用語 - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

用語

ここでは、AWS Control Tower のドキュメントに表示されるいくつかの用語を簡単に確認します。

まず、AWS Control Tower AWS Organizations はサービスと多くの用語を共有していることを知っておくとよいでしょう。その中には、このドキュメント全体で使用されている「組織」や「組織単位 (OU)」という用語が含まれます。

  • 組織と OU の詳細については、「AWS Organizations の用語と概念」を参照してください。AWS Control Tower を初めて使用する場合は、その用語を理解することから始めましょう。

  •  AWS Organizationsは、 AWS ワークロードの拡大と拡大に合わせて環境を一元管理するのに役立つサービスです。 AWS AWS Control Tower は、アカウントの作成、OU レベルでの予防統制の実施、請求の一元管理を頼りにしています。 AWS Organizations

  • AWS アカウントファクトリアカウントは、AWS Control Tower AWS のAccount Factory を使用してプロビジョニングされたアカウントです。Account Factory は、アカウントの「自動販売機」と非公式に呼ばれることもあります。

  • AWS Control Tower AWS のホームリージョンは、AWS Control Tower のlanding zone がデプロイされたリージョンです。ホームリージョンは、ランディングゾーン設定で表示できます。

  • AWS Service Catalog では、一般的にデプロイされる IT サービスを一元管理できます。このドキュメントでは、Account Factory AWS Service Catalog AWS はカスタマイズされたブループリントのアカウントを含む新しいアカウントのプロビジョニングに使用されます。

  • AWS CloudFormation StackSetsはスタックの機能を拡張するリソースの一種で、1 回の操作と 1 つのテンプレートで複数のアカウントやリージョンにまたがるスタックを作成、更新、削除できます。 CloudFormation

  • スタックインスタンスは、リージョン内のターゲットアカウントのスタックへの参照です。

  • スタックは 1 AWS つの単位として管理できるリソースの集まりです。

  • アグリゲーターは、 AWS Config AWS Config 組織内の複数のアカウントやリージョンから構成データとコンプライアンスデータを収集するリソースタイプです。これにより、1 つのアカウント内でこのコンプライアンスデータを表示したりクエリしたりできます。

  • コンフォーマンスパックは、1 つのアカウントとリージョンに 1 つのエンティティとしてデプロイすることも、 AWS Config 内の組織全体にデプロイすることもできるルールと修復アクションの集まりです。 AWS Organizations適合パックを使用して、AWS Control Tower 環境をカスタマイズできます。詳細を説明している技術的なブログについては、「関連情報」を参照してください。

  • AWS Control Tower のベースラインは、ターゲットに適用できるリソースと特定の設定のグループです。最も一般的なベースラインターゲットは組織単位 (OU) かもしれません。たとえば、AWSControlTowerBaselineというベースラインは OU を AWS Control Tower に登録する際に役立ちます。ランディングゾーンの設定と更新時のベースラインターゲットは、共有アカウントでも、landing zone 全体の特定の設定でもかまいません。

  • ブループリント:ブループリントは、いくつかのメタデータをカプセル化するアーティファクトで、アカウント内にデプロイされるインフラストラクチャコンポーネントを定義します。たとえば、 AWS CloudFormation テンプレートは AWS Control Tower アカウントの設計図として使用できます。

  • ドリフト: AWS Control Tower によってインストールされ、設定されたリソースの変更。ドリフトのないリソースにより、AWS Control Tower が正常に機能できるようになります。

  • 非準拠リソース: AWS Config 特定の探偵コントロールを定義するルールに違反しているリソース。

  • 共有アカウント: ランディングゾーンの設定時に AWS Control Tower によって自動的に作成される 3 つのアカウント (管理アカウント、ログアーカイブアカウント、監査アカウント) のうちの 1 つ。設定時に、ログアーカイブアカウントと監査アカウントのカスタマイズされた名前を選択できます。

  • メンバーアカウント: メンバーアカウントは、AWS Control Tower 組織に属します。メンバーアカウントは、AWS Control Tower に登録または登録解除できます。登録された OU に、登録済みアカウントと未登録アカウントが混在している場合:

    • OU で有効になっている予防コントロールは、未登録アカウントを含む、その OU 内のすべてのアカウントに適用されます。これは、アカウントレベルではなく OU レベルの SCP で予防コントロールが実施されるためです。詳細については、ドキュメントの「サービスコントロールポリシーの継承」を参照してください。 AWS Organizations

    • OU で有効になっている検出コントロールは、未登録アカウントには適用されません。

    アカウントは一度に 1 つの組織のメンバーにしかなることができず、その料金はその組織の管理アカウントに請求されます。メンバーアカウントは、組織のルートコンテナに移動できます。

  • AWS アカウント: AWS アカウントはリソースコンテナおよびリソース分離境界として機能します。 AWS アカウントは請求と支払いに関連付けることができます。 AWS アカウントは、AWS Control Tower のユーザーアカウント (IAM ユーザーアカウントと呼ばれることもあります) とは異なります。Account Factory AWS のプロビジョニングプロセスで作成されたアカウントはアカウントです。 AWS アカウントは、アカウント登録または OU 登録プロセスによって AWS Control Tower に追加することもできます。

  • コントロール: コントロール (ガードレールとも呼ばれます) は、AWS Control Tower 環境全体に継続的なガバナンスを提供する高レベルのルールです。各コントロールは、1 つのルールを適用します。予防コントロールは、SCP で実装されます。Detective AWS Config コントロールはルールで実装されます。 AWS CloudFormation プロアクティブコントロールはフックで実装されます。詳細については、「コントロールの仕組み」を参照してください。

  • ランディングゾーン: ランディングゾーンは、デフォルトのアカウント、アカウント構造、ネットワークおよびセキュリティレイアウトなど、推奨される開始点を提供するクラウド環境です。ランディングゾーンから、ソリューションとアプリケーションを利用するワークロードをデプロイできます。

  • ネストされた OU: AWS Control Tower のネストされた OU は、別の OU に含まれる OU です。ネストされた OU は、厳密に親を 1 つ持つことができ、各アカウントを厳密に 1 つの OU のメンバーにすることができます。ネストされた OU は、階層を作成します。階層内の OU のいずれかにポリシーをアタッチすると、その配下にあるすべての OU とアカウントに適用されます。AWS Control Tower のネストされた OU 階層は、最大 5 レベルの深さになることができます。

  • 親 OU: 階層内の現在の OU のすぐ上にある OU。各 OU は、親 OU を 1 つだけ持つことができます。

  • 子 OU: 階層内の現在の OU より下にある OU。OU は、多数の子 OU を持つことができます。

  • OU 階層: AWS Control Tower では、ネストされた OU の階層に最大 5 つのレベルを設定できます。ネストの順序は、レベルと呼ばれます。階層の最上位は、レベル 1 と呼ばれます。

  • 最上位の OU: 最上位の OU は、ルート自体ではなく、ルートの直下にある任意の OU です。ルートは、OU とは見なされません。