AWS Control Tower リソースの作成と変更に関するガイダンス - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower リソースの作成と変更に関するガイダンス

AWS Control Tower でリソースを作成および変更する場合は、次のベストプラクティスをお勧めします。このガイダンスは、サービスが更新されたときに変更される可能性があります。AWS Control Tower 環境には責任共有モデルが適用されることに注意してください。

一般的なガイダンス

  • 管理アカウント、共有アカウント、メンバーアカウントのリソースなど、AWS Control Tower によって作成されたリソースを変更または削除しないでください。これらのリソースを変更すると、ランディングゾーンの更新または OU の再登録が必要になる場合があります。また、変更によってコンプライアンスレポートが不正確になる可能性があります。

    特に、次のことに注意してください。

    • アクティブな AWS Config レコーダーを保持します。Config レコーダーを削除すると、検出コントロールはドリフトを検出して報告することができません。非準拠のリソースが、情報不足が原因で [Compliant] (準拠) として報告される可能性があります。

    • セキュリティ組織単位 AWS Identity and Access Management (OU) の共有アカウント内で作成された (IAM) ロールを変更または削除しないでください。これらのロールの変更には、ランディングゾーンの更新が必要になる場合があります。

    • 登録されていないアカウントであっても、メンバーアカウントから AWSControlTowerExecution ロールを削除しないでください。削除した場合、これらのアカウントを AWS Control Tower に登録したり、直接の親 OU を登録したりすることができなくなります。

  • SCPs または AWS Security Token Service () AWS リージョン を介した の使用を許可しないでくださいAWS STS。禁止した場合、AWS Control Tower が未定義の状態になります。でリージョンを許可しない場合 AWS STS、認証はそれらのリージョンで使用できないため、それらのリージョンでは機能に失敗します。代わりに、コントロールに示すように、AWS Control Tower リージョン拒否機能、ランディングゾーンレベルで機能するリクエスト AWS された に基づく へのアクセス拒否 AWS リージョン、または OU レベルで動作するコントロールリージョン拒否コントロール、OU レベルで機能してリージョンへのアクセスを制限します。

  • SCP AWS Organizations FullAWSAccessは適用する必要があり、他の SCPsとマージしないでください。この SCP への変更はドリフトとして報告されません。ただし、特定のリソースへのアクセスが拒否された場合、一部の変更が AWS Control Tower の機能に予期しない影響を与える可能性があります。例えば、SCP がデタッチまたは変更された場合、アカウントは AWS Config レコーダーへのアクセスを失うか、CloudTrail ログにギャップが生まれます。

  • API を使用して AWS Organizations DisableAWSServiceAccess、ランディングゾーンを設定した組織への AWS Control Tower サービスアクセスをオフにしないでください。オフにした場合、 AWS Organizationsからのメッセージサポートがないと、特定の AWS Control Tower ドリフト検出機能が正しく動作しなくなる可能性があります。これらのドリフト検出機能により、AWS Control Tower は組織内の組織単位、アカウント、統制のコンプライアンスステータスを正確に報告できます。詳細については、 API_DisableAWSServiceAccessAWS Organizations API リファレンスの「」を参照してください。

  • 通常、AWS Control Tower は一度に 1 つのアクションを実行します。1 つのアクションを完了してから、別のアクションを開始する必要があります。例えば、コントロールを有効にするプロセスが進行中にアカウントをプロビジョニングしようとすると、アカウントのプロビジョニングは失敗します。

    例外:

    • AWS Control Tower は、オプションコントロールをデプロイする同時アクションを許可します。詳細については、「Concurrent deployment for optional controls」を参照してください。

    • AWS Control Tower は、Account Factory を使用して、アカウントに対して最大 10 の作成、更新、または登録の同時アクションを許可します。

注記

AWS Control Tower によって作成されたリソースの詳細については、「共有アカウントとは」を参照してください。

アカウントと OU に関するヒント

  • 登録した各 OU は最大 1000 アカウントに設定することをお勧めします。これにより、新しいリージョンをガバナンス用に構成する場合など、アカウントの更新が必要なときはいつでも [OU を再登録] 機能によってこれらのアカウントを更新できます。

  • OU あたりのアカウント数は 1000 に制限されていますが、OU の登録にかかる時間を短縮するには、OU あたりのアカウント数を 680 程度にしておくことをお勧めします。原則として、OU の登録に必要な時間は、OU が運用しているリージョンの数に、OU のアカウント数を掛けた数に応じて増加します。

  • 概算で、680 個のアカウントを持つ OU の場合、コントロールの登録と有効化に最大 2 時間、再登録に最大 1 時間かかります。また、コントロールが多い OU は、コントロールが少ない OU よりも登録に時間がかかります。

  • OU の登録に長い期間かかることに関する懸念事項の 1 つは、このプロセスが他のアクションをブロックすることです。お客様によっては、各 OU でより多くのアカウントを許可したいため、OU の登録や再登録に時間がかかっても構わない場合もあります。