AWS Control Tower の開始方法 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower の開始方法

この入門手順は、AWS Control Tower 中央クラウド管理者向けです。landing zone を設定する準備ができたら、次の手順を使用します。開始から完了まで、所要時間は約 30 時間です。この手順には、前提条件と 4 つのステップがあります。

前提条件: 管理アカウントの自動起動前チェック

AWS Control Tower は、landing zone を設定する前に、お客様のアカウントで一連の起動前チェックを自動的に実行します。これらのチェックは、landing zone を確立する変更に対応できることを確認するためのもので、お客様側のアクションは必要ありません。landing zone を設定する前に AWS Control Tower が実行するチェックは次のとおりです。

  • AWS AWS Control Tower を起動するには、AWS アカウントの既存のサービス制限が十分であることが必要です。詳細については、「AWS Control Tower の制限とクォータ」を参照してください。

  • AWS アカウントは、次の AWS サービスに登録されている必要があります。

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    注記

    デフォルトでは、すべてのアカウントはこれらのサービスに登録されています。

の考慮事項AWS Single Sign-On(AWS SSO) のお客様

  • もしAWS Single Sign-On(AWS SSO) がすでにセットアップされている場合、AWS Control Tower ホームリージョンはAWS SSOリージョン。

  • AWS SSO は、組織の管理アカウントにのみインストールできます。

  • SSO ディレクトリには、SSO で選択したアイデンティティソースに基づいて、次の 3 つのオプションが適用されます。

    • AWS SSO ユーザーストア: AWS Control Tower の SSO が AWS SSO で設定されている場合、AWS Control Tower は SSO ディレクトリにグループを作成し、選択したユーザーに対して、メンバーアカウントに対してこれらのグループへのアクセスをプロビジョニングします。

    • Active Directory: AWS Control Tower 用 SSO が Active Directory で設定されている場合、AWS Control Tower は SSO ディレクトリを管理しません。新しい AWS アカウントにユーザーまたはグループは割り当てられません。

    • 外部 ID プロバイダー: AWS Control Tower 用 SSO が外部 ID プロバイダー(IdP)で設定されている場合、AWS Control Tower は SSO ディレクトリにグループを作成し、メンバーアカウント用に選択したユーザーに対してこれらのグループへのアクセスをプロビジョニングします。アカウント作成時に、Account Factory で外部 IdP から既存のユーザーを指定できます。AWS Control Tower は、同じ名前のユーザーを SSO と外部 IdP 間で同期するときに、このユーザーにアクセスできるようにします。AWS Control Tower のデフォルトグループの名前と一致するように、外部 IdP にグループを作成することもできます。これらのグループにユーザーを割り当てると、これらのユーザーは登録済みアカウントにアクセスできます。

    AWS SSO と AWS Control Tower の使用の詳細については、「」を参照してください。SSO アカウントと AWS Control Tower に関する注意事項

AWS Config および AWS CloudTrail のお客様に関する考慮事項

  • AWS アカウントでは、AWS Config または AWS CloudTrail の組織管理アカウントで信頼されたアクセスを有効にすることはできません。信頼されたアクセスを無効にする方法の詳細については、」信頼されたアクセスを有効または無効にする方法に関する AWS Organizations ドキュメント

  • 既存の AWS Config Recorder、配信チャネル、または集約の設定がある場合は、AWS Control Tower がlanding zone 起動時に AWS Config をユーザーに代わって設定できるように、これらの設定を削除する必要があります。AWS CloudFormation を使用してこれらの AWS Config リソースを作成した場合は、CloudFormation を使用してリソースを削除するようにしてください。

  • AWS Control Tower のアカウントから一時的なワークロードを実行している場合は、AWS Config に関連するコストが増加します。これらのコストの管理の詳細については、AWS アカウント担当者にお問い合わせください。

  • アカウントを AWS Control Tower に登録すると、アカウントは AWS Control Tower 組織の AWS CloudTrail トレイルによって管理されます。CloudTrail 証跡の既存のデプロイがある場合、AWS Control Tower に登録する前にアカウントの既存の証跡を削除しない限り、料金が重複することがあります。

