AWS Control Tower コンソールからカスタマイズする AWS Control Tower コンソール外でのカスタマイズの自動化 AWS Control Tower のカスタマイズ (CfCT) の利点その他の CfCT の例

AWS Control Tower ランディングゾーンをカスタマイズする

AWS Control Tower ランディングゾーンの特定の側面は、リージョンの選択やオプションのコントロールなど、コンソールで設定できます。その他の変更は、コンソールではなくオートメーションを通じて行うことができます。

例えば、 AWS CloudFormation テンプレートや AWS Control Tower ライフサイクルイベントと連携するスタイルのカスタマイズフレームワークである Customizations for AWS Control Tower 機能を使用して、ランディングゾーンのより広範なカスタマイズを作成できます。 GitOps

AWS Control Tower コンソールからカスタマイズする

ランディングゾーンにこれらのカスタマイズを行うには、AWSControl Tower コンソールで指定された手順に従います。

セットアップ時にカスタマイズした名前を選択する

セットアップ時に最上位の OU 名を選択できます。 AWS Organizations コンソールを使用しての名前をOUsいつでも変更できますが、 OUs でを変更すると、修復可能なドリフトが発生する AWS Organizations 可能性があります。
共有の [Audit] (監査) および [Log Archive] (ログアーカイブ) アカウントの名前を選択できますが、セットアップ後に名前を変更することはできません (これは 1 回限りの選択です)。

ヒント

で OU の名前を変更 AWS Organizations しても、Account Factory の対応するプロビジョニング済み製品は更新されないことに注意してください。プロビジョニング済み製品を自動的に更新するには (ドリフトを避けるには）、OU の作成、削除、再登録など、AWSControl Tower を介して OU オペレーションを実行する必要があります。

AWS リージョンの選択

ガバナンスの対象となる特定の AWS リージョンを選択することで、ランディングゾーンをカスタマイズできます。AWS Control Tower コンソールのステップに従います。
ランディングゾーンを更新するときに、ガバナンスの AWS リージョンを選択または選択解除できます。
リージョン拒否コントロールを有効または無効に設定し、管理対象外 AWS リージョンのほとんどの AWS サービスへのユーザーアクセスを制御できます。

CfCT にデプロイ制限がある AWS リージョン場所については、「」を参照してくださいコントロールの制限事項。

オプションのコントロールを追加してカスタマイズする

強く推奨されるコントロールと選択的コントロールはオプションです。つまり、どのコントロールを有効にするかを選択することで、ランディングゾーンのエンフォースメントレベルをカスタマイズできます。オプションのコントロールはデフォルトでは有効になっていません。
オプションのデータレジデンシーコントロールでは、データを保存し、アクセスを許可するリージョンをカスタマイズできます。
統合された Security Hub 標準の一部であるオプションのコントロールを使用すると、AWSControl Tower 環境をスキャンしてセキュリティリスクをチェックできます。
オプションのプロアクティブコントロールを使用すると、プロビジョニング前に AWS CloudFormation リソースをチェックして、新しいリソースが環境のコントロール目標に準拠していることを確認できます。

AWS CloudTrail 証跡をカスタマイズする

ランディングゾーンをバージョン 3.0 以降に更新する場合、AWSControl Tower が管理する組織レベルの CloudTrail 証跡をオプトインまたはオプトアウトできます。この選択は、ランディングゾーンを更新するたびに変更できます。 AWSControl Tower は、管理アカウントに組織レベルの証跡を作成し、その証跡は、選択したステータスに基づいてアクティブまたは非アクティブになります。ランディングゾーン 3.0 はアカウントレベルの CloudTrail 証跡をサポートしていませんが、これらが必要な場合は、独自の証跡を設定および管理できます。証跡が重複すると、追加料金が発生する場合があります。

コンソールでカスタマイズされたメンバーアカウントを作成する

Control Tower コンソールから、カスタマイズした AWS Control Tower AWS メンバーアカウントを作成し、既存のメンバーアカウントを更新してカスタマイズを追加できます。詳細については、「Account Factory Customization を使用してアカウントをカスタマイズする (AFC）」を参照してください。

