AWS Control Tower のガードレール - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Control Tower のガードレール

ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールを通じて、AWS Control Tower は予防的または探偵コントロールは、リソースを管理し、AWS アカウントのグループ全体でコンプライアンスをモニタリングするのに役立ちます。

ガードレールは組織単位 (OU) 全体に適用され、OU 内のすべての AWS アカウントはガードレールの影響を受けます。したがって、ユーザーがlanding zone 任意の AWS アカウントで作業を実行する場合、ユーザーは常にアカウントの OU を管理するガードレールに従います。

ガードレールの目的

ガードレールを使用すると、ポリシーの意図を表現できます。たとえば、探偵ガードレールを有効にした場合Amazon S3 バケットへのパブリック読み取りアクセスが許可されているかどうかを検出するOU で、ユーザーが、その OU 下のすべてのアカウントの任意の S3 バケットへの読み取りアクセスを許可できるかどうかを確認できます。

ガードレールの動作とガイダンス

ガードレールは、動作ガイダンスに従って分類されます。

各ガードレールの動作は予防的または発見的のいずれかです。ガードレールのガイダンスとは、各ガードレールを OU に適用する方法について推奨される慣習を指します。ガードレールのガイダンスは、ガードレールの動作が予防的か発見的かに関係ありません。

ガードレールの動作

  • 予防的— 予防的ガードレールにより、ポリシー違反につながるアクションが禁止されるため、アカウントがコンプライアンスを維持できます。予防的ガードレールのステータスは、適用または無効です。予防的ガードレールは、すべての AWS リージョンでサポートされています。

  • Detective— 検出ガードレールにより、ポリシー違反など、アカウント内のリソースの非準拠が検出され、ダッシュボードからアラートが提供されます。検出ガードレールのステータスは、クリア違反、または無効です。Detective ガードレールは、AWS Control Tower がサポートする AWS リージョンにのみ適用されます。

ガードレールの動作の実装

  • 予防的ガードレールは、AWS Organizations の一部であるサービスコントロールポリシー (SCP) を使用して実装されます。

  • 発見的ガードレールは、AWS Config ルールと AWS Lambda 関数を使用して実装されます。

  • 特定の必須ガードレールは、一意のSCPとしてではなく、複数のアクションを実行する単一の SCP によって実装されます。したがって、同じ SCP が、その SCP が適用される各必須ガードレールの下のガードレールリファレンスに表示されます。

ガードレールのガイダンス

AWS Control Tower には 3 つのカテゴリのガイダンスがあります。mandatory,強く推奨, および選択的ガードレール

  • 必須のガードレールは常に強制されます。

  • 強く推奨されるガードレールは、Well-Architected マルチアカウント環境に共通のベストプラクティスを適用するように設計されています。

  • 選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションを追跡またはロックダウンできます。

デフォルト: 新しいlanding zone を作成すると、すべての必須ガードレールが既定で有効になります。強く推奨されるガードレールと選択的ガードレールはデフォルトで有効になりません。

ガードレールと OU に関する考慮事項

ガードレールと OU を使用する場合は、以下の特性を考慮してください。

ガードレール、ランディングゾーン、OU

  • landing zone を作成すると、ランディングゾーンのすべてのリソース (Amazon S3 バケットなど) がガードレールの対象になります。

  • AWS Control Tower を使用して作成された OU には、必須ガードレールが自動的に適用され、オプションのガードレールは管理者の裁量で適用されます。

  • AWS Control Tower のランlanding zone 外側に作成された OU(未登録OUは AWS Control Tower コンソールに表示されますが、登録された OU にならない限り、AWS Control Tower ガードレールは適用されません。

  • AWS Control Tower に登録されている組織単位(OU)でガードレールを有効にすると、予防ガードレールは、登録済みと登録解除済みの OU の下のすべてのメンバーアカウントに適用されます。Detective ガードレールは、登録されたアカウントにのみ適用されます。

管理アカウントのガードレールの例外

管理アカウント内の root ユーザーおよび IAM 管理者は、ガードレールで拒否される作業を実行できます。この例外は意図的なものです。これは、管理アカウントが使用できない状態になるのを防ぎます。管理アカウント内で実行されたすべてのアクションは、説明責任と監査の目的で、ログアーカイブアカウントに含まれるログで引き続き追跡されます。

