AWS Control Tower のガードレール - AWS Control Tower

AWS Control Tower のガードレール

ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールにより、AWS Control Tower は、リソースを管理し AWSアカウントのグループ全体のコンプライアンスをモニタリングするのに役立つ「予防」または「検出」コントロールを実装します。

ガードレールは組織単位 (OU) 全体に適用され、OU 内のすべての AWS アカウントはガードレールの影響を受けます。したがって、ユーザーがランディングゾーン内の AWS アカウントで作業を実行する場合、ユーザーは常に自分のアカウントの OU に適用されるガードレールに従います。

ガードレールの目的

ガードレールを使用すると、ポリシーの意図を表現できます。例えば、OU で [Detect Whether Public Read Access to Amazon S3 Buckets is Allowed] (Simple Storage Service (Amazon S3) バケットへのパブリック読み取りアクセスが許可されているかどうかを検出する) という検出ガードレールを有効にした場合は、その OU 下の任意のアカウントの任意の S3 バケットへの読み取りアクセスをユーザーに許可するかどうかを指定できます。

ガードレールの動作とガイダンス

ガードレールは、動作とガイダンスに従って分類されます。

各ガードレールの動作は予防的または発見的のいずれかです。ガードレールのガイダンスとは、各ガードレールを OU に適用する方法について推奨されるプラクティスを指します。ガードレールのガイダンスは、ガードレールの動作が予防的か発見的かに関係ありません。

ガードレールの動作

  • 予防 – 予防ガードレールはポリシー違反につながるアクションを禁止するため、アカウントがコンプライアンスを維持できます。予防ガードレールのステータスは、適用または無効です。予防ガードレールは、すべての AWS リージョンでサポートされています。

  • 検出 – 検出ガードレールは、ポリシー違反など、アカウント内のリソースの非準拠を検出し、ダッシュボードを通じてアラートを提供します。検出ガードレールのステータスは、クリア違反、または無効です。検出ガードレールは、AWS Control Tower がサポートする AWS リージョンにのみ適用されます。

ガードレールの動作の実装

  • 予防ガードレールは、AWS Organizations の一部であるサービスコントロールポリシー (SCP、Service Control Policies) を使用して実装されます。

  • 検出ガードレールを実装するには、AWS Config ルールを使用します。

  • 特定の必須ガードレールは、一意の SCP としてではなく、複数のアクションを実行する単一の SCP によって実装されます。したがって、同じ SCP が、その SCP が適用される各必須ガードレールの下のガードレールリファレンスに表示されます。

ガードレールのガイダンス

AWS Control Tower が提供するガイダンスには 3 つのカテゴリとして、必須のガードレール、強く推奨されるガードレール、選択的ガードレールがあります。

  • 必須のガードレールは常に強制されます。

  • 強く推奨されるガードレールは、Well-Architected マルチアカウント環境に共通のベストプラクティスを適用するように設計されています。

  • 選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションを追跡またはロックダウンできます。

デフォルト: 新しいランディングゾーンを作成すると、AWS Control Tower がすべての必須ガードレールをデフォルトで有効にし、最上位レベルの OU に適用します。ガバナンスを OU に拡張すると、AWS Control Tower はデフォルトで必須ガードレールを OU に適用します。強く推奨されるガードレールと選択的ガードレールはデフォルトで有効になりません。

ガードレールと OU に関する考慮事項

ガードレールと OU を使用する場合は、以下の特性を考慮してください。

ガードレール、ランディングゾーン、および OU

  • ランディングゾーンを作成すると、ランディングゾーン内のすべてのリソース (Simple Storage Service (Amazon S3) バケットなど) がガードレールの対象になります。

  • AWS Control Tower により作成された OU には、必須のガードレールが自動的に適用され、オプションのガードレールは管理者の裁量で適用されます。

  • AWS Control Tower のランディングゾーン外で作成された OU (つまり、登録されていない OU) が AWS Control Tower コンソールに表示されますが、AWS Control Tower のガードレールは、登録された OU にならない限り適用されません。

  • AWS Control Tower に登録されている組織単位 (OU、Organizational Unit) でガードレールを有効にすると、予防ガードレールは OU 下のすべてのメンバーアカウントに適用され、登録および登録解除されます。検出ガードレールは、登録されたアカウントにのみ適用されます。

AWS Control Tower で、ネストされた OU にガードレールを適用する方法の詳細については、「ネストされた OU とガードレール」を参照してください。

管理アカウントのガードレールの例外

管理アカウントのルートユーザーおよび IAM 管理者は、通常はガードレールで拒否される作業を実行できます。この例外は意図的なものです。管理アカウントが使用できない状態にならないようにします。管理アカウント内で実行されたすべてのアクションは、説明責任と監査の目的で、ログアーカイブアカウントに含まれるログで引き続き追跡されます。

ガードレールとアカウントに関する考慮事項

ガードレールとアカウントを使用する場合は、以下の特性を考慮してください。

ガードレールとアカウント

  • AWS Control Tower で Account Factory を使用して作成されたアカウントは、親 OU のガードレールを継承し、関連付けられたリソースが作成されます。

  • AWS Control Tower のランディングゾーン外で作成されたアカウントは、AWS Control Tower のガードレールを継承しません。これらは未登録のアカウントと呼ばれます。

  • AWS Control Tower 外で作成されたアカウントは、登録されるまで AWS Control Tower のガードレールを継承しません。ただし、これらの未登録のアカウントは AWS Control Tower に表示されます。

    アカウントは、OU に登録されると、その OU からガードレールを継承します。

  • OU には、登録済みまたは未登録のメンバーアカウントを含めることができます。

  • 登録済みの AWS Control Tower OU のメンバーアカウントにならない限り、未登録のアカウントにガードレールは適用されません。その場合は、OU の予防ガードレールが未登録のアカウントに適用されます。検出ガードレールは適用されません。

  • オプションのガードレールを有効にすると、AWS Control Tower は、アカウントに一定の追加 AWS リソースを作成して管理します。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、ガードレールの状態が不明になる可能性があります。詳細については、「ガードレールリファレンス」を参照してください。