AWS Control Tower のガードレール - AWS Control Tower

AWS Control Tower のガードレール

ガードレールは、AWS 環境全体に継続的なガバナンスを提供する高レベルのルールです。これは、わかりやすい形式で表されます。ガードレールにより、AWS Control Tower は、リソースを管理し AWS アカウントのグループ全体のコンプライアンスをモニタリングするのに役立つ予防的または発見的コントロールを実装します。

ガードレールは組織単位 (OU) 全体に適用され、OU 内のすべての AWS アカウントはガードレールの影響を受けます。したがって、ユーザーが Landing Zone 内の AWS アカウントで作業を実行する場合、ユーザーは常に自分のアカウントの OU に適用されるガードレールに従います。

ガードレールの目的

ガードレールを使用すると、ポリシーの意図を表現できます。たとえば、予防的ガードレール [Disallow public read access to S3 buckets (S3 バケットへのパブリック読み取りアクセスを禁止)] を有効にしている場合、OU 下のすべてのアカウントに対してすべての S3 バケットへのパブリック読み取りアクセスを拒否できます。

ガードレールの動作とガイダンス

ガードレールは、動作ガイダンスに従って分類されます。

各ガードレールの動作は予防的または発見的のいずれかです。ガードレールのガイダンスとは、各ガードレールを OU に適用する方法について推奨される慣習を指します。ガードレールのガイダンスは、ガードレールの動作が予防的か発見的かに関係ありません。

ガードレールの動作

  • 予防 – 予防的ガードレールはポリシー違反につながるアクションを禁止するため、アカウントがコンプライアンスを維持できます。予防的ガードレールのステータスは、適用または無効です。予防的ガードレールは、すべての AWS リージョンでサポートされています。

  • 検出 – 検出ガードレールは、ポリシー違反など、アカウント内のリソースの非準拠を検出し、ダッシュボードを通じてアラートを提供します。検出ガードレールのステータスは、クリア違反、または無効です。検出ガードレールは、AWS Control Tower がサポートする AWS リージョンにのみ適用されます。

ガードレールの動作の実装

  • 予防的ガードレールは、AWS Organizations の一部であるサービスコントロールポリシー (SCP) を使用して実装されます。

  • 発見的ガードレールは、AWS Config ルールと AWS Lambda 関数を使用して実装されます。

  • 特定の必須ガードレールは、一意のSCPとしてではなく、複数のアクションを実行する単一の SCP によって実装されます。したがって、同じ SCP が、その SCP が適用される各必須ガードレールの下のガードレールリファレンスに表示されます。

ガードレールのガイダンス

AWS Control Tower が提供するガイダンスには 3 つのカテゴリとして、必須のガードレール、強く推奨されるガードレール、選択的ガードレールがあります。

  • 必須のガードレールは常に強制されます。

  • 強く推奨されるガードレールは、Well-Architected マルチアカウント環境に共通のベストプラクティスを適用するように設計されています。

  • 選択的ガードレールを使用すると、AWS エンタープライズ環境で一般的に制限されているアクションを追跡またはロックダウンできます。

デフォルト: 新しい Landing Zone を作成すると、すべての必須のガードレールがデフォルトで有効になります。強く推奨されるガードレールと選択的ガードレールはデフォルトで有効になりません。

ガードレールと OU に関する考慮事項

ガードレールと OU を使用する場合は、以下の特性を考慮してください。

  • 組織単位に対してガードレールを有効にすると、それらのガードレールは OU 下のすべての子アカウントに適用されます。

  • Landing Zone を作成すると、Landing Zone 内のすべてのリソース (S3 バケットなど) がガードレールの対象になります。

  • AWS Control Tower により作成された OU には、必須のガードレールが自動的に適用され、その他のガードレールは管理者の裁量で適用されます。一方、AWS Control Tower Landing Zone の外側に作成された OU にはガードレールを適用できません。これらの管理対象外 OU は AWS Control Tower コンソールに表示されません。

  • Account Factory を使用して作成されたアカウントは、 親 OU のガードレールを継承します。Landing Zone の外部で作成されたアカウントはガードレールを継承せず、これらの管理対象外アカウントは AWS Control Tower コンソールに表示されません。

ガードレールの例外

  • マスターアカウントの root ユーザーおよび IAM 管理者は、通常はガードレールで拒否される作業を実行できます。この例外は意図的なものです。マスターアカウントが使用できない状態になるのを防ぎます。マスターアカウント内で実行されたすべてのアクションは、説明責任と監査の目的で、ログアーカイブアカウントに含まれるログで引き続き追跡されます。

オプションのガードレール

強く推奨されるガードレールと選択的ガードレールはオプションです。つまり、どのガードレールを有効にするかを選択することで、Landing Zone のエンフォースメントレベルをカスタマイズできます。オプションのガードレールはデフォルトでは有効になっていません。オプションのガードレールの詳細については、以下のガードレールリファレンスを参照してください。

ガードレールの詳細の表示

コンソールのガードレール詳細ページで、各ガードレールに関する以下の詳細が表示されます。

  • 名前 – ガードレールの名前。

  • 説明 – ガードレールの説明。

  • ガイダンス – ガイダンスは、必須、強く推奨される、または選択的のいずれかです。

  • [カテゴリ] – ガードレールのカテゴリは、監査ログ、モニタリング、データセキュリティ、ネットワーク、IAM、Control Tower 設定のいずれかです。

  • [Behavior (動作)] – ガードレールの動作は予防的または発見的のいずれかに設定されます。

  • [コンプライアンス状況] – ガードレールのコンプライアンス状況は、クリア、準拠、適用、不明、違反のいずれかです。

ガードレール詳細ページでは、ガードレールアーティファクトを確認することもできます。ガードレールは、1 つ以上のアーティファクトによって実装されます。これらのアーティファクトには、AWS CloudFormation テンプレート、設定ドリフトを作成できるのアカウントレベルの設定変更またはアクティビティを回避するためのサービスコントロールポリシー 、およびアカウントレベルのポリシー違反を検出するための AWS Config ルール を含めることができます。

ガードレールの有効化

ほとんどのカードレールは OU の設定に従って自動的に有効になりますが、一部のガードレールは OU で手動で有効にする場合があります。次の手順では、OU でガードレールを有効にするためのステップについて説明します。

重要

強く推奨されるガイダンスでガードレールを有効にすると、アカウント内で AWS Control Tower マネージド AWS リソースが作成されます。AWS Control Tower によって作成されたリソースを変更または削除しないでください。これにより、ガードレールの状態が不明になる可能性があります。

OU でガードレールを有効にするには

  1. ウェブブラウザを使用して、https://console.aws.amazon.com/controltower の AWS Control Tower コンソールに移動します。

  2. 左のナビゲーションから、[Guardrails (ガードレール)] を選択します。

  3. 有効にするガードレール (たとえば、 [Guardrail: Enable encryption for EBS volumes attached to EC2 instances (ガードレール: EC2インスタンスにアタッチされたEBSボリュームの暗号化を有効にする)]) を選択します。これにより、ガードレールの詳細ページが開きます。

  4. 有効になっている組織ユニットから、[Enable guardrail on OU (OU でガードレールを有効にする)]を選択します。

  5. 新しいページが表示され、OU の名前が一覧表示されます。このガードレールを有効にする OU を特定します。

  6. [Enable guardrail on OU (OU でガードレールを有効にする)] を選択します。

  7. これで、ガードレールが有効になりました。変更が完了するまでに数分かかることがあります。完了すると、選択した OU でこのガードレールが有効になっていることがわかります。一度に有効にできるガードレールは 1 つだけです。