ガードレールとアカウントに関する考慮事項

ガードレールとアカウントを使用する場合は、次の特性を考慮してください。

ガードレールとアカウント

  • AWS Control Tower でAccount Factory を使用して作成されたアカウントは、親 OU のガードレールを継承し、関連付けられたリソースが作成されます。

  • AWS Control Tower のlanding zone 外部で作成されたアカウントは、AWS Control Tower のガードレールを継承しません。これらは登録解除アカウント。

  • AWS Control Tower の外部で作成されたアカウントは、登録するまで AWS Control Tower のガードレールを継承しません。ただし、これらの未登録のアカウントAWS Control Tower に表示されます。

    アカウントは、その OU への登録時に OU からガードレールを継承します。

  • OU には、登録済みまたは登録解除済みを含めることができますメンバーアカウント

  • ガードレールは、登録済みの AWS Control Tower OU のメンバーアカウントにならない限り、登録されていないアカウントには適用されません。その場合、OU の予防ガードレールは登録されていないアカウントに適用されます。Detective ガードレールは適用されません。

  • 強く推奨されるガイダンスでガードレールを有効にすると、AWS Control Tower はアカウント内の特定の追加の AWS リソースを作成および管理します。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、ガードレールの状態が不明になる可能性があります。詳細については、「ガードレールリファレンス」を参照してください。

オプションのガードレール

強く推奨されるガードレールと選択的ガードレールはオプションです。つまり、どのガードレールを有効にするかを選択することで、landing zone エンフォースメントレベルをカスタマイズできます。オプションのガードレールはデフォルトでは有効になっていません。オプションのガードレールの詳細については、以下のガードレールリファレンスを参照してください。

ガードレールの詳細の表示

コンソールのガードレール詳細ページで、各ガードレールに関する以下の詳細が表示されます。

  • 名前— ガードレールの名前です。

  • 説明— ガードレールの説明。

  • ガイダンス— ガイダンスは、必須、強く推奨される、または選択的のいずれかです。

  • Behavior— ガードレールの動作は予防的または発見的のいずれかに設定されます。

  • コンプライアンス状況— ガードレールのコンプライアンスステータスは、クリア、準拠、適用、不明、違反のいずれかです。詳細については、「AWS Control Tower ガードレールのコンプライアンスステータス」を参照してください。

ガードレール詳細ページでは、ガードレールアーティファクトを確認することもできます。ガードレールは、1 つ以上のアーティファクトによって実装されます。これらのアーチファクトには、ベースラインAWS CloudFormationテンプレート、設定ドリフトを作成できるのアカウントレベルの設定変更またはアクティビティを回避するためのサービスコントロールポリシー (SCP)、AWS Config Rulesをクリックして、アカウントレベルのポリシー違反を検出します。

ガードレールの有効化

ほとんどのカードレールは OU の設定に従って自動的に有効になりますが、一部のガードレールは OU で手動で有効にする場合があります。次の手順では、OU でガードレールを有効にするためのステップについて説明します。

重要

強く推奨されるガイダンスでガードレールを有効にすると、AWS Control Tower はアカウント内で AWS リソースを作成および管理します。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、ガードレールの状態が不明になる可能性があります。

OU でガードレールを有効にするには

  1. ウェブブラウザを使用して、AWS Control Tower コンソール (https://console.aws.amazon.com/controltower

  2. 左のナビゲーションから、[Guardrails (ガードレール)] を選択します。

  3. 有効にするガードレール (たとえば、ガードレール: Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームに対して暗号化が有効になっているかどうかを検出する。これにより、ガードレールの詳細ページが開きます。

  4. 有効になっている組織ユニットから、[Enable guardrail on OU (OU でガードレールを有効にする)]を選択します。

  5. 新しいページが表示され、OU の名前が一覧表示されます。このガードレールを有効にする OU を特定します。

  6. [Enable guardrail on OU (OU でガードレールを有効にする)] を選択します。

  7. これで、ガードレールが有効になりました。変更が完了するまでに数分かかることがあります。完了すると、選択した OU でこのガードレールが有効になっていることがわかります。一度に有効にできるガードレールは 1 つだけです。