注記

起動時に、AWS Control Tower でサポートされているすべてのリージョンに対して、AWS Security Token Service (STS) エンドポイントをマネジメントアカウントでアクティブ化する必要があります。この操作を行わないと、設定プロセスの途中で起動が失敗する可能性があります。

共有アカウントのメールアドレスの要件

新しい AWS アカウントでlanding zone を設定する場合、アカウントと IAM 管理者の作成については、「」を参照してください。セットアップ

AWS Control Tower では、landing zone を設定するために、AWS アカウントにまだ関連付けられていない 2 つの一意の E メールアドレスが必要です。これらの E メールアドレスはそれぞれ、AWS Control Tower に関連する特定の作業を行う企業のさまざまなユーザー向けの、共同受信箱(共有 E メールアカウント)として機能します。E メールアドレスは、以下の場合に必要です。

  • 監査アカウント— このアカウントは、AWS Control Tower により利用可能になった監査情報にアクセスする必要があるユーザーのチーム用です。また、環境のプログラムによる監査を実行してコンプライアンス目的の監査に役立つサードパーティ製ツールのアクセスポイントとして、このアカウントを使用することもできます。

  • ログアーカイブアカウント— このアカウントは、landing zone 登録された OU 内で登録されたすべてのアカウントに関するログ情報にアクセスする必要があるユーザーのチーム用です。

これらのアカウントはセキュリティOU は、landing zone を作成するときに使用します。ベストプラクティスとして、これらのアカウントで何らかのアクションを実行する必要がある場合は、AWS SSOユーザーに適切なスコープのアクセス許可を付与します。

わかりやすくするために、この User Guide では常に共有アカウントをデフォルト名で参照しています。ログアーカイブファイルおよび監査。このドキュメントを読むときに、これらのアカウントをカスタマイズする場合は、最初にこれらのアカウントに指定するカスタマイズした名前を置き換えることを忘れないでください。アカウントは、カスタマイズした名前で表示できます。アカウントの詳細ページで.

注記

AWS のマルチアカウント戦略に合わせて、一部の AWS Control Tower 組織単位(OU)のデフォルト名に関する用語を変更しています。これらの名前の明瞭さを向上させるために移行している間、いくつかの矛盾に気づくかもしれません。セキュリティ OU は、以前はコア OU と呼ばれていました。サンドボックス OU は、以前はカスタム OU と呼ばれていました。

landing zone 構成に期待

AWS Control Tower のlanding zone を設定するプロセスには、複数のステップがあります。AWS Control Tower landing zone 一部は、設定可能です。その他の選択肢は、セットアップ後に変更できない「一方向ドア」です。

セットアップ時に構成する主要項目

  • セットアップ時にトップレベルの OU 名を選択できます。また、landing zone 設定後に OU 名を変更することもできます。デフォルトでは、最上位の OU はセキュリティおよびサンドボックス。詳細については、「適切に設計された環境をセットアップするためのガイドライン」を参照してください。

  • セットアップ中に、共有アカウントのカスタマイズした名前 (ログアーカイブファイルおよび監査に設定されていますが、セットアップ後にこれらの名前を変更することはできません。(この選択を行うのは 1 回限りです。)

元に戻すことができない設定オプション

  • landing zone 設定後は、ホームリージョンを変更することはできません。

  • VPC を使用してAccount Factory アカウントをプロビジョニングする場合、VPC CIDR は作成後に変更できません。

landing zone 構成と起動

AWS Control Tower landing zone を起動する前に、最も適切なホームリージョンを決定します。詳細については、「ランディングゾーンのセットアップに関する管理上のヒント」を参照してください。

重要

AWS Control Tower のlanding zone をデプロイした後にホームリージョンを変更するには、AWS Support のサポートが必要です。この方法は推奨されません。

AWS Control Tower には、API またはプログラムによるアクセスがありません。landing zone を構成して起動するには、次の一連の手順を実行します。

準備する: AWS Control Tower コンソールに移動します。

  1. ウェブブラウザを開き、AWS Control Tower コンソール (https://console.aws.amazon.com/controltower