AWS Control Tower コンソール外でのカスタマイズの自動化

一部のカスタマイズは AWS Control Tower コンソールでは利用できませんが、他の方法で実装できます。以下に例を示します。

Account Factory for Terraform (AFT）を使用すると、プロビジョニング中に、 GitOpsスタイルのワークフローでアカウントをカスタマイズできます。

AFT は、 AFTリポジトリで利用可能な Terraform モジュールでデプロイされます。
AWS テンプレート AWS CloudFormation とサービスコントロールポリシー () に基づいて構築された機能のパッケージである Customizations for AWS Control Tower (CfCT) を使用して、Control Tower ランディングゾーンをカスタマイズできますSCPs。 CfCT カスタムテンプレートとポリシーは、組織内の個々のアカウントと組織単位 (OUs) にデプロイできます。

CfCT のソースコードはGitHub リポジトリにあります。
Landing Zone Accelerator (LZA) をオンにして、 AWS Control Tower ランディングゾーンをカスタマイズできます AWS。このLZAソリューションは、 AWS ベストプラクティスに合致し、複数のグローバルコンプライアンスフレームワークに準拠するように設計されています。AWS Control Tower を基本的なランディングゾーンとしてデプロイし、LZA必要に応じてでランディングゾーン機能を強化することをお勧めします。詳細については、AWS「Control Tower とランディングゾーンアクセラレーター」を参照してください。

AWS Control Tower のカスタマイズ (CfCT) の利点

Control Tower のカスタマイズ (CfCT) と呼ばれる機能のパッケージは、AWSControl AWS Tower コンソールで作成できるよりも広範なカスタマイズをランディングゾーンに作成するのに役立ちます。 CfCT これは、 GitOpsスタイルの自動化されたプロセスを提供します。ビジネス要件を満たすようにランディングゾーンを作り直すことができます。

このinfrastructure-as-codeカスタマイズプロセスでは、 AWS CloudFormation テンプレートを AWS サービスコントロールポリシー (SCPs) および AWS Control Tower ライフサイクルイベントと統合して、リソースのデプロイがランディングゾーンと同期されたままになるようにします。例えば、Account Factory を使用して新しいアカウントを作成すると、アカウントおよび OU にアタッチされたリソースを自動的にデプロイできます。

注記

Account Factory やとは異なりAFT、CfCT は特に新しいアカウントを作成することを目的としたものではなく、指定したリソースをデプロイしてランディングゾーンOUsでアカウントとをカスタマイズすることを目的としています。

利点

カスタマイズされた安全な AWS 環境の拡張 – マルチアカウント AWS Control Tower 環境をより迅速に拡張し、 AWS ベストプラクティスを反復可能なカスタマイズワークフローに組み込むことができます。
要件のインスタンス化 – ポリシーの目的を表す AWS CloudFormation テンプレートとサービスコントロールポリシーを使用して、ビジネス要件に合わせて AWS Control Tower ランディングゾーンをカスタマイズできます。
AWS Control Tower ライフサイクルイベントを使用してさらに自動化する – ライフサイクルイベントを使用すると、以前の一連のイベントの完了に基づいてリソースをデプロイできます。ライフサイクルイベントを使用するとOUs、アカウントとにリソースを自動的にデプロイできます。
ネットワークアーキテクチャを拡張する - トランジットゲートウェイなど、接続性を向上させて保護するカスタマイズされたネットワークアーキテクチャをデプロイできます。

その他の CfCT の例

「Customizations for AWS Control Tower (CfCT)」によるネットワーキングのユースケースの例は、「Service Catalog と AWS Control Tower のカスタマイズDNSと整合性のあるデプロイ」という AWS アーキテクチャブログ記事に記載されています。
CfCT と Amazon に関連する GuardDuty特定の例は、 aws-samplesリポジトリの GitHub で利用できます。
CfCT に関するその他のコード例は、aws-samples リポジトリの AWS セキュリティリファレンスアーキテクチャの一部として入手できます。これらの例の多くで、サンプルの manifest.yaml ファイルが customizations_for_aws_control_tower という名前のディレクトリに含まれています。

AWS セキュリティリファレンスアーキテクチャの詳細については、AWS 「規範ガイダンス」ページを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS CloudFormation リソース

AWS Control Tower のカスタマイズ (CfCT) の概要