AWS Control Tower リソースの作成と変更に関するガイダンス - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower リソースの作成と変更に関するガイダンス

AWS Control Tower でリソースを作成および変更する場合は、次のベストプラクティスをお勧めします。このガイダンスは、サービスが更新されたときに変更される可能性があります。責任共有モデルは AWS Control Tower 環境に適用されることに注意してください。

一般的なガイダンス
  • 管理アカウント、共有アカウント、メンバーアカウントのリソースを含め、AWS Control Tower によって作成されたリソースを変更または削除しないでください。これらのリソースを変更すると、ランディングゾーンの更新または OU の再登録が必要になる場合があり、変更するとコンプライアンスレポートが不正確になる可能性があります。

    特に:

    • アクティブな AWS Config レコーダーを保持します。Config レコーダーを削除すると、検出コントロールはドリフトを検出して報告することができません。非準拠のリソースが、情報不足が原因で [Compliant] (準拠) として報告される可能性があります。

    • セキュリティ組織単位 AWS Identity and Access Management (OU) の共有アカウント内で作成された (IAM) ロールを変更または削除しないでください。これらのロールの変更には、ランディングゾーンの更新が必要になる場合があります。

    • 登録されていないアカウントであっても、メンバーアカウントから AWSControlTowerExecution ロールを削除しないでください。削除した場合、これらのアカウントを AWS Control Tower に登録したり、直接の親 OU を登録したりすることができなくなります。

  • SCPs または AWS Security Token Service () AWS リージョン を介した の使用を許可しないでくださいAWS STS。禁止した場合、AWS Control Tower が未定義の状態になります。でリージョンを許可しない場合 AWS STS、認証はそれらのリージョンで使用できないため、それらのリージョンでは機能が失敗します。代わりに、コントロールに示すように、AWS Control Tower のリージョン拒否機能、ランディングゾーンレベルで機能するリクエストされた AWS に基づいて へのアクセスを拒否 AWS リージョンする、またはリージョンへのアクセスを制限する OU レベルで機能する OU に適用されるコントロールを拒否する機能に頼ってください。

  • SCP AWS Organizations FullAWSAccessを適用する必要があり、他の SCPsとマージしないでください。この SCP への変更はドリフトとして報告されません。ただし、特定のリソースへのアクセスが拒否された場合、一部の変更が AWS Control Tower の機能に予期しない影響を与える可能性があります。例えば、SCP がデタッチまたは変更されると、アカウントはレコーダーにアクセスできなくなったり、 AWS Config CloudTrail ログ記録にギャップが生じたりする可能性があります。

  • API を使用して AWS Organizations DisableAWSServiceAccess、ランディングゾーンを設定した組織への AWS Control Tower サービスアクセスをオフにしないでください。オフにした場合、 AWS Organizationsからのメッセージサポートがないと、特定の AWS Control Tower ドリフト検出機能が正しく動作しなくなる可能性があります。これらのドリフト検出機能により、AWS Control Tower は組織内の組織単位、アカウント、統制のコンプライアンスステータスを正確に報告できます。詳細については、API_DisableAWSServiceAccessAWS Organizations 「 API リファレンス」の「」を参照してください。

  • 通常、AWS Control Tower は一度に 1 つのアクションを実行します。1 つのアクションを完了してから、別のアクションを開始する必要があります。例えば、コントロールを有効にするプロセスが進行中にアカウントをプロビジョニングしようとすると、アカウントのプロビジョニングは失敗します。

    例外:

    • AWS Control Tower では、同時アクションでオプションのコントロールをデプロイできます。詳細については、「オプションのコントロールの同時デプロイ」を参照してください。

    • AWS Control Tower では、Account Factory を使用して、アカウントに対して最大 10 個の作成、更新、または登録アクションを同時に実行できます。

注記

AWS Control Tower によって作成されたリソースの詳細については、「共有アカウントとは」を参照してください。

アカウントと OU に関するヒント
  • 登録した各 OU は最大 300 アカウントに設定することをお勧めします。これにより、新しいリージョンをガバナンス用に構成する場合など、アカウントの更新が必要なときはいつでも [Re-register OU] (OU を再登録) 機能によってこれらのアカウントを更新できます。

  • OU あたりのアカウント数は 300 に制限されていますが、OU の登録にかかる時間を短縮するには、OU あたりのアカウント数を約 150 にしておくことをお勧めします。原則として、OU の登録に必要な時間は、OU が運用しているリージョンの数に、OU のアカウント数を掛けた数に応じて増加します。

  • 概算で、150 個のアカウントを持つ OU は、コントロールの登録と有効化に約 2 時間、再登録には約 1 時間かかります。また、コントロールが多い OU は、コントロールが少ない OU よりも登録に時間がかかります。

  • OU の登録に長い期間かかることに関する懸念事項の 1 つは、このプロセスが他のアクションをブロックすることです。お客様によっては、各 OU でより多くのアカウントを許可したいため、OU の登録や再登録に時間がかかっても構わない場合もあります。