョンで機能します。 AWS Control Tower Landing Zone を更新して新しいリージョンにデプロイし、アカウントを更新すると、OU で既に有効になっている検出ガードレールが、新しいリージョンの該当アカウントで機能します。

  • 実行するリージョンのみを更新します。 この動作により、OU が多数のメンバーアカウントを管理している場合、 AWS Control Tower Landing Zone を新しい AWS リージョンにデプロイするのに時間がかかる場合があります。そのため、ワークロードの実行を必要としない AWS リージョンに AWS Control Tower デプロイを拡張することは避けてください。

アカウントの自動更新方法

新しいリージョンにデプロイした後に個々のアカウントを更新する方法の 1 つとして、AWS Service Catalog の API フレームワークと AWS CLI を使用して、バッチ処理でアカウントを更新する方法があります。各アカウントの AWS Service Catalog の UpdateProvisionedProduct API を呼び出します。この API を使用して、アカウントを 1 つずつ更新するスクリプトを書くことができます。このアプローチの詳細については、ブログ記事を参照してください。

各アカウントの更新無事に完了してから、次のアカウント更新を開始してください。したがって、アカウントが多くある場合は、処理に時間がかかることはありますが、複雑ではありません。この方法の詳細については、「チュートリアル: AWS Control Tower を使用した自動アカウントプロビジョニング」を参照してください。

注記

動画チュートリアル」は、アカウントの自動プロビジョニング用に設計されていますが、「ProvisionProduct」API ではなく「UpdateProvisionedProduct」API を呼び出すようにすれば、この手順はアカウントの更新にも適用できます。

オートメーションの次のステップは、AWS Control Tower ライフサイクル「UpdateLandingZone」の[Succeed] イベントを確認し、それをトリガーとして使用して、動画で説明されているように個々のアカウントの更新を開始することです。ライフサイクルイベントは一連のアクティビティの完了を示すため、このイベントが発生すると Landing Zone の更新が完了したことを意味します。アカウントの更新を開始する前に、Landing Zone の更新が完了している必要があります。ライフサイクルイベントの操作の詳細については、「ライフサイクルイベント」を参照してください。