AWS Control Tower の使用開始 - AWS Control Tower

AWS Control Tower の使用開始

これは、集中型クラウド管理者向けの AWS Control Tower の使用開始手順です。Landing Zone をセットアップする準備ができたら、次の手順を使用し ます。開始から完了まで、所要時間は約 1 時間です。この手順には、前提条件と 2 つのステップがあります。

前提条件: マスターアカウントの起動前自動チェック

AWS Control Tower で Landing Zone を設定する前に、アカウントで一連の起動前チェックが自動的に実行されます。これらのチェックは、マスターアカウントが Landing Zone を確立する変更に対応できることを確認するためのもので、お客様側のアクションは必要ありません。Landing Zone を設定する前に AWS Control Tower で実行されるチェックは次のとおりです。

  • AWS アカウントの既存のサービス制限は、AWS Control Tower が起動するのに十分であることが必要です。詳細については、「AWS Control Tower の制限とクォータ」を参照してください。

  • AWS アカウントは、次の AWS サービスに登録されている必要があります。

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    注記

    デフォルトでは、すべてのアカウントはこれらのサービスに登録されています。

  • AWS シングルサインオン (AWS SSO) がすでにセットアップされている場合、AWS Control Tower ホームリージョンは AWS SSO リージョンと同じであることが必要です。

  • AWS アカウントでは、AWS Config または AWS CloudTrail の組織マスターアカウントで信頼されたアクセスを有効にすることはできません。AWS Config をオフにして、AWS Control Tower をセットアップしてから再びオンにしないことをお勧めします。その場合、追加料金が発生します。

ステップ 1: 共有アカウントの E メールアドレスを作成する

新しい AWS アカウントで Landing Zone をセットアップする場合、アカウントと IAM 管理者の作成については、「セットアップ」を参照してください。

Landing Zone をセットアップするには、AWS Control Tower に、AWS アカウントにまだ関連付けられていない 2 つの一意の E メールアドレスが必要です。これらの E メールアドレスはそれぞれ、共同受信箱、つまり、AWS Control Tower に関連する特定の作業を行う企業のさまざまなユーザーの共有 E メールアカウントであることが必要です。E メールアドレスは以下のとおりです。

  • 監査アカウント – このアカウントは、AWS Control Tower によって提供される監査情報にアクセスする必要があるユーザーのチーム用です。また、環境のプログラムによる監査を実行してコンプライアンス目的の監査に役立つサードパーティ製ツールのアクセスポイントとして、このアカウントを使用することもできます。

  • ログアーカイブアカウント – このアカウントは、Landing Zone で管理対象の OU 内のすべての管理対象アカウントに関するログ情報にアクセスする必要があるユーザーのチーム用です。

ステップ 2: ランディングゾーンをセットアップする

AWS Control Tower Landing Zone を設定する前に、最も適切なホームリージョンを決定します。詳細については、「ランディングゾーンのセットアップに関する管理上のヒント」を参照してください。

AWS Control Tower には、API またはプログラムによるアクセスがありません。Landing Zone をセットアップするには、次の手順を実行します。

Landing Zone をセットアップするには

  1. ウェブブラウザを開いて、https://console.aws.amazon.com/controltower の AWS Control Tower コンソールに移動します。

  2. コンソールで、AWS Control Tower の目的のホームリージョンで作業していることを確認します。[Set up Landing Zone (Landing Zone のセットアップ)] を選択します。

  3. ログアーカイブアカウントおよび監査アカウントの E メールアドレスを指定します。これらは、AWS アカウントにまだ関連付けられていない E メールアドレスであることが必要です。

  4. [Service permissions (サービスのアクセス許可)] を確認し、準備が整ったら、[I understand the permissions AWS Control Tower will use to administer AWS resources and enforce rules on my behalf (お客様に代わって AWS リソースを管理してルールを適用するためのアクセス許可が AWS Control Tower に付与されることを了承する)] を選択します。

  5. [Launch your AWS Control Tower (AWS Control Tower を起動する)] を選択します。

これにより、Landing Zone をセットアップするプロセスが開始されます。完了するまでに約 1 時間かかる場合があります。設定中に、コアアカウントが作成され、root およびコア OU が作成され、AWS リソースが作成、変更、または削除されます。

重要

監査アカウントに指定した E メールアドレスには、AWS Control Tower でサポートされているすべての AWS リージョンから [AWS Notification - Subscription Confirmation (AWS 通知 - サブスクリプション確認)] E メールが送信されます。監査アカウントでコンプライアンス E メールを受信するには、AWS Control Tower でサポートされている各 AWS リージョンからの各 E メール内の [サブスクリプションの確認] リンクを選択する必要があります。

次のステップ

これで、Landing Zone がセットアップされ、使用する準備ができました。

AWS Control Towerの使用方法の詳細については、次のトピックを参照してください。