翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
でコントロールを有効にします。 AWS CloudFormation
コントロールは AWS CloudFormation、 AWS CloudFormation コンソールまたは AWS CLI を使用して有効にできます。このセクションでは、各タイプの例を示します。
AWS Control Tower の各コントロールには、コントロール API で使用するための固有の識別子があります。各コントロールの識別子は、AWS Control Tower コンソールの [コントロールの詳細] ページの [API controlIdentifier] (API コントロール識別子) フィールドに表示されます。この識別子は、コントロールの分類システムである [ControlID] フィールドに表示される識別子とは異なります。
以下の方法でスタックを作成します。 AWS CloudFormation
を使用すると AWS CloudFormation 、AWS Control Towerの制御を有効にすることができます。サンプルのテンプレートを次に示します。
Resources: TestControl: Type: AWS::ControlTower::EnabledControl Properties: ControlIdentifier: arn:aws:controltower:us-west-2::control/AWS-GR_RESTRICT_ROOT_USER TargetIdentifier: arn:aws:organizations::123456789012:ou/o-ybfpt9XXXl/ou-XXXc-nlqXXXXX
AWS CloudFormation コンソールからスタックを作成するには、選択したコントロールとターゲットが含まれるようにテンプレートを編集し、テンプレートをファイル名で保存しますtemplate.yaml
。 AWS CloudFormation ウィザードの指示に従います。ウィザードからテンプレートファイルを求められたら、template.yaml
として保存したファイルを入力します。詳細については、「Amazon CloudFormation コンソールでのスタックの作成」を参照してください。
注記
AWS Control Tower の EnableControl
と DisableControl
の更新に対する制限は、10 回の同時実行オペレーションです。
と AWS CLI AWS CloudFormation によるスタックの作成
CLI を使用してスタックを作成する例を次に示します。
aws cloudformation create-stack --region us-west-2 --stack-name testControlTower --template-body "$(cat << TEMPLATE Resources: TestControl: Type: AWS::ControlTower::EnabledControl Properties: ControlIdentifier: arn:aws:controltower:us-west-2::control/AWS-GR_RESTRICT_ROOT_USER TargetIdentifier: arn:aws:organizations::123456789012:ou/o-ybfpt9XXXl/ou-XXXc-nlqXXXXX TEMPLATE)"
サンプルのテンプレートを template.yaml
ファイルとして保存し、このファイルを Amazon S3 バケットにアップロードすることもできます。後で、--template-url
フラグを使用してバケットの URL を指定できます。
ウィザードまたは CLI を使用してテンプレートを入力するときに、スタックが作成済みであれば、コントロールは有効になっています。
AWS CLI でスタックの進行状況を確認する:
aws cloudformation describe-stack-events --region us-west-2 --stack-name testControlTower
または
aws cloudformation describe-stacks --region us-west-2 --stack-name testControlTower
AWS CLI を使用してスタックを削除します。
aws cloudformation delete-stack --region us-west-2 --stack-name testControlTower
以下のようにコントロールを設定します。 AWS CloudFormation
以下の例は、 AWS CloudFormation テンプレートを使用してコントロールを設定する方法を示しています。例では、[値] をリストとして示していますが、複数のタイプのいずれでも使用できます。
テンプレートを使用して設定可能なコントロールを有効にします。 AWS CloudFormation
AWS CloudFormationでパラメータを使用してコントロールを有効にします。
aws cloudformation create-stack \ --stack-name ExampleStack \ --template-body file://ExampleStack.yml \ --region us-east-1
YAML および JSON のテンプレートの例:
Resources: MyExampleControl: Properties: ControlIdentifier: arn:aws:controltower:us-east-1::control/EXAMPLE_NAME TargetIdentifier: arn:aws:organizations::01234567890:ou/o-EXAMPLE/ou-zzxx-zzx0zzz2 Parameters: - Key: AllowedRegions Value: - us-east-1 - us-west-1 - Key: ExemptedPrincipalArns Value: - arn:aws:iam::*:role/ReadOnly - Key: ExemptedActions Value: - logs:DescribeLogGroups - logs:StartQuery - logs:GetQueryResults Type: AWS::ControlTower::EnabledControl { "Resources": { "MyExampleControl": { "Type": "AWS::ControlTower::EnabledControl", "Properties": { "TargetIdentifier": "arn:aws:organizations::01234567890:ou/o-EXAMPLE/ou-zzxx-zzx0zzz2", "ControlIdentifier": "arn:aws:controltower:us-east-1::control/EXAMPLE_NAME", "Parameters": [ { "Key": "AllowedRegions", "Value": [ "us-east-1", "us-west-1" ] }, { "Key": "ExemptedPrincipalArns", "Value": [ "arn:aws:iam::*:role/ReadOnly" ] }, { "Key": "ExemptedActions", "Value": [ "logs:DescribeLogGroups", "logs:StartQuery", "logs:GetQueryResults" ] } ] } } } }