コンソールから OU のコントロールを有効にする - AWS Control Tower
オプションコントロールの同時デプロイ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

コンソールから OU のコントロールを有効にする

必須および継承されたコントロールは、OU の設定に従って自動的に有効になります。オプションのコントロールは、OU で手動で有効にすることも、コンソールから有効にすることも、コントロール API を使用して有効にすることもできます。次の手順では、コンソールから OU のコントロールを有効にするステップについて説明します。

重要

オプションのコントロールを有効にすると、AWS Control Tower AWS はアカウント内のリソースを作成して管理します。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、コントロールの状態が不明になる可能性があります。

OU のコントロールを有効にするには、コンソールから

  1. ウェブブラウザを使用して、AWS Control Tower コンソール (https://console.aws.amazon.com/controltower) に移動します。

  2. 左側のナビゲーションから [すべてのコントロール] を選択します。

  3. 有効にするコントロール、例えば、[Control: Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances] (コントロール: Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームに対して暗号化が有効になっているかどうかを検出する) を選択します。コントロールの詳細ページが開きます。

  4. [Organizational units enabled] (組織単位が有効) から、[Enable guardrail on OU] (OU でコントロールを有効にする) を選択します。

  5. 新しいページが表示され、OU の名前が一覧表示されます。このコントロールを有効にする OU を特定します。

  6. [Enable control on OU] (OU でコントロールを有効にする) を選択します。

  7. これで、コントロールが有効になりました。変更が完了するまでに数分かかることがあります。完了すると、選択した OU にこのコントロールが適用されていることがわかります。

注記

予防コントロールと検出コントロールは同時に有効にすることができます。

コンソールで OU のコントロールを無効にするには

  1. ウェブブラウザを使用して、AWS Control Tower コンソール (https://console.aws.amazon.com/controltower) に移動します。

  2. 左側のナビゲーションから [Controls] (コントロール) を選択します。

  3. 無効にするコントロール、例えば、[コントロール: Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームに対して暗号化が有効になっているかどうかを検出する] を選択します。コントロールの詳細ページが開きます。

  4. [組織単位が有効] タブで、コントロールを削除する OU の横にあるラジオボタンを選択します。

  5. 右上の [コントロールを無効にする] を選択します。

  6. これでコントロールが無効になります。変更が完了するまでに数分かかることがあります。完了すると、選択した OU にこのコントロールは今後適用されません。

注記

[OU リージョン拒否] コントロールは、パラメータを使用する特殊なコントロールです。このコントロールを有効にする手順については、「OU に適用されるリージョン拒否コントロール」を参照してください。

オプションコントロールの同時デプロイ

オプションのコントロールを適用する場合は、一度に複数のコントロールをデプロイできます。例えば、[Detect Whether MFA for the Root User is Enabled] (ルートユーザーに対して MFA が有効になっているかどうかを検出する) と [Detect Whether Public Write Access to Amazon S3 Buckets is Allowed] (Simple Storage Service (Amazon S3) バケットへのパブリック書き込みアクセスが許可されているかどうかを検出する) を同時に有効にすることができます。

個々のコントロールオペレーションが完了し、最大 25 個の制御オペレーションがキューに入るのを待たずに、複数のオプションコントロールを適用または削除できます。同時操作が制限されるのは、AWS Control Tower がランディングゾーンのセットアップ中であるか、新しい組織にガバナンスを拡張中である場合だけです。

コンソールと API で利用可能な機能

  • 複数の異なる検出コントロールを同じ OU に対して同時に適用または削除します。

  • 複数の異なる検出コントロールを複数の異なる OU に対して同時に適用または削除します。

  • 同じ検出コントロールを複数の OU に対して同時に適用または削除します。

  • 複数の異なる予防コントロールを同じ OU に対して同時に適用または削除します。

  • 複数の異なる予防コントロールを複数の異なる OU に対して同時に適用または削除します。

  • 同じ予防コントロールを複数の異なる OU に対して同時に適用または削除します。

  • 複数の異なるプロアクティブコントロールを同じ OU に対して同時に適用または削除します。

  • 複数の異なるプロアクティブコントロールを複数の異なる OU に対して同時に適用または削除します。

  • 同じプロアクティブコントロールを複数の OU に対して同時に適用または削除します。

  • 予防、検出、プロアクティブコントロールを同時に適用または削除できます。

予防コントロールは、ネストされた OU に適用すると、ターゲット OU の下にネストされたすべてのアカウントと OU に影響します。これらのアカウントや OU が AWS Control Tower に登録されていない場合でも影響を受けます。予防的統制は、に含まれるサービスコントロールポリシー (SCP) を使用して実装されます。 AWS Organizations Detective AWS Config コントロールはルールを使用して実装されます。 CloudFormation プロアクティブコントロールはフックを使用して実装されます。

コントロールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても、OU 全体で有効に存続します。AWS Control Tower は、各アカウントが、有効になっているコントロールにどのように準拠しているかを示す概要レポートを提供します。使用可能なコントロールの完全なリストについては、「AWS Control Tower コントロールライブラリ」を参照してください。