AWS Control Tower リソースの作成と変更に関するガイダンス - AWS Control Tower

AWS Control Tower リソースの作成と変更に関するガイダンス

AWS Control Tower でリソースを作成および変更する場合は、次のベストプラクティスをお勧めします。このガイダンスは、サービスが更新されたときに変更される可能性があります。

一般的なガイダンス

  • 管理アカウントまたは共有アカウントで、AWS Control Tower によって作成されたリソースを変更または削除しないでください。これらのリソースの変更には、ランディングゾーンの更新や OU の再登録が必要になる場合があります。

  • セキュリティ組織単位 (OU) の共有アカウント内に作成された AWS Identity and Access Management (IAM) ロールを変更または削除しないでください。これらのロールの変更には、ランディングゾーンの更新が必要になる場合があります。

  • AWS Control Tower によって作成されたリソースの詳細については、「共有アカウントとは」を参照してください。

  • SCP または AWS Security Token Service (AWS STS) による AWS リージョンの使用を禁止しないでください。禁止した場合、AWS Control Tower が未定義の状態になります。AWS STS でリージョンを禁止した場合、それらのリージョンでは認証が使用できないため、機能が失敗します。代わりに、コントロール「リクエストされた AWS リージョンに基づいて AWS へのアクセスを拒否する」に示すように、AWS Control Tower の拒否機能のリージョンを使用してください。

  • AWS Organizations FullAWSAccess SCP を適用する必要があります。また、他の SCP とマージしないでください。この SCP への変更はドリフトとして報告されません。ただし、特定のリソースへのアクセスが拒否された場合、一部の変更が AWS Control Tower の機能に予期しない影響を与える可能性があります。例えば、SCP がデタッチまたは変更された場合、アカウントは AWS Config レコーダーへのアクセスを失うか、CloudTrail ログにギャップが生まれます。

  • 通常、AWS Control Tower は一度に 1 つのアクションを実行します。1 つのアクションを完了してから、別のアクションを開始する必要があります。例えば、コントロールを有効にするプロセスが進行中にアカウントをプロビジョニングしようとすると、アカウントのプロビジョニングは失敗します。

    Exception:

    • AWS Control Tower は、オプションの予防コントロールと検出コントロールをデプロイする同時アクションを許可します。「オプションコントロールの同時デプロイ」を参照してください。

    • AWS Control Tower は、Account Factory を使用して、アカウントに対して最大 10 の作成、更新、または登録の同時アクションを許可します。

  • アクティブな AWS Config レコーダーを維持します。Config レコーダーを削除すると、検出コントロールはドリフトを検出して報告することができません。非準拠のリソースが、情報不足が原因で [Compliant] (準拠) として報告される可能性があります。

  • 登録されていないアカウントであっても、メンバーアカウントから AWSControlTowerExecution ロールを削除しないでください。削除した場合、これらのアカウントを AWS Control Tower に登録したり、直接の親 OU を登録したりすることができなくなります。

  • AWS Organizations DisableAWSServiceAccess API を使用して、ランディングゾーンを設定した組織への AWS Control Tower サービスアクセスをオフにしないでください。オフにした場合、AWS Organizations からのメッセージサポートがないと、特定の AWS Control Tower ドリフト検出機能が正しく動作しなくなる可能性があります。これらのドリフト検出機能により、AWS Control Tower は組織内の組織単位、アカウント、統制のコンプライアンスステータスを正確に報告できます。詳細については、AWS Organizations API リファレンスの「API_DisableAWSServiceAccess」を参照してください。

アカウントと OU に関するヒント

  • 登録した各 OU は最大 300 アカウントに設定することをお勧めします。これにより、新しいリージョンをガバナンス用に構成する場合など、アカウントの更新が必要なときはいつでも [Re-register OU] (OU を再登録) 機能によってこれらのアカウントを更新できます。

  • OU あたりのアカウント数は 300 に制限されていますが、OU の登録にかかる時間を短縮するには、OU あたりのアカウント数を約 150 にしておくことをお勧めします。原則として、OU の登録に必要な時間は、OU が運用しているリージョンの数に、OU のアカウント数を掛けた数に応じて増加します。

  • 概算で、150 個のアカウントを持つ OU は、コントロールの登録と有効化に約 2 時間、再登録には約 1 時間かかります。また、コントロールが多い OU は、コントロールが少ない OU よりも登録に時間がかかります。

  • OU の登録に長い期間かかることに関する懸念事項の 1 つは、このプロセスが他のアクションをブロックすることです。お客様によっては、各 OU でより多くのアカウントを許可したいため、OU の登録や再登録に時間がかかっても構わない場合もあります。