AWS Control Tower
ユーザーガイド

AWS Control Tower の使用開始

これは、集中型クラウド管理者向けの AWS Control Tower の使用開始手順です。Landing Zone をセットアップする準備ができたら、次の手順を使用し ます。開始から完了まで、所要時間は約 1 時間です。この手順には、2 つのステップがあります。

AWS Control Tower を使用するためのガイダンス

AWS Control Tower を使用する際の推奨事項は次のとおりです。このガイダンスは、サービスが更新されたときに変更される可能性があります。

通常の問い合わせ/機能要望

  • マスターアカウントまたは共有アカウントで、AWS Control Tower によって作成されたリソースを変更または削除しないでください。これらのリソースの変更には、ランディングゾーンの更新が必要になる場合があります。

  • コア組織単位 (OU) の共有アカウント内に作成された AWS Identity and Access Management (IAM) のロールを変更または削除しないでください。これらのロールの変更には、ランディングゾーンの更新が必要になる場合があります。

  • AWS Control Tower によって作成されたリソースの詳細については、「共有アカウントは何ですか」を参照してください。

AWS Organizations ガイダンス

  • AWS Organizations を使用して、AWS Control Tower によって AWS Control Tower 管理 OU にアタッチされているサービスコントロールポリシー (SCP) を更新しないでください。この操作を行うと、ガードレールが不明な状態になり、影響を受けたガードレールの再有効化が必要になります。

  • 組織 を使用して、AWS Control Tower によって作成された組織内でアカウントを作成、招待、または移動すると、それらの外部アカウントは AWS Control Tower によって管理されなくなり、[アカウント] テーブルには表示されません。

  • 組織 を使用して、AWS Control Tower によって作成された組織内で OU を作成または移動すると、それらの外部 OU は AWS Control Tower によって管理されなくなり、[組織単位] テーブルには表示されません。

  • 組織 を使用して、AWS Control Tower によって作成された OU の名前変更または削除を行う場合、この OU は元の名前で AWS Control Tower に引き続き表示されます。Account Factory を使用してこの OU に新しいアカウントをプロビジョニングすることはできません。

AWS シングルサインオン ガイダンス

  • AWS シングルサインオン のディレクトリを Active Directory に再設定する場合は、AWS SSO で事前設定されたすべてのユーザーおよびグループが削除されます。

Account Factory ガイダンス

  • Account Factory を使用して新しいアカウントを AWS Service Catalog にプロビジョニングする場合、TagOptions を定義したり、通知を有効にしたり、プロビジョニング済み製品プランを作成したりしないでください。それらの操作を行うと、新しいアカウントをプロビジョニングできない場合があります。

マスターアカウントの起動前チェック

AWS Control Tower は、お客様のアカウントで Landing Zone を設定するための処理を実行する前に、一連の起動前チェックを実行します。これらの起動チェックにより、マスターアカウントで Landing Zone を設定するための変更の準備ができます。Landing Zone を設定する前に実行するチェックは以下のとおりです。

  • AWS アカウントの既存のサービス制限は、AWS Control Tower が起動するのに十分であることが必要です。詳細については、「制限」を参照してください。

  • AWS アカウントは既存の AWS Organizations OU のメンバーにすることはできません (すべての機能を有効にした状態で、あるいは一括請求 (コンソリデーティッドビリング) 用にそのアカウントがセットアップされているかどうかに関係なく)。

  • AWS アカウントは、次の AWS サービスに登録されている必要があります。

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    注記

    デフォルトでは、すべてのアカウントはこれらのサービスに登録されています。

  • AWS アカウントに、すでに設定された AWS Config アグリゲータを含めることはできません。

  • AWS アカウントに、すでに設定された AWS シングルサインオン (AWS SSO) を含めることはできません。

Landing Zone をセットアップすると、ユーザーに代わって AWS Control Tower がマスターアカウントで次のアクションを実行します。

  • 3 つの 組織 組織ユニット (OU) (ルート、コア、およびカスタム) を作成する。

  • 2 つの共有アカウント (ログアーカイブアカウントと監査アカウント)を作成する。

  • 事前設定されたグループとシングルサインオンアクセスを使用して、AWS SSO でクラウドネイティブなディレクトリを作成する。

  • 17 個の予防的ガードレールを適用して、ポリシーを適用する。

  • 3 個の発見的ガードレールを適用して、設定違反を検出する。

ステップ 1: 共有アカウントの E メールアドレスを作成する

このガイドでは、新しい AWS アカウントで Landing Zone を設定していることを前提とします。アカウントと IAM 管理者の作成については、「セットアップ」を参照してください。