  2. コンソールで、AWS Control Tower 用のホームリージョンで作業していることを確認します。次に [] を選択します。landing zone を設定する

ステップ 1. 料金を確認し、AWS リージョンの選択

ホームリージョンに選択した AWS リージョンを正しく指定していることを確認してください。AWS Control Tower をデプロイした後は、ホームリージョンを変更することはできません。

セットアッププロセスのこのセクションでは、必要な追加の AWS リージョンを追加できます。必要に応じて、後でリージョンを追加できます。また、リージョンをガバナンスから削除することもできます。

管理する追加の AWS リージョンを選択するには

  • パネルには、現在選択している領域が表示されます。ドロップダウンメニューを開いて、ガバナンスに利用できるその他のリージョンのリストを表示します。AWS Control Tower によるガバナンスに移行するには、各リージョンの横にあるチェックボックスをオンにします。ホームでのリージョン選択は編集できません。

ステップ 2. 組織単位 (OU) の設定

これらの OU のデフォルト名をそのまま使用すると、セットアップを続行するために実行する必要はありません。OU の名前を変更するには、フォームフィールドに新しい名前を直接入力します。

  • 基礎的な OU— AWS Control Tower は基礎的な OUという名前が付けられているセキュリティOU。この OU の名前は、初期設定時および後で [OU 詳細] ページから変更できます。このセキュリティOUには 2 つの共有アカウントが含まれています。これは、デフォルトでログアーカイブファイルアカウントと監査アカウント.

  • 追加の OU— AWS Control Tower は 1 つ以上の追加の OUあなたのために. 少なくとも 1 つプロビジョニングすることをお勧めします。追加の OUの他に、landing zone のセキュリティOU。この追加の OU が開発プロジェクトを対象とする場合は、サンドボックス OUで与えられる。適切に設計された環境をセットアップするためのガイドライン。AWS 組織に既に OU がある場合は、AWS Control Tower で追加の OU の設定をスキップするオプションが表示されることがあります。

ステップ 3. 共有アカウントと暗号化の設定

セットアッププロセスのこのセクションでは、共有する AWS Control Tower アカウント名のデフォルト選択がパネルに表示されます。これらのアカウントは、ランlanding zone 重要な部分です。これらの共有アカウントを移動または削除しないに設定できますが、セットアップ中にカスタマイズした名前を選択できます。

ログアーカイブおよび監査アカウントに一意の電子メールアドレスを指定する必要があります。また、以前に管理アカウント用に指定した電子メールアドレスを確認することもできます。[編集ボタンをクリックして、編集可能なデフォルト値を変更します。

共有アカウントについて

  • 管理アカウント— AWS Control Tower マネジメントアカウントは root レベルの一部です。管理アカウントでは、AWS Control Tower の請求が可能です。このアカウントには、landing zone に対する管理者権限もあります。AWS Control Tower では、請求と管理者権限のアカウントを個別に作成することはできません。

    管理アカウントに表示される電子メールアドレスは、このセットアップ段階では編集できません。確認画面が表示されるため、複数のアカウントがある場合に備えて、正しい管理アカウントを編集しているかどうかを確認できます。

  • 2 つの共有アカウント— これら 2 つのアカウント用にカスタマイズした名前を選択できます。各アカウントに一意のメールアドレスを指定する必要があります。AWS アカウントは、AWS アカウントにまだ関連付けられていない E メールアドレスであることが必要です。

共有アカウントを構成するには、要求された情報を入力します。

  1. コンソールで、最初に呼び出されたアカウントの名前をログアーカイブファイルアカウント. 多くのお客様は、このアカウントのデフォルト名を保持することに決めました。

  2. このアカウントの一意の E メールアドレスを入力します。

  3. 最初に呼び出されたアカウントの名前を選択します。監査アカウント. 多くのお客様は、それをセキュリティアカウント.

