ガードレールの有効化 - AWS Control Tower

ガードレールの有効化

ほとんどのカードレールは OU の設定に従って自動的に有効になりますが、一部のガードレールは OU で手動で有効にする場合があります。次の手順では、OU でガードレールを有効にするためのステップについて説明します。

重要

オプションのガードレールを有効にすると、AWS Control Tower は、アカウントに AWS リソースを作成して管理します。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、ガードレールの状態が不明になる可能性があります。

OU でガードレールを有効にするには
  1. ウェブブラウザを使用して、AWS Control Tower コンソール (https://console.aws.amazon.com/controltower) に移動します。

  2. 左のナビゲーションから、[Guardrails] (ガードレール) を選択します。

  3. 有効にするガードレール (例えば、[Guardrail: Detect Whether Encryption is Enabled for Amazon EBS Volumes Attached to Amazon EC2 Instances] (ガードレール: Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームに対して暗号化が有効になっているかどうかを検出する)) を選択します。これにより、ガードレールの詳細ページが開きます。

  4. [Organizational units enabled] (組織単位が有効) から、[Enable guardrail on OU] (OU でガードレールを有効にする) を選択します。

  5. 新しいページが表示され、OU の名前が一覧表示されます。このガードレールを有効にする OU を特定します。

  6. [Enable guardrail on OU] (OU でガードレールを有効にする) を選択します。

  7. これで、ガードレールが有効になりました。変更が完了するまでに数分かかることがあります。完了すると、選択した OU にこのガードレールが適用されていることがわかります。

注記

予防ガードレールと検出ガードレールは同時に有効にすることができます。

オプションのガードレールの同時デプロイ

オプションのガードレールを適用する場合は、一度に複数のガードレールをデプロイできます。同時操作に対する StackSets の上限は 5000 件です。例えば、[Detect Whether MFA for the Root User is Enabled] (ルートユーザーに対して MFA が有効になっているかどうかを検出する) と [Detect Whether Public Write Access to Amazon S3 Buckets is Allowed] (Simple Storage Service (Amazon S3) バケットへのパブリック書き込みアクセスが許可されているかどうかを検出する) を同時に有効にすることができます。

個々のガードレールオペレーションが完了するのを待たずに、複数のオプションのガードレールを適用または削除できます。制限された時間は、AWS Control Tower がランディングゾーンをセットアップ中であるか、新しい組織にガバナンスを拡張中であるときだけです。

利用可能な機能
  • 複数の異なる検出ガードレールを同じ OU に対して同時に適用または削除します。

  • 複数の異なる検出ガードレールを複数の異なる OU に対して同時に適用または削除します。

  • 同じ検出ガードレールを複数の OU に対して同時に適用または削除します。

  • 複数の異なる予防ガードレールを同じ OU に対して同時に適用または削除します。

  • 複数の異なる予防ガードレールを複数の異なる OU に対して同時に適用または削除します。

  • 同じ予防ガードレールを複数の OU に対して同時に適用または削除します。

  • 予防ガードレールと検出ガードレールを同時に適用または削除できます。

個々のガードレールオペレーションが完了するのを待たずに、複数のオプションのガードレールを適用または削除できます。制限された時間は、AWS Control Tower がランディングゾーンをセットアップ中であるか、新しい組織にガバナンスを拡張中であるときだけです。

予防ガードレールは、ネストされた OU に適用すると、ターゲット OU の下にネストされたすべてのアカウントと OU に影響します。これらのアカウントや OU が AWS Control Tower に登録されていない場合でも影響を受けます。予防ガードレールを実装するには、AWS Organizations の一部であるサービスコントロールポリシーを使用します。検出ガードレールを実装するには、AWS Config ルールを使用します。ガードレールは、新しいアカウントを作成したり、既存のアカウントを変更したりしても有効に存続します。AWS Control Tower は、各アカウントが有効なポリシーにどのように準拠しているかを示すサマリーレポートを提供します。使用可能なガードレールの詳細なリストについては、「ガードレールリファレンス」を参照してください。