Landing Zone をセットアップするには、AWS Control Tower に、AWS アカウントにまだ関連付けられていない 2 つの一意の E メールアドレスが必要です。これらの E メールアドレスはそれぞれ、共同受信箱、つまり、AWS Control Tower に関連する特定の作業を行う企業のさまざまなユーザーの共有 E メールアカウントであることが必要です。E メールアドレスは以下のとおりです。

  • 監査アカウント – これは、AWS Control Towerにより利用可能になった監査情報にアクセスする必要があるユーザーのチーム用です。また、環境のプログラムによる監査を実行してコンプライアンス目的の監査に役立つサードパーティ製ツールのアクセスポイントとして、このアカウントを使用することもできます。

  • ログアーカイブアカウント – これは、Landing Zone の管理された OU 内で管理されたすべてのアカウントに関するログ情報にアクセスする必要があるユーザーのチーム用です。

ステップ 2: ランディングゾーンをセットアップする

AWS Control Tower には、API またはプログラムによるアクセスがありません。Landing Zone をセットアップするには、次の手順を実行します。

Landing Zone をセットアップするには

  1. ウェブブラウザを開いて、https://console.aws.amazon.com/controltower の AWS Control Tower コンソールに移動します。

  2. [Set up Landing Zone (Landing Zone のセットアップ)] を選択します。

  3. ログアーカイブアカウントおよび監査アカウントの E メールアドレスを指定します。これらは、AWS アカウントにまだ関連付けられていない E メールアドレスであることが必要です。

  4. [Service permissions (サービスのアクセス許可)] を確認し、準備が整ったら、[I understand the permissions AWS Control Tower will use to administer AWS resources and enforce rules on my behalf (お客様に代わって AWS リソースを管理してルールを適用するためのアクセス許可が AWS Control Tower に付与されることを了承する)] を選択します。

  5. [Launch your AWS Control Tower (AWS Control Tower を起動する)] を選択します。

これにより、Landing Zone をセットアップするプロセスが開始されます。完了するまでに約 1 時間かかる場合があります。設定中に、コアアカウントが作成され、root およびコア OU が作成され、AWS リソースが作成、変更、または削除されます。

重要

監査アカウントに指定した E メールアドレスには、AWS Control Tower でサポートされているすべての AWS リージョンから [AWS Notification - Subscription Confirmation (AWS 通知 - サブスクリプション確認)] E メールが送信されます。監査アカウントでコンプライアンス E メールを受信するには、AWS Control Tower でサポートされている各 AWS リージョンからの各 E メール内の [サブスクリプションの確認] リンクを選択する必要があります。

次のステップ

これで、Landing Zone がセットアップされ、使用する準備ができました。

AWS Control Tower をセットアップすると、ユーザーに代わって Landing Zone がマスターアカウントで次のアクションを実行します。

  • 2 つの組織ユニット (OU) (コアカスタム) を作成する。

  • コア OU 内に 2 つのアカウント (ログアーカイブアカウントとセキュリティ監査アカウント) を作成する。

  • 事前設定されたグループ、アクセス権限セット、およびシングルサインオンアクセスを使用して、AWS SSO でクラウドネイティブなディレクトリを作成する。

  • 10 個の予防的ガードレールを適用して、ポリシーを適用する。

  • 2 つの発見的ガードレールを適用して、設定違反を検出する。

  • エンドユーザーが Landing Zone 内に新しい AWS アカウントをプロビジョニングできるように AWS Service Catalog で Account Factory 製品を作成する。

AWS Control Towerの使用方法の詳細については、次のトピックを参照してください。