  4. このアカウントの一意の E メールアドレスを入力します。

オプションでAWS KMS keys

AWS KMS 暗号化キーを使用してリソースを暗号化および復号化する場合は、チェックボックスを選択します。既存のキーがある場合は、ドロップダウンメニューに表示される識別子からキーを選択できます。新しいキーを生成するには、キーの作成。KMS キーは、landing zone を更新するたびに、追加または変更することができます。

あなたが選択したときlanding zone を設定するでは、AWS Control Tower は事前チェックを実行して KMS キーを検証します。キーは次の要件を満たしている必要があります。

  • 有効

  • 対称

  • マルチリージョンキーではありません

  • ポリシーに正しいアクセス権が追加された

  • キーは管理アカウントにあります

キーがこれらの要件を満たしていない場合は、エラーバナーが表示されることがあります。その場合は、別のキーを選択するか、キーを生成します。次のセクションで説明するように、キーのアクセス権限ポリシーを必ず編集してください。

キーのポリシーを更新するには

AWS Control Tower で KMS キーを使用するには、キーに対して特定のポリシーを更新する必要があります。少なくとも、KMS キーには、AWS CloudTrail と AWS Config で選択した KMS キーを使用できるようにするアクセス権限が必要です。

必要なポリシーを更新する

  1. AWS KMS コンソール (https://console.aws.amazon.com/kms

  2. Selectカスタマー管理のキー左側の

  3. テーブルで、編集するキーを選択するか、キーの作成右上の []

  4. というセクションの下にキーポリシーで、ポリシーを表示して編集できることを確認します。選択する必要がある場合がありますポリシービューに切り替える右の [] を選択します。

次のポリシーステートメントの例をコピーして貼り付けることができます。または、既存のキーの場合、KMS キーを独自の既存のポリシーに追加することで、KMS キーにこれらの最小限のアクセス許可があることを確認できます。これらの行は、単一の JSON ステートメントにグループとして追加できます。必要に応じて、ポリシーの他のステートメントに 1 行ずつ組み込むことができます。

{ "Sid": "Allow CloudTrail and AWS Config to encrypt/decrypt logs", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com", "config.amazonaws.com" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }

AWS Key Management Service (KMS) では、マルチリージョン KMS キーと非対称キーを作成できます。ただし、AWS Control Tower では、マルチリージョンキーまたは非対称キーはサポートされません。AWS Control Tower は、既存のキーの事前チェックを実行します。マルチリージョンキーまたは非対称キーを選択すると、エラーメッセージが表示されることがあります。その場合は、AWS Control Tower のリソースで使用する別のキーを生成します。

AWS KMS の詳細については、「」を参照してください。AWS KMS 開発者ガイドを参照してください。

AWS Control Tower の顧客データは、デフォルトでは SSE-S3 を使用して保存時に暗号化されることに注意してください。

ステップ 4. landing zone 確認と設定

セットアップの次のセクションでは、AWS Control Tower がlanding zone に必要なアクセス許可を示します。チェックボックスを選択して、各トピックを展開します。これらの権限に同意するよう求められます。この権限は複数のアカウントに影響する可能性があり、サービス条件

確定するには

  1. コンソールで、サービスのアクセス許可を選択し、準備が完了したら、AWS Control Tower がユーザーに代わって AWS リソースを管理してルールを適用するためのアクセス許可が AWS Control Tower に付与されることを理解しています。

  2. 選択を確定して起動を初期化するには、landing zone を設定する

この一連のステップでは、landing zone 設定プロセスが開始されます。完了するまでに約 30 分かかる場合があります。AWS Control Tower は、セットアップ中に、ルートレベル、セキュリティ OU、および共有アカウントを作成します。他の AWS リソースは、作成、変更、または削除されます。

SNS サブスクリプションの確認

監査アカウント用に指定した電子メールアドレスはAWS 通知 — サブスクリプションの確認AWS Control Tower でサポートされるすべての AWS リージョンからのメールを送信できます。監査アカウントでコンプライアンスメールを受信するには、サブスクリプションの確認リンクを、AWS Control Tower でサポートされている各 AWS リージョンから送信します。

次のステップ

landing zone が設定されたら、使用する準備ができました。

AWS Control Tower を使用する方法の詳細については、以下のトピックを参